Решена WORM_DOWNAD.AD

Статус
В этой теме нельзя размещать новые ответы.

Winston

Новый пользователь
Сообщения
21
Реакции
0
Добрый день. Надеюсь на вашу помощь.
На съемных носителях создается Autorun.inf и папка Recycled. Антивирус стоит Trend Micro. Через некоторые промежутки времени (несколько часов) он определяет следующее:
WORM_DOWNAD.AD from C:\Windows\system32\x.
CureIt ничего не определил.
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\hijmq.dll');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
 
Winston, у вас kido, нужно ещё сделать логи Gmer.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 
После проверки Комбофиксом и перезагрузки, винда потеряла регистрацию. Загрузился в безопасном режиме, лог сформировался в нем же.

При проверке Гмером после того как убираю указанные галки (Sections,
IAT/EAT, Show all) и запускаю скан, почти сразу выдает ошибку "приложение будет закрыто". Удалось просканировать с активной галкой "show all". gmer.exe даже и переименовывал - не помогло )))
 
Последнее редактирование:
c:\windows\system32\winlogon.bak - проверьте на http://www.virustotal.com

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\hijmq.dll
c:\windows\system32\x_810.VIR
c:\windows\system32\x_82c.VIR
c:\windows\system32\x_814.VIR
c:\windows\system32\x_818.VIR
c:\windows\system32\x_81c.VIR
c:\windows\system32\x_824.VIR
c:\windows\system32\x_828.VIR
c:\windows\system32\x_830.VIR
c:\windows\system32\x_730.VIR
c:\windows\system32\x_728.VIR
c:\windows\system32\x_718.VIR
c:\windows\system32\x_72c.VIR
c:\windows\system32\x_714.VIR
c:\windows\system32\x_71c.VIR
c:\windows\system32\x_710.VIR
c:\windows\system32\x_724.VIR
c:\windows\system32\x_620.VIR
c:\windows\system32\x_720.VIR
c:\windows\system32\x_3a4.VIR
c:\windows\system32\x_4f0.VIR
c:\windows\system32\x_4bc.VIR
C:\sccfg.sys
c:\windows\system32\x_474.VIR
c:\windows\system32\x_478.VIR
c:\windows\system32\x_46c.VIR
c:\windows\system32\x_464.VIR
c:\windows\system32\x_468.VIR
c:\windows\system32\x_45c.VIR
c:\windows\system32\x_470.VIR
c:\windows\system32\x_460.VIR
c:\windows\system32\x_14c.VIR
c:\windows\system32\x_420.VIR
c:\windows\system32\x_454.VIR
c:\windows\system32\x_154.VIR
c:\windows\system32\x_49c.VIR
c:\windows\system32\x_4c0.VIR
c:\windows\system32\x_4f8.VIR
c:\windows\system32\x_2b8.VIR
c:\windows\system32\x_4a4.VIR
c:\windows\system32\x_47c.VIR
c:\windows\system32\x_17c.VIR
c:\windows\system32\x_174.VIR
c:\windows\system32\x_4a0.VIR
c:\windows\system32\x_4fc.VIR
NetSvc:: 
hgonqhxb
sumkyru
eaich
Driver::
eaich
hgonqhxb
sumkyru
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"= -
FileLook::

DirLook::
c:\program files\SBSign
KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте и запустите утилиту MBR

После окончания сканирования утилитой сохранится лог mbr.txt в той же папке откуда запущена утилита.
Приложите её лог к следующему сообщению.
 
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\x_254.VIR
c:\windows\system32\x_820.VIR
c:\windows\system32\x_1f4.VIR
Driver::

Folder::

Registry::

FileLook::

DirLook::

KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Acrobat 7.0 обновите до Acrobat 7.х
 
Только вот не пойму, зачем акробат обновлять?
 
что с проблемами?
 
Да вроде как пока нормально (антивирусник не загружен)). А последний лог нормальный?
 
Да нормальный.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Спасибо всем, кто помог. Карантин скину только в четверг, так как доступа к этому компютеру пока не будет.
 
Сегодня добрался до этого компа, а там ...
Походу не помогло (((
 
Выполните рекомендации из этой темы

И подготовьте логи Combofix и Gmer.
 
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???

GUI Command for KidoKiller.zip, Утилита EConfickerRemover.exe от Eset - ничего не нашли. Вот логи комбофикса и гмера.
 
C:\Windows\System32\drivers\atapi.sys - проверьте на www.virustotal.com

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\01.tmp
c:\windows\system32\hijmq_200.VIR
c:\windows\system32\x_3ac.VIR
c:\windows\system32\x_3f4.VIR
c:\windows\system32\x_ac.VIR
c:\windows\system32\x_368.VIR
c:\windows\system32\x_398.VIR
c:\windows\system32\x_404.VIR
c:\windows\system32\01_2b8.VIR
Driver::
otomyjde
rctmyoyst
sumkyru

NetSvc:: 
otomyjde

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rctmyoyst]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"=-

FileLook::

DirLook::

KillAll::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???

Признаки на лицо, но я так и не видел карантина. Антивирус оперативно удаляет создаваемые файлы, вот и не может зловред полностью развернуть функционал.

Заплатки ставили?

Acrobat 7.0 - так и не обновили. Это большая брешь в защите системы.
 
C:\Windows\System32\drivers\atapi.sys - проверил на www.virustotal.com.
Похоже что-то есть.
Карантин отправил. Заплатки поставил. Обновление акробата онлайн не скачивается, делаю потом.

И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
 
Последнее редактирование:
Похоже что-то есть.
Скорее всего фолс.


И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
Ваш антивирус не давал полностью развернутся вредоносу.

Ладно.. мы гоняем ветер.

Отключите все сетевые шары, отключите доступ к сетевым принтерам, поменяйте пароль на учетную запись администратора, включите встроенный фаерволл и уберите в настройках все исключения.
Надеюсь заплатки были установлены.

И CF найсточиво говорит о бутките.
Проведите лечение согласно этих рекомендаций
http://www2.gmer.net/mbr/


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\system32\01.tmp
c:\windows\system32\01_6fc.VIR
c:\windows\system32\hijmq_6f4.VIR
c:\windows\temp\QOF8B0.EXE
NetSvc::
cftyzg
cbrbmqhpo
Driver::
cftyzg
cbrbmqhpo
Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cftyzg]
KillAll::
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу