Вирус в недрах компьютера

[ernan]

Приветствую!

Пару дней назад съемный жесткий диск был заражен вирусом, который блокировал доступ к дискам из "Мой Компьютер". При попытке открыть C: вирус ссылался в реестр, блокированный антивирусом Rising Antivirus.

Registry Key:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\NTMON

Modified

 

(PID:3436)(TID:3484)D:\NT.EXE

Version:

Manufacturer:

 

Все зараженные диски содержат 2 файла: NT.exe и autorun (C:\NT) (D:\NT) (G:\NT)

 

[Autorun]

open=nt.exe

shell\Open\command=nt.exe

 

При попытке открыть Касперский выдает сообщение о заражении Worm P2P.generic, онлайн скан файла NT.exe открыл вирус Worm.Win32.AutoRun.cio

 

Что это?

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Fedor]

Скажите, а вы пробовали провести проверку компьютера в безопасном режиме?

[Vsoft]

Советую избавиться от руткитов используя RootkitRevealer

[ernan]

Скажите, а вы пробовали провести проверку компьютера в безопасном режиме?

 

Пробовал - программа просто не видит вирус во время скана. А удаление непосредственных файлов ни к чему не приводит.

[akoK]

Выполнить скрипт

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('I:\nt.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('H:\nt.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\nt.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\nt.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\Drivers\RsNTGdi.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\BaseTDI.SYS','');
QuarantineFile('C:\WINDOWS\system32\RavExt.dll','');
QuarantineFile('C:\WINDOWS\system32\kakatool.dll','');
QuarantineFile('C:\Program Files\Tencent\QQ\QQ.EXE','');
QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\nt.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\nt.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\nt.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\nt.exe');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Потом

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Карантин отправить на akok<гАв>virusinfo.info

 

Повторите логи.

Изменено 21 марта, 2008 пользователем akoK

[ernan]

Все в норме. Карантин послал на почту.

 

Уточню - какие именно логи повторить?

[ТроПа]

Все логи. Как Вы делали в первый раз.

 

Кстати, один из посетивших Вас друзей, похоже любитель чужих паролей к он-лайн играм, т.к. если играете в он-лайн игры - томеняйте пароли.

[ernan]

Все логи. Как Вы делали в первый раз.

 

Кстати, один из посетивших Вас друзей, похоже любитель чужих паролей к он-лайн играм, т.к. если играете в он-лайн игры - томеняйте пароли.

 

Можно поподробнее об этом? Где именно и как?

 

Logs:

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 21 марта, 2008 пользователем ernan

[ТроПа]

Можно поподробнее об этом? Где именно и как?

Что подробней?

[ernan]

Кстати, один из посетивших Вас друзей, похоже любитель чужих паролей к он-лайн играм, т.к. если играете в он-лайн игры - томеняйте пароли.

 

Это.

[ТроПа]

А что тут пояснять. По тому количеству авторанов и иже с ними можно предположить, что это именно крадий и был. Обычно он любит с таким кортежем прохаживаться. Занести его можно и со съёмного носителя, так что не удивляйтесь, если в игры не играете то откуда он. Кстати скрытые и системные файлы нормально показывало? Если нет - то явно прослеживается его рука.

Вы akoK отправляли карантин или нет. Он говорит что не получал. продублируйте на wise-wistful(гав)virusinfo.info (гав) - это @

Изменено 21 марта, 2008 пользователем wise-wistful

[akoK]

Нет в почте карантина

[ernan]

Повторил послание.

 

Системные файлы в принципе нормально показывались. Проблем с этим не было.

 

В любом случае спасибо за помощь. Вы так сказать спасли жизнь

[ТроПа]

В карантине RsNTGdi.sys, BaseTDI.SYS, RavExt.dll, RUNDLLFROMWIN2000.EXE - чистые, на всех дисках nt.exe - Worm.Win32.AutoRun.cio.

QQ.EXE и kakatool.dll - поищите при помощи АВЗ сервис--поиск файлов на диске.

1. Выберите "Файл" - "Добавление в карантин по списку".

2. В верхнем окне введите список файлов которые Вас просили прислать.

3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"

4. Закройте текущее окно "Добавление в карантин по списку"

5. Выберите из меню "Файл" - >"Просмотр карантина".

6. Справа в списке файлов отметьте те файлы которые хотите выслать.

7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

8. Отправьте полученный архив на адрес wise-wistful(гав)virusinfo.info (гав) - это @

Изменено 22 марта, 2008 пользователем wise-wistful