Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

Форумы Боевого Народа _ Oh my god! Вирусы и трояны _ Удалить вирус без переустановки системы

Автор: gutallin 10.3.2010, 8:40

Уважаемые специалисты по безопасности. Очень нужна ваша помощь.

OS - Windows XP SP3 заражённая http://www.virustotal.com/ru/analisis/93a53a92d1c5d13e1a3ac6aa4931ad89e42be44edc424580ec92406351049fb6-1267887241 вирусом (это на вирустотал ссылка, не бойтесь).
Анитивируса в системе нет. Установить не даёт вирус. Процесс вируса локализовать не получается, он присоединяется к какому-то системному.

При подключении к USB флеш накопителя, на нём создаются скрытая папка recycle.{645FF040-5081-101B-9F08-00AA002F954E} и скрытый файл Autorun.inf, а также модифицируются все файлы с расширением *.exe, скомпилированные без шифрования.

Портативный Dr.Web на машине запустить не удаётся, он модифицируется (а может просто блокируется) мгновенно.
Была попытка вылечить систему используя этот самый портативный Dr.Web на флешке, имеющей физический запрет на запись (выключатель такой на ней. Прелесть, а не устройство smile.gif ). Антивирус запустился со второго раза и нашёл в системе более 40 инфицированных файлов. Отрапортовал о том, что успешно "вылечил" большинство и удалил, несколько dll-ок, которые, видимо, вылечить не смог. Система стала ругаться на модифицированные системные файлы, попросила установочный диск, потом ребутнулась и всё осталось по-прежнему.
В безопасном режиме загрузиться не получается (при нажатии F8 происходит перезагрузка).

Переустанавливать систему нежелательно.

То, что вирус пишет на новые флешки, у меня есть. Могу выслать запароленным архивом.

P.S. Компьютеры, с установленными антивирусами вполне успешно отлавливают эту заразу на флешках, что вы можете наблюдать в отчёте Virustotal.

Автор: intsurfer 10.3.2010, 9:03

Для начала: на флешке можно сделать пустой файл Autorun.inf и поставить атрибут readonly

Автор: gutallin 10.3.2010, 9:14

Цитата(intsurfer @ Среда, 10 Марта 2010, 14:03:27) *
Для начала: на флешке можно сделать пустой файл Autorun.inf и поставить атрибут readonly
Во-первых: К этому компьютеру в день подсоединяется более 20-ти новых флешек.
Во-вторых: Заражён компьютер. Заражённые флешки успешно лечатся на других компьютерах.
В-третьих: Пробовал - не помогает. Если флешка не защищена специальной программой или не имеет физического выключателя защиты от записи, создание на ней файла или папки Autorun.inf с любыми атрибутами не помогает. Файл или папка заменяется.

Сам исполняемый файл, который пишется на флешку в момент её заражения имеет какие-то хитрые атрибуты. Его даже в линуксе не удаётся удалить с диска с правами пользователя. Только от рута.

Для ясности - дома я не пользуюсь Windows. Заражённый компьютер на работе. К нему имеют доступ три или четыре оператора и осуществляется большой документооборот на съёмных носителях.

Автор: antonn 10.3.2010, 9:20

Др.Веб - это не антивирус. Можно поставить триал KAV, и если возможно - сделать это с другой машины подключив винчестер. Надеяться что уже на контролируемой зловредом машине можно поставить антивирь не стоит smile.gif

Автор: Ffox 10.3.2010, 9:32

gutallin
Пиши на диск _http://www.freedrweb.com/livecd/ проверяй, потом это _http://support.kaspersky.ru/viruses/avptool2010?level=2 в безопесном режиме желательно

Автор: daimon_cnews 10.3.2010, 10:03

gutallin
Я в основном выбираю следующее:
- проверка по сети с другого компа
- перестановка харда в комп с антивирусом
- liveCD с антивирусом

Автор: gutallin 10.3.2010, 10:21

По сети проверить (вылечить) систему невозможно. Комп не подлючен ни к какой сети, и не должен быть подключен, ибо на HDD хранятся данные служебно-секретного характера.

По той же причине отпадает снятие винта и подключение к другой машине. Тем более, что выключать его нельзя, он должен работать круглосуточно. Его можно только иногда перезагружать

Проверка (лечение) с помощью разных антивирусов на LiveCD не помогает - вирус остаётся в системе.

Выходит остаётся только переустановка...

Этот вирус, кстати, заражает все файлы *.exe размером менее 10 Мб на всех локальных дисках.

З.Ы. Ещё раз:
Загрузка в безопасный режим заблокирована.
Ещё имеется такой симптом - во время работы постоянно идёт обращение к флоповоду.

Автор: R3PO 10.3.2010, 10:27

А там какой-то специализированный винонли софт?

Автор: gutallin 10.3.2010, 11:24

Нет там ничего специализированного. Любой десктопный Linux был бы вполне юзабелен.

У начальства "windows мозга" в хронической форме. Если на операторов (будут визжать, что ничего не работает) можно начихать - привыкнут, то с начальством пока так не получается.

Автор: R3PO 10.3.2010, 11:33

Цитата
Нет там ничего специализированного. Любой десктопный Linux был бы вполне юзабелен. У начальства "windows мозга" в хронической форме. Если на операторов (будут визжать, что ничего не работает) можно начихать - привыкнут, то с начальством пока так не получается.
Я бы предложил начальству все таки выбрать - или шашечки или ехать. Если нужны именно шашечки, то, поскольку лечение неэффективно, переставить систему и запланировать периодическую перестановку.

Автор: Ffox 10.3.2010, 11:37

gutallin
Тот же др.Вэб добавил этот вирус в базу только 6 марта, скачай его свежий LiveCD и возможно он справится.

Автор: gutallin 10.3.2010, 12:05

Цитата(R3PO @ Среда, 10 Марта 2010, 16:33:20) *
Я бы предложил начальству все таки выбрать - или шашечки или ехать. Если нужны именно шашечки, то, поскольку лечение неэффективно, переставить систему и запланировать периодическую перестановку.
Предлагал много раз уже - не помогает smile.gif

Если система переустановится, то в ней уже будет установлен антивирус, хотя, конечно, нет никакой страховки от повторения неприятности.

Цитата(Ffox @ Среда, 10 Марта 2010, 16:37:30) *
gutallin
Тот же др.Вэб добавил этот вирус в базу только 6 марта, скачай его свежий LiveCD и возможно он справится.
Ну... Тот Curelt, которым я проверял, был от 4 марта - он вирус находил. И даже рапортовал об успешном излечении.

Попробую, конечно.

Автор: Аноним Абсолютный 10.3.2010, 15:33

gutallin Ваша проблема решается в три этапа.
Первый - загрузка с приличного Лайф-СиДи с последующим прибитием ручками все автостарты в реестре.
Второй этап - на любой машине с резаком ставите триал Каспера, БартПЕ, разворачиваете дистр Винды - и с помощью Каспера создаёте "диск восстановления", с которого и грузитесь на заражённой машине. Откровенную гадость найдёт и вылечит. После этого - ставите на заражённую машину Каспера без активации, обновляете базы офф-лайн (подробные инструкции есть на сайте), затем - "Полная проверка" - и - усё в порядке.
К сожалению, подробных сцылок счас не дам - бо сижу в тьметаракане с очень медленным (100-120 кБит/сек) И-Нетом по сетям сотовой связи cry.gif .
Орлуше в своё время давал неплохой образ Лайв-СиДи, в котором есть достаточно мощный редактор реестра - спросите, может поделится.

Автор: gutallin 10.3.2010, 20:11

Спасибо