тандем из UltimateDefendera с Трояном Даунлоудером + зоопарк (возможно макросный вирус)
До сегодняшнего дня всё было спокойно. Стоял NOD32. Компьютер подключен в локальную сеть. Выход в интернет через VPN-сервер.
Nod возопил о том, что в файле D:\WINDOWS\system32\dllcache\figaro.sys пойман вирус, который лезит из файла
D:\windows\Temp\Bn(№каждый раз разный).tmp.
Файл был помещен в карантин. Это вирус UltimateDefender.A. Он создал процесс brastk.exe. Позже к нему присоединился процесс
braviax.exe.
Теперь я жалею, что не обратил внимания на дропер из .tmp. И вцепился в душение UltimateDefendera.A. Вирус проявился красным
крестиком рядом с часами. Где на английском было написано предложение скачать spyware-софт, т.к. компьютер заражён. С дуру
забыл, что винда русская и скачал... Что скачал не знаю, но видимо ещё пару вирусов: появлялось черное окошко DOS'овское.
Тогда разозлися мечом (IceSword122) порубил файлы brask.exe. в systme.32/driveres , так же system32/dllcache и beep.sys. Убил
ключи реестра RUN в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
удалил там всё к чертям собачим.
После перезагрузки NOD32 уже не загрузился как и ctfmon.exe , чтоб было можно менять шрифты и драйвера к звуковухе и видюхе
- сам виноват.
Зато загрузились два процесса msword98.exe - явно вирус ; при заходе в интернет начали выскакивать процессы brastk.exe и bn6
(который сжирал немеренно памяти), сейчас я их душу через диспетчер задач и они пропадают. UltimateDefender всё так же
ломится через figaro.sys , который иницируются bn6.tmp или bn1c.tmp .
Руками ничего делать не хотелось но, т.к. вирь пишится в beep.sys поставить Dr.Web Cure не получалось. Писало, что повреждены
вирусные базы. Установил AntiTrojanElite, он не нашёл ничего, ещё раз мечом поубивал файлы .sys вируса. Прогнал Dr.Web Cure
it - не нашёл ничего, более того прежде чем проверка закончилась компьютера сам перезагрузился.
На компьютере есть хайджекс и авз, но я решил, что вирус пожрал и их. Судя по всему в bn6 - сидит какой-то троян даунлоудер,
который весело инициирует мне работу UltimateDefender.A - это я уже выдумываю, чтоб себя дурака оправдать.
Моим следующим действием (да я упрямый) была установка свеженького Kasperskiy Virus Removal Tool - прогнал им. Нашёл. Но не
то что искал. Убил два вируса Trojan.Fakealert.3962 - не знаю что делал этот вирус. Но сегодня у меня ещё вылетали вот такие
ошибки
16-ти разрядная подсистема MS-DOS
D:\windows\system32\wisdstr.exe
Процессор NTVOM обнаружил недопустимую инструкцию
CS:0531 IP:016b0OP:0F0FF1b014 - или что то в этом роде.
Ошибки мелькали несколько раз, код кажется менялся. Я выбирал закрыть, а не пропустить. Не исключаю, что всё тот же
UltimateDefender.A
Кроме того Касперский убил ещё какой то вирус сидевший в какой-то удалялки программы. Не думаю, что он был активе.
Так же симптомы болезни такие, что при установке Dr Web Cure it пропадает связь с сервером VPN, а иногда блокируется даже
выход в локалку.
Вобщем как-то так. Понимаю, что стоящий у меня AVZ скорее всего пожран. Поэтому воспользовался тем, который встроен в
Kasperskiy Virus Removal Tool.
Попробую прогнать сканирования отключив восстановление системы и через безопасный режим, выложу логи, если компьютер раньше
не самоликвидируется.
Пожалуйста помогите
Последний раз редактировалось cjmef; 12.08.2009 в 06:14.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
добавлено то что зделано из безопасного режима.
отключил восстановление системы. avz ничего не нашёл. выкладываю лог. убил msword.exe hijaks'ом вроде в безопасном режим, пофиксил.
Вы занимаетесь самолечением, зачем? Задачу только усложняете.
Почему логи (последние) делали в безопасном режиме?
Нужен еще лог - virusinfo_syscheck.zip
Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('d:\windows\system32\winlogon.exe','');
QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
QuarantineFile('D:\Documents and Settings\admin\msword98.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
DeleteFile('D:\Documents and Settings\admin\msword98.exe');
DeleteFile('D:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('D:\WINDOWS\system32\regedit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fips32cup');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам в обычном режиме.
2 Defest
потому что вот это вот процес BN*.tmp не хотел давать нормально работать в принципе. сейчас я по крайней мере могу относительно спокойно тут находится. он убивается из диспетчера задач. включается он при выходе в интернет. и загрузке антивируса. делает описанное в первом посте.
другая причина самолечения - обычно справлялся. сейчас мозгов не хватает.
в безопасном режиме сделал возможно потому что неправильно понял описание требования к выложенным логам. сделаю как вы сказали сообщу.
2 Defest
базы обновил.
выполнил скрипт. после перезагрузки включился Мастер нового оборудования и хотел установить драйвера для устройства под названием неизвестно %( . я предложил поискать ему на машине. в интернет ломится не дал.
Высылаю логи. После выполнения сканирования со включенном инетом avz подвис.
Про карантин я немного не понял, какие файлы туда добавить. Могу прислать файл из карантин'а Nod32. нужно? т.к. AVZ в упор ничего не видет и его карантин пуст. Это неудвитиельно т.к. по идеи вирус защищается от этого анитвируса, копируя себя в beep.sys.
название вируса я написал UltimateDefender.A - на этом форуме с ним встречались как я понял.
в самом конце так же удалил временные файлы. очистил папку windows/temp
после перезагрузки и подключения к интернету все начинается заново. в реестре braviax.exe в /run пишится снова. могу прислать так же файлы bn*.tmp в карантине.
благодарю за поддержку.
Последний раз редактировалось cjmef; 12.08.2009 в 06:43.
после замены NTVS.sys удал braviax.exe, в том числе из реестра. очистил папки TEMP от bn*.tmp. удалил куки и временные файлы интернета.
прогнал сканирование ESET NOD32 On-Demand Scanner - ничего не нашёл.
сделал диагностику как описано в правилах. в этот раз процессы не возникали.
свой NOD32, который сейчас установлен запускать не решаюсь. есть ощущение что его пожрали. выкладываю логи. скажите пожалуйста, что думаете об этом, т.к. перехваты к ntfs.sys AVZ определяет.
Последний раз редактировалось cjmef; 12.08.2009 в 17:20.
ещё этот вирус по идеи делает следующее:
Модифицирует в реестре записи, ослабляющие защиту системы:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCent er\"AntiVirusDisableNotify" = "01000000"
Это не совсем так, а точнее - совсем не так Эти записи касаются центра безопасности Виндовс - вещи в общем и целом бесполезной
Модифицирует в реестре настройки защиты доступа в интернет через Internet Explorer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1200" = "00000000"
как быть с этим? или там всё в порядке? в последнем например сейчас прописано 0X000000003(3)
Дайте, плиз, ссылку на источник информации И сообщите, откуда Вы знаете, какие вирусы у Вас были?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: