Зараженный комп

**Whale** · 20.01.2010, 08:59

Уфффф... Перефразировав поговорку, пришел к выводу, что буду учиться на примерах... "Тяжело и неказисто обучение в программе

"

Итак. Имеется комп - явно зараженный... Вирус скрывает папки на внешних носителях и вместо них создает *.exe

Снял логи - попытался проанализировать сам... - часть понял, но решил посмотреть, что скажут действующие специалисты...

З.Ы. прям стесняюсь спросить... А можно скрипты с комментариями получить?

Анализирую логи самостоятельно.... нашел вирусный файл (2 штуки

)...
Даже попытался сам написать скрипт... Хочется его сравнить со скриптом знатока...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 20.01.2010, 11:37

Здравствуйте,

Сообщение от Whale

Даже попытался сам написать скрипт...

Не вздумайте его запускать. Если чешутся руки - переустановите ОС.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('%SystemRoot%\System32\syssetub.dll','');
 QuarantineFile('msfir80.exe','');
 DeleteFile('msfir80.exe');
 DeleteFile('C:\WINDOWS\system32\msfir80.exe');
 QuarantineFile('msime80.exe','');
 DeleteFile('msime80.exe');
 DeleteFile('C:\WINDOWS\system32\msime80.exe');
 DeleteFile('%SystemRoot%\System32\syssetub.dll');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После перезагрузки:
- Если у Вас появится неизвестное устройство - удалите его через диспетчер устройств.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Whale** · 20.01.2010, 21:54

Сообщение от Rene-gad

Не вздумайте его запускать. Если чешутся руки - переустановите ОС.

Нет Нет!!

Я на сегодняшний день прохожу обучение в соответствующем разделе и уже стал разбираться в некоторых тонкостях системы. Именно поэтому и решился на самостоятельное написание скриптов. Естественно осознаю к чему это может привести...
Именно поэтому и стал просить помощи именно знатоков, а не полагаться лишь на себя!

Кстати, мой скрипт отличается от вашего приблизительно на 30% - как раз этих %% в моем не хватает

но структура верна

Сейчас буду ваш анализировать и сопоставлять.

Спасибо!!!

Добавлено через 9 часов 28 минут

Файл сохранён как 100120_215336_quarantine_4b575130f1c6f.zip
Размер файла 461217
MD5 b648814ef1c9b32ffc34b7dabf9c84ec

Логи позднее - делаются...

**Whale** · 20.01.2010, 22:20

Ну вот и логи подоспели...

Да, кстати, устройство появилось... - удалил.

Посмотрите плз. И я сам посмотрю... - должен же я учиться

- я же хочу!

При попытке воткнуть в аппарат флешку - на ней тут же появляется Авторан.инф и папка Рециклед, которые легко убиваются в тоталкоммандере по Shift+Del

**Whale** · 21.01.2010, 11:10

Тук, товарищи....

проконсультируйте

анализирую самостоятельно, но что-то квалификации видимо уже не хватает

**Bratez** · 21.01.2010, 11:53

У вас живой кидо. И неудивительно, ибо:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gnbpbgl.dll','');
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67909).

Сделайте лог gmer.

**Whale** · 21.01.2010, 14:19

То, что тут Кидо - это я просек

а как вы точно узнали, что это именно эта dll?
Я увидел упоминание о ней лишь единожды в логах. как понять, что именно эта библиотека повинна?
Я просканировал лог парсером - а указания на эту длл, как на враждебную - просто НЕТ

**Whale** · 21.01.2010, 19:30

Итак. все сделал

Файл сохранён как 100121_192906_virus_4b5880d22ac46.zip
Размер файла 162691
MD5 a53d34e74c1d0a562fbb08f9d6884274

Лог Gmer.log прилагаю. Там явно какая то зараза сидит...

**Whale** · 21.01.2010, 23:34

Обновил WXP до СП3. Обновил Акробат до 9.3

Подозрительного ничего пока не происходит.

Может еще какой лог снять? И что с gmer делать?

**Bratez** · 22.01.2010, 02:09

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Whale** · 22.01.2010, 07:41

Сделал новые логи.
Комп стал грузиться быстрее.

**Bratez** · 22.01.2010, 14:32

Чисто.
Проблем больше нет?

**Whale** · 22.01.2010, 21:41

Сообщение от Bratez

Чисто.
Проблем больше нет?

Да. комп работоспособен. Никаких симптомов нет.

Спасибо!!!

Тема закрыта!

**CyberHelper** · 23.01.2010, 21:41

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Siggen.73, BitDefender: Gen:Trojan.Heur.AutoIT.DmNfbyereqlm, AVAST4: Win32:Crypt-FER [Trj] )
2. c:\windows\system32\gnbpbgl.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )
3. e:\autorun.inf - Net-Worm.Win32.Kido.ir ( BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )

Зараженный комп (заявка № 67909)

Опции темы