Spaceoddity Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 Вроде как подсунули "крысу" (backdoor)... Есть некоторые люди, которые потенциально это могли, да и у них скорее всего нашлись причины... Вчера VirusTotal показывал показывал только 1/43, сегодня уже 4/43 - Каспер в том числе: http://www.virustotal.com/file-scan/report...c560-1326267990 Радует уже хотя бы то, что криптер я спалил. Вопрос - как раскриптовать файл и узнать координаты "хозяина" зверушки?
SLASH_id Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 (изменено) Ну... Вопрос вы конечно задали. Что значит "раскриптовать"? Распаковать, декомпилировать, разобрать код? Так это вам врядли поможет узнать хозяина данного произведения. они же там свою фамилию и адрес как-то не пишут. Судя по описанию данного семейства вирусов в частности 4x экземпляров конкретно Shiz: http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.ez http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.ee http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.aq http://www.securelist.com/ru/descriptions/....Win32.Shiz.acs данное семейство достаточно злое) Скорее всего если атака была целенаправленной и имела цель конкретно вас, то кто-то тупо взял или купил где-то исходник и достаточно грамотно его обфусцировал. Изменено 11 января, 2012 пользователем SLASH_id
Spaceoddity Опубликовано 11 января, 2012 Автор Опубликовано 11 января, 2012 Ну... Вопрос вы конечно задали. Что значит "раскриптовать"? Распаковать, декомпилировать, разобрать код? Так это вам врядли поможет узнать хозяина данного произведения. они же там свою фамилию и адрес как-то не пишут. Ну если это "сервер удалённого управления" куда-то же он должен был слать логи, коннектиться по IP или через "No-Ip" и т.д. Просто боюсь что одной этой "шуткой" дело не ограничится... А у меня рабочий комп - куча баз, дампов, репозитории, поднятый локальный сервер, виртуальная машина и т.д. Куча открытых портов - отследить всё невозможно! Вчера поставил триальную Авиру - но в ней нет файервола... Страшненько!.. P.S. "раскриптовать" - я так думаю "декомпилировать". А какие варианты можно предложить в данной ситуации? Может опять закинуть этот файл (я его вручную удалил - показалось странным название системного или доверенного процесса - hemmoragic. копия в архиве.) и посмотреть через какой-нибудь TCP-viewer куда попытается коннектиться?
SLASH_id Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 (изменено) Вчера поставил триальную Авиру - но в ней нет файервола...Страшненько!.. Э-м-м-м-м... Собственно если страшненько то сходите и купите себе в магазине комплексную антивирусную защиту тем более если вам так дорога ваша машина и ваши данные. "раскриптовать" - я так думаю "декомпилировать" Чтобы что-то декомпилировать нужны знания. Специальные знания. Я честно говоря даже не нашел сведений по упаковщику данного вируса. Хотите знать? Обратитесь к специалистам которые за соответствующую плату в какие-то сроки возможно смогут Вам помочь если вы сможете предоставить экземпляр данного зверя на анализ. Ну или сразу в отдел К. посмотреть через какой-нибудь TCP-viewer куда попытается коннектиться? Нужны только IP адреса? Тогда какие проблемы? Виртуальная машина, WireShark и вперед) Изменено 11 января, 2012 пользователем SLASH_id
Spaceoddity Опубликовано 11 января, 2012 Автор Опубликовано 11 января, 2012 Спасибо за ответ. Будем думать...
Tiare Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 Spaceoddity, сделайте логи по правилам данного раздела. Проверим, все ли чисто у вас в системе. Насчет Backdoor.Win32.Shiz, советую сменить важные пароли, т.к. зловреды данного вида похищают конфиденциальную информацию.
