Исходные данные: есть домен, энное количество ПК. На всех компьютерах с XP SP3 установлен McAfee ViruScan Enterprise 8.5.0i с последними обновлениями. Операционные системы не обновляются по техническим причинам... вообще.
Уже штук 5 рабочих станций заразились одним и тем же вирусом. Симптомы: в корне дисков создаются файлы autorun.inf и autorun.exe, наблюдаются сильные тормоза при работе, McAfee периодически выдает, что нашел и удалил файл windows\system32\services.exe (trojan New Malware.j). Dr.Web определяет его как Win32.HLLW.Brutus.4651... Судя по всему эта дрянь распространяется через флешки
Прошу совета по двум вопросам:
1) Что из себя представляет вирус
2) Как уберечься от этого вируса? Может централизованно накатить какое-нибудь обновление?
ps как вылечить ясно... DrWeb 5.0 при загрузке с LiveCD помогает
pps Установить все обновления для ОС возможности нет, сменить антивирус возможности тоже нет
С уважением
Последний раз редактировалось gbcfk(f)^; 01.06.2009 в 07:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('c:\autorun.exe','');
DeleteFile('c:\autorun.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Короткий список необходимых обновлений:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Прикрепил...
Обновил базу avz, вирус по прежнему не определяется..
Avz рапортует, что фалы autorun.exe и autorun.inf подозрительны, но остальные вирусные файлы оставляет без внимания
ps возможно стоило обновить саму программу... она уже недельной давности
pps поселил пока вирус на vmware, лечить не надо
Последний раз редактировалось gbcfk(f)^; 05.06.2009 в 04:56.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Schedule');
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
TerminateProcessByName('c:\documents and settings\Администратор\svchost.exe');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
QuarantineFile('c:\documents and settings\Администратор\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('c:\documents and settings\Администратор\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Эти скрипты удалили вирус.. все путем.
Но в корне диска остались файлы:
Counter-Strike KeyGen.exe
FTP Cracker.exe
ICQ Hacker.exe
MSN Password Cracker.exe
Microsoft Visual Studio KeyGen.exe
и.т.д.
Подобный файл в предыдущем карантине есть, у них только названия отличаются.
Rene-gad, спасибо за помощь
ps Заниматься обновлением компьютеров в сети мне лень, лучше займусь отключением автозапуска с флешек\дисков
Уважаемый, откуда у Вас дистрибутив? Давайте поспорим на ящик пива, что никакой вирус такого наплодить не мог.
Спорим
Только ящик пива будет дорогова-то до меня доставить, а вот бутылочку коньяка.. или лучше абсента вполне нормально.
Дистрибутив со взора
Новая стерильная виртуальная машина на vmware server, ОС установлена из iso образа, скачанного в свое время с вышеупомянутого ресурса.
Сделаны кое-какие твики(типа отключения красивостей и лишних служб, чтоб ВМ работала шустрее), установлены vmware tools.
Затем получившаяся вм заархивирована и её копии используются для опытов по мере необходимости.
Затем установлен mcafee, обновлен из локального репозитория.. скопирован avz и вирус. (подключения к физической машине\сети естесственно нет).
Следом вирус вылечен вашими скриптами... вылечен вполне успешно.
Но в корневой директории остались указанные файлы - продукты жизнедеятельности вируса... кстати, один из них я прислал в прошлом карантине
ps никакой выпивки я требовать конечно не буду, я ж не злодей
pps в качестве вещественного доказательства готов заснять с помощью uvcscreencamera весь процесс - от развертывания виртуальной машины, до вылечивания
Rene-gad
Я с этого дистрибутива штук 70 компов поставил... пожалуй преувеличил - около сорока
и десяток виртуальных.
ps ну какой еще кейген... если его запустить вирус тут же заражает систему, пробовал ради интереса
а на счет "удивляться нечему"... не буду спорить, но боюсь что большинство ваших коллег не поддержит эту точку зрения
т.е.? Вы сомневаетесь, что левые дистри могут быть препарированы?
сомневаюсь/не сомневаюсь... стерильность и не побоюсь этого слова незамутненность образов, выкладываемых взором общеизвестна.. Даже самые недоверчивые скептики не подвергают этот факт сомнению
Это вам не, прости господи, "зверьсиди"
что-то мы несколько отошли от темы
Эти "кейгены" все же остатки вируса.. факт
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: