Решена WORM_DOWNAD.AD

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Winston, 3 ноя 2009.

Статус темы:
Закрыта.
  1. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Добрый день. Надеюсь на вашу помощь.
    На съемных носителях создается Autorun.inf и папка Recycled. Антивирус стоит Trend Micro. Через некоторые промежутки времени (несколько часов) он определяет следующее:
    WORM_DOWNAD.AD from C:\Windows\system32\x.
    CureIt ничего не определил.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\hijmq.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Как использовать ComboFix - Руководство по применению
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
     
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Winston, у вас kido, нужно ещё сделать логи Gmer.

    Загрузите GMER по одной из указанных ссылок
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
  4. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    После проверки Комбофиксом и перезагрузки, винда потеряла регистрацию. Загрузился в безопасном режиме, лог сформировался в нем же.

    При проверке Гмером после того как убираю указанные галки (Sections,
    IAT/EAT, Show all) и запускаю скан, почти сразу выдает ошибку "приложение будет закрыто". Удалось просканировать с активной галкой "show all". gmer.exe даже и переименовывал - не помогло )))
     
    Последнее редактирование: 3 ноя 2009
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    c:\windows\system32\winlogon.bak - проверьте на http://www.virustotal.com

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    c:\windows\system32\hijmq.dll
    c:\windows\system32\x_810.VIR
    c:\windows\system32\x_82c.VIR
    c:\windows\system32\x_814.VIR
    c:\windows\system32\x_818.VIR
    c:\windows\system32\x_81c.VIR
    c:\windows\system32\x_824.VIR
    c:\windows\system32\x_828.VIR
    c:\windows\system32\x_830.VIR
    c:\windows\system32\x_730.VIR
    c:\windows\system32\x_728.VIR
    c:\windows\system32\x_718.VIR
    c:\windows\system32\x_72c.VIR
    c:\windows\system32\x_714.VIR
    c:\windows\system32\x_71c.VIR
    c:\windows\system32\x_710.VIR
    c:\windows\system32\x_724.VIR
    c:\windows\system32\x_620.VIR
    c:\windows\system32\x_720.VIR
    c:\windows\system32\x_3a4.VIR
    c:\windows\system32\x_4f0.VIR
    c:\windows\system32\x_4bc.VIR
    C:\sccfg.sys
    c:\windows\system32\x_474.VIR
    c:\windows\system32\x_478.VIR
    c:\windows\system32\x_46c.VIR
    c:\windows\system32\x_464.VIR
    c:\windows\system32\x_468.VIR
    c:\windows\system32\x_45c.VIR
    c:\windows\system32\x_470.VIR
    c:\windows\system32\x_460.VIR
    c:\windows\system32\x_14c.VIR
    c:\windows\system32\x_420.VIR
    c:\windows\system32\x_454.VIR
    c:\windows\system32\x_154.VIR
    c:\windows\system32\x_49c.VIR
    c:\windows\system32\x_4c0.VIR
    c:\windows\system32\x_4f8.VIR
    c:\windows\system32\x_2b8.VIR
    c:\windows\system32\x_4a4.VIR
    c:\windows\system32\x_47c.VIR
    c:\windows\system32\x_17c.VIR
    c:\windows\system32\x_174.VIR
    c:\windows\system32\x_4a0.VIR
    c:\windows\system32\x_4fc.VIR
    NetSvc::
    hgonqhxb
    sumkyru
    eaich
    Driver::
    eaich
    hgonqhxb
    sumkyru
    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2380:TCP"= -
    FileLook::

    DirLook::
    c:\program files\SBSign
    KillAll::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Скачайте и запустите утилиту MBR

    После окончания сканирования утилитой сохранится лог mbr.txt в той же папке откуда запущена утилита.
    Приложите её лог к следующему сообщению.
     
    4 пользователям это понравилось.
  6. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Готово
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    c:\windows\system32\x_254.VIR
    c:\windows\system32\x_820.VIR
    c:\windows\system32\x_1f4.VIR
    Driver::

    Folder::

    Registry::

    FileLook::

    DirLook::

    KillAll::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Acrobat 7.0 обновите до Acrobat 7.х
     
    2 пользователям это понравилось.
  8. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Только вот не пойму, зачем акробат обновлять?
     
  9. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    На ваше усмотрение, т.к. это считается уязвимое ПО.
     
    2 пользователям это понравилось.
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    что с проблемами?
     
  11. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Да вроде как пока нормально (антивирусник не загружен)). А последний лог нормальный?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Да нормальный.

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
    2 пользователям это понравилось.
  13. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Спасибо всем, кто помог. Карантин скину только в четверг, так как доступа к этому компютеру пока не будет.
     
  14. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Сегодня добрался до этого компа, а там ...
    Походу не помогло (((
     
  15. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Выкладываю свежие логи.
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Выполните рекомендации из этой темы

    И подготовьте логи Combofix и Gmer.
     
  17. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???

    GUI Command for KidoKiller.zip, Утилита EConfickerRemover.exe от Eset - ничего не нашли. Вот логи комбофикса и гмера.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    C:\Windows\System32\drivers\atapi.sys - проверьте на www.virustotal.com

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    c:\windows\system32\01.tmp
    c:\windows\system32\hijmq_200.VIR
    c:\windows\system32\x_3ac.VIR
    c:\windows\system32\x_3f4.VIR
    c:\windows\system32\x_ac.VIR
    c:\windows\system32\x_368.VIR
    c:\windows\system32\x_398.VIR
    c:\windows\system32\x_404.VIR
    c:\windows\system32\01_2b8.VIR
    Driver::
    otomyjde
    rctmyoyst
    sumkyru

    NetSvc::
    otomyjde

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rctmyoyst]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2380:TCP"=-

    FileLook::

    DirLook::

    KillAll::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Признаки на лицо, но я так и не видел карантина. Антивирус оперативно удаляет создаваемые файлы, вот и не может зловред полностью развернуть функционал.

    Заплатки ставили?

    Acrobat 7.0 - так и не обновили. Это большая брешь в защите системы.
     
  19. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    C:\Windows\System32\drivers\atapi.sys - проверил на www.virustotal.com.
    Похоже что-то есть.
    Карантин отправил. Заплатки поставил. Обновление акробата онлайн не скачивается, делаю потом.

    И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
     
    Последнее редактирование: 7 ноя 2009
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скорее всего фолс.


    Ваш антивирус не давал полностью развернутся вредоносу.

    Ладно.. мы гоняем ветер.

    Отключите все сетевые шары, отключите доступ к сетевым принтерам, поменяйте пароль на учетную запись администратора, включите встроенный фаерволл и уберите в настройках все исключения.
    Надеюсь заплатки были установлены.

    И CF найсточиво говорит о бутките.
    Проведите лечение согласно этих рекомендаций
    http://www2.gmer.net/mbr/


    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    c:\windows\system32\01.tmp
    c:\windows\system32\01_6fc.VIR
    c:\windows\system32\hijmq_6f4.VIR
    c:\windows\temp\QOF8B0.EXE
    NetSvc::
    cftyzg
    cbrbmqhpo
    Driver::
    cftyzg
    cbrbmqhpo
    Folder::

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cftyzg]
    KillAll::
     
Статус темы:
Закрыта.

Поделиться этой страницей