Spaceoddity Опубликовано 11 января, 2012 Автор Опубликовано 11 января, 2012 Вот логи. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt
Tiare Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 (изменено) Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Users\Nanto\AppData\Local\Temp\7446.tmp',''); QuarantineFile('C:\Users\Nanto\AppData\Local\Temp\3qYA23iw.sys',''); QuarantineFile('C:\Users\Nanto\AppData\Roaming\igfxtray.dat',''); DeleteFile('C:\Users\Nanto\AppData\Roaming\igfxtray.dat'); DeleteFile('C:\Users\Nanto\AppData\Local\Temp\7446.tmp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать F3 - REG:win.ini: load=C:\Users\Nanto\AppData\Local\Temp\7446.tmp F3 - REG:win.ini: run=C:\Users\Nanto\AppData\Local\Temp\7446.tmp O4 - HKCU\..\Run: [userinit] C:\Users\Nanto\AppData\Local\Temp\7446.tmp >> Нарушение ассоциации REG файлов >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей >> Некорректный элемент автозапуска Исправьте то, что считаете нужным, с помощью Мастер поиска и устранения проблем Обратите внимание >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Файл Hosts сами правили? Вам известно, что это за папки и что в них? C:\Users\Nanto\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 C:\Users\Nanto\AppData\Roaming\MicroST C:\Users\Nanto\AppData\Roaming\Proxima Software C:\Users\Nanto\AppData\Roaming\TortoiseSVN Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Изменено 11 января, 2012 пользователем Tiare
Spaceoddity Опубликовано 11 января, 2012 Автор Опубликовано 11 января, 2012 Уф... Ну и задали задачу! 7446.tmp и был тем "зверем" - я его удалил, копию в архив. Но ради чистоты эксперимента, закинул обратно. Архив отправил. При выполнении первого скрипта появлялись ошибки и AVZ аварийно закрывался. Скрин прилагаю. Поэтому пришлось убрать из скрипта строчку на проверку руткитов. После этого скрипт выполнился и карантин создал. HijackThis ничего из этих строк не нашёл. С автозапуском разберусь. С доступом тоже. Только >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это как? К локальным дискам надо запретить административный доступ? hosts мой. Папки - да, от программных продуктов. MicroST - незнакома, но она пустая - удалил. info.txt log.txt mbam_log_2012_01_11__18_20_37_.txt virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 (изменено) Spaceoddity, проверьте на virustotal.com E:\Soft\Inet\Браузеры\opera.exe ссылку приложите Изменено 11 января, 2012 пользователем Roman_Five
Tiare Опубликовано 11 января, 2012 Опубликовано 11 января, 2012 Только >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это как? К локальным дискам надо запретить административный доступ? Знающий пароль администратора имеет полный доступ из локалки к вашим дискам, т.е. если вам не нужно, чтобы кто-то имел доступ извне к вашим дискам, то можно отключать. Пишу скрипт с учетом того, что вы решили отключать доступ к локальным дискам (C$, D$ ...), поэтому, если это не требуется, исключите из скрипта данную строку RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RebootWindows(true); end. Деинсталлируйте Malwarebytes' Anti-Malware Это знакомо C:\ARO2011_bt.exe? Повторите лог RSIT
Spaceoddity Опубликовано 12 января, 2012 Автор Опубликовано 12 января, 2012 Это портабельная версия Оперы, ни разу не пользовался. Но... http://www.virustotal.com/file-scan/report...d66d-1326356877 C:\ARO2011_bt.exe - это то, что качается по первой ссылке вместо Malwarebytes - удалено. Логи приаттачены. info.txt log.txt
Roman_Five Опубликовано 12 января, 2012 Опубликовано 12 января, 2012 Это портабельная версия Оперы, ни разу не пользовался. Но... если нужна - заархивируйте с паролем virus и отправьте в вирлаб. возможно, фолс детекта... если не нужна - удаляйте.
Tiare Опубликовано 14 января, 2012 Опубликовано 14 января, 2012 Spaceoddity + вышесказанному Скопируйте этот текст в блокнот и сохраните под любым именем с расширением .reg Запустите созданный файл и подтвердите внесение изменений в реестр. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- Проверьте, если после выполнения данного твика такая запись в реестре отсутствует, [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"system"=C:\Users\Nanto\AppData\Local\Temp\7446.tmp то на этом лечение закончено. Если запись на месте - отпишитесь. Ответ по карантину пришел?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти