Атака вируса Net-Worm.Win32.Kido.ed

[BigDeF]

Примерно 2 дня назад началось.

Работает вирус приблизительно так-при запуске медиа файла-например фильма-говорит что не может найти кодеки, аудиоустройство, делает стиль Винды под 98, панель делает в 1 строку(панель задач, я по дефолту делаю в 2 раза шире) и рубает все службы управления сетью-сервер папки обмена, сетевые подключения и т.п.

 

Kaspersky Internet Security 2009 нашел, вроде удалил, но вирус и дальше работает.

 

Только что КИС сказал, что базы повреждены и отключил защиту. Потом сказал что лицензии нету. Обновил, вроде все включилось.

З,Ы, Заплатку попробовал поставить-сказала винда, что на сп 3 она уже стоит. И автозапуск отключил на девайсах, флеху втыкал- в тотале ничего не увидел, чиста. никаких авторанов и т.п. Ах да, и восстановление системы выключено по дефолту, не люблю лишнего на компе. Винда ХР СП 3.

З,Ы,Ы, Кстати, что характерно. Примерно дня 4 назад начались атаки от компов, несуществующих и существующих в сети(т.е. компы есть такие, но они сейчас выключены и не в сети). Сетевые атаки. Скрин я тогда на всякий случай сделал, прикладываю. Прошу помочь как можно быстрее! Спасибо заранее за советы

З,Ы,Ы, КИС врубился, просканировал все по-быстрому, и даже после обновлений ничего не нашел.

 

Добавляю отчет и анализ GetSysInfo

http://gsi.kaspersky.fr/read.php?file=d8b8...0945013bc7adc5a

 

 

Так же воспользовался утилой KWLK.

При сканировании в памяти ничего не нашло.

Запустил с ключом /s, лог будет утром...

 

 

Лога нет, но утила ничего не обнаружила, а симптомы вируса и дальше работают(сетевые атаки продолжаются).

 

Ах да, есть еще один вопрос... Как убрать файл с карантина в КИС 2009? я вообще не могу найти этот карантин и резервное хранидище, хотя в ранних версиях КАВ его можно было нормально посмотреть и отмодерировать там файлы по своему усмотрению.

15.01.2009 9:40:44 G:\Total Commander PE\TotalCommanderPodarokEdition21.exe Total Commander 32 bit international version, file manager replacement for Windows Помещено на карантин Вредоносная программа Multi.Packed Средняя Эвристический анализ

Вот Такого вот типа мессага в отчете светится.

Нашел на сайте каспера руководство как изъять файлы, но мало что понял. Может вы лучше обьясните?

"Продукты Лаборатории Касперского версии 2009 хранят файлы, помещенные на карантин и в резервное хранилище, в следующих папках:

 

* Операционная система Windows XP:

o \Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\QB - папка файлов, помещенных на карантин и в резервное хранилище

 

Файлы в этих папках хранятся во внутренних бинарных форматах. Файлы из карантина и резервного хранилища можно восстановить при помощи другого компьютера, скопировав файлы карантина и резервного хранилища из папок, которые перечислены выше, в соответствующие папки на другом компьютере."

 

 

Выделенного не совсем понял. Каак это сделать? и откуда мне узнать какой файл мне нужен и какой был его прежний размер и его название-это очень важно, ведь в Qb все файлы названы вот так по типу:

7c83119ed1221d81.klq

06441810ba180c05.klq

bt.avz

e4185662125b11cd.klq

f2e127e68f568b84.klq

fcc27deb8e8f233f.klq

tsw.avz

 

Что делать, как быть? Помогите, очень прошу!

 

Строгое предупреждение от модератора Elly

Красным здесь пишет только администрация

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

sysinfo.txt

Изменено 16 января, 2009 пользователем Elly

[sergtask]

C:\D&S\All Users\Главное меню\Программы\Автозагрузка\desktop.ini я б убрал из автозапуска

а это б удалил c:\program files\supercopier2\supercopier2.exe.

а вообще подожди немного сейчас появиться народ бысто диагноз поставят

[BigDeF]

а это б удалил c:\program files\supercopier2\supercopier2.exe.

норм програмулина, ничего вредоносного ни разу за ней не замечал КИС. тоже жду экспертов...

 

 

а в том .ини всего лишь

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Изменено 15 января, 2009 пользователем BigDeF

[Falcon]

Выполните в AVZ:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\hporclnr.exe');
QuarantineFile('C:\WINDOWS\Temp\mc21.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a2qnpl53.SYS','');
QuarantineFile('c:\windows\hporclnr.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ao78t4u4.SYS','');
DeleteFile('c:\windows\hporclnr.exe');
DeleteFile('C:\WINDOWS\Temp\mc21.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\a2qnpl53.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\ao78t4u4.SYS');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи, надобно затереть нехороший TMP из модулей пространства ядра. Карантин отправьте на newvirus@kaspersky.com.

 

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.

Скачайте и установите вот отсюда.

Изменено 15 января, 2009 пользователем Falcon

[BigDeF]

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.

Скачайте и установите вот отсюда.

У меня стоит Винда Хп сервис паком 3, там это обновление по умолчанию стоит, я пробовал установить, мне ответили, что такое обновление у меня уже установлено

 

АВЗ обновил, сейчас логи будут.

Что на счет карантина мне порекомендуете? я реально не знаю как его найти в КИС 2009, и не могу изьять из него нужные мне файлы!

 

Выполнил скрипт авз, отослал карантин, пришел ответ:

hporclnr.exe,

KBHook.dll

 

Вредоносный код в файлах не обнаружен.

 

>From: bigdef@gmail.com

>Sent: Jan 15 2009 1:52PM

>To: "New Virus" <newvirus@kaspersky.com>

>Subject: Вирус

>

>Собсно, вот!

> http://forum.kasperskyclub.ru/index.php?showtopic=7442

> --

> С уважением, Деф

>

 

 

С уважением,

Вирусный Аналитик.

_____________________

ЗАО "Лаборатория Касперского"

Россия, Москва

Тел. : +7 (495) 797-8700

E-mail : newvirus@kaspersky.com

Internet : http://www.kaspersky.com, http://www.viruslist.com

 

Это сообщение или его часть не может быть опубликована в любых средствах массовой информации, форумах, конференциях и.т.д, без предварительного разрешения отправителя.

 

При ответе цитируйте всю предыдущую переписку.

Спасибо.

 

 

Логи ниже.

 

вот, только что опять....

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 15 января, 2009 пользователем BigDeF

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[BigDeF]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

 

* Скачайте установочный файл для своей ОС и сохраните на рабочий стол.

Windows XP Professional с пакетом обновления 2 (SP2)

Windows XP Home Edition с пакетом обновления 2 (SP2)

 

Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2

 

Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.

 

* Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.

 

 

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

надоело все это делать, винду переделало до неузнаваемости-забил, удалил так, как посоветовал товарищ вот

http://forum.kasperskyclub.ru/index.php?sh...amp;#entry76172

 

мда, а ответов на все вопросы мне так и не дали..

что с карантином делать, как оттуда файлы изымать?

[sergio342]

Раздел 2, вопрос 2: http://forum.kaspersky.com/index.php?showt...mp;#entry683828

[BigDeF]

собсно картинки приложены.

ничего восстановить не удается ;(

Изменено 16 января, 2009 пользователем BigDeF

[Alexey_I]

надоело все это делать, винду переделало до неузнаваемости-забил, удалил так, как посоветовал товарищ вот

ничего восстановить не удается ;(

Будете продолжать заниматься самолечением или всё-таки выложите логи? Если 2-ое, сделайте ещё лог gmer (после логов из поста 6). Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[BigDeF]

ща будут логи.

 

.

info.txt

log.txt

fast_gmer.log

full_gmer.log

[Alexey_I]

Сделайте остальные логи

[BigDeF]

combofix

ComboFix.txt

[Alexey_I]

Запустите gmer, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл

C:\WINDOWS\system32\tyegajdg.dll

Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.

Выберите вкладку Sevices найдите

biarxife

pgbcxl

Пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Удалите в реестре (если останется), можно тоже через gmer - вкладка Registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxl

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife

Файл можете отослать на newvirus@kaspersky.com

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::
c:\windows\Temp\mc21.tmp
H:\evuzrb.exe
C:\WINDOWS\system32\tyegajdg.dll

Driver::
biarxife
pgbcxl
mchInjDrv

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1457:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03c38ccb-cd23-11dd-bd23-001731650ace}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35b4904d-bcc1-11dd-bd1f-001731650ace}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxl]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pgbcxl]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\biarxife]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\pgbcxl]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\biarxife]

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

 

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

[BigDeF]

Запустите gmer, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл

Цитата

C:\WINDOWS\system32\tyegajdg.dll

 

Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.

 

файла там уже нету, его касперский удалил по ходу дела.

Выберите вкладку Sevices найдите

Цитата

biarxife

pgbcxl

 

Пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Удалите в реестре (если останется), можно тоже через gmer - вкладка Registry

Цитата

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxl

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife

 

удалить не могу, снизу скриншот. все выделено красным. удалить просто невозможно.

 

 

 

P.S. спасибо за быстрое реагирование, продолжаю действовать по инструкциям.

 

gmer снова нашел заразу;(

 

 

короче вроде разобрался что к чему, нашел сам в реестре в сервисах его папки, а удалить не могу почему? да все просто, разрешения - добавил себя, добавил полный доступ-и сразу все удалилось. систем32 пару раз просканил на характерный размер файла в байтах-167324, ничего не нашел, обновил касперского-опять же пусто. ну Слава Богу, наверное уже все. Если атак не будет-значит наверное пусто. Спасибо большое всем.

 

впрочем, может быть до конца и не долечил ;((((( сетевые атаки на порт 445 продолжаются, хотя гмер ничего не показывает ;(

ComboFix.txt

gmer_fast.log