• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена WORM_DOWNAD.AD

Статус
В этой теме нельзя размещать новые ответы.

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#1
Добрый день. Надеюсь на вашу помощь.
На съемных носителях создается Autorun.inf и папка Recycled. Антивирус стоит Trend Micro. Через некоторые промежутки времени (несколько часов) он определяет следующее:
WORM_DOWNAD.AD from C:\Windows\system32\x.
CureIt ничего не определил.
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\hijmq.dll');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,842
Симпатии
5,579
#3
Winston, у вас kido, нужно ещё сделать логи Gmer.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#4
После проверки Комбофиксом и перезагрузки, винда потеряла регистрацию. Загрузился в безопасном режиме, лог сформировался в нем же.

При проверке Гмером после того как убираю указанные галки (Sections,
IAT/EAT, Show all) и запускаю скан, почти сразу выдает ошибку "приложение будет закрыто". Удалось просканировать с активной галкой "show all". gmer.exe даже и переименовывал - не помогло )))
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#5
c:\windows\system32\winlogon.bak - проверьте на http://www.virustotal.com

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\hijmq.dll
c:\windows\system32\x_810.VIR
c:\windows\system32\x_82c.VIR
c:\windows\system32\x_814.VIR
c:\windows\system32\x_818.VIR
c:\windows\system32\x_81c.VIR
c:\windows\system32\x_824.VIR
c:\windows\system32\x_828.VIR
c:\windows\system32\x_830.VIR
c:\windows\system32\x_730.VIR
c:\windows\system32\x_728.VIR
c:\windows\system32\x_718.VIR
c:\windows\system32\x_72c.VIR
c:\windows\system32\x_714.VIR
c:\windows\system32\x_71c.VIR
c:\windows\system32\x_710.VIR
c:\windows\system32\x_724.VIR
c:\windows\system32\x_620.VIR
c:\windows\system32\x_720.VIR
c:\windows\system32\x_3a4.VIR
c:\windows\system32\x_4f0.VIR
c:\windows\system32\x_4bc.VIR
C:\sccfg.sys
c:\windows\system32\x_474.VIR
c:\windows\system32\x_478.VIR
c:\windows\system32\x_46c.VIR
c:\windows\system32\x_464.VIR
c:\windows\system32\x_468.VIR
c:\windows\system32\x_45c.VIR
c:\windows\system32\x_470.VIR
c:\windows\system32\x_460.VIR
c:\windows\system32\x_14c.VIR
c:\windows\system32\x_420.VIR
c:\windows\system32\x_454.VIR
c:\windows\system32\x_154.VIR
c:\windows\system32\x_49c.VIR
c:\windows\system32\x_4c0.VIR
c:\windows\system32\x_4f8.VIR
c:\windows\system32\x_2b8.VIR
c:\windows\system32\x_4a4.VIR
c:\windows\system32\x_47c.VIR
c:\windows\system32\x_17c.VIR
c:\windows\system32\x_174.VIR
c:\windows\system32\x_4a0.VIR
c:\windows\system32\x_4fc.VIR
NetSvc:: 
hgonqhxb
sumkyru
eaich
Driver::
eaich
hgonqhxb
sumkyru
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"= -
FileLook::

DirLook::
c:\program files\SBSign
KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте и запустите утилиту MBR

После окончания сканирования утилитой сохранится лог mbr.txt в той же папке откуда запущена утилита.
Приложите её лог к следующему сообщению.
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#7
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\x_254.VIR
c:\windows\system32\x_820.VIR
c:\windows\system32\x_1f4.VIR
Driver::

Folder::

Registry::

FileLook::

DirLook::

KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Acrobat 7.0 обновите до Acrobat 7.х
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#8
Только вот не пойму, зачем акробат обновлять?
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#10
что с проблемами?
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#11
Да вроде как пока нормально (антивирусник не загружен)). А последний лог нормальный?
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#12
Да нормальный.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#13
Спасибо всем, кто помог. Карантин скину только в четверг, так как доступа к этому компютеру пока не будет.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#14
Сегодня добрался до этого компа, а там ...
Походу не помогло (((
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#16
Выполните рекомендации из этой темы

И подготовьте логи Combofix и Gmer.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#17
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???

GUI Command for KidoKiller.zip, Утилита EConfickerRemover.exe от Eset - ничего не нашли. Вот логи комбофикса и гмера.
 

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#18
C:\Windows\System32\drivers\atapi.sys - проверьте на www.virustotal.com

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\01.tmp
c:\windows\system32\hijmq_200.VIR
c:\windows\system32\x_3ac.VIR
c:\windows\system32\x_3f4.VIR
c:\windows\system32\x_ac.VIR
c:\windows\system32\x_368.VIR
c:\windows\system32\x_398.VIR
c:\windows\system32\x_404.VIR
c:\windows\system32\01_2b8.VIR
Driver::
otomyjde
rctmyoyst
sumkyru

NetSvc:: 
otomyjde

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rctmyoyst]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"=-

FileLook::

DirLook::

KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???
Признаки на лицо, но я так и не видел карантина. Антивирус оперативно удаляет создаваемые файлы, вот и не может зловред полностью развернуть функционал.

Заплатки ставили?

Acrobat 7.0 - так и не обновили. Это большая брешь в защите системы.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
#19
C:\Windows\System32\drivers\atapi.sys - проверил на www.virustotal.com.
Похоже что-то есть.
Карантин отправил. Заплатки поставил. Обновление акробата онлайн не скачивается, делаю потом.

И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,064
Симпатии
11,741
#20
Скорее всего фолс.


И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
Ваш антивирус не давал полностью развернутся вредоносу.

Ладно.. мы гоняем ветер.

Отключите все сетевые шары, отключите доступ к сетевым принтерам, поменяйте пароль на учетную запись администратора, включите встроенный фаерволл и уберите в настройках все исключения.
Надеюсь заплатки были установлены.

И CF найсточиво говорит о бутките.
Проведите лечение согласно этих рекомендаций
http://www2.gmer.net/mbr/


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\01.tmp
c:\windows\system32\01_6fc.VIR
c:\windows\system32\hijmq_6f4.VIR
c:\windows\temp\QOF8B0.EXE
NetSvc::
cftyzg
cbrbmqhpo
Driver::
cftyzg
cbrbmqhpo
Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cftyzg]
KillAll::
 
Статус
В этой теме нельзя размещать новые ответы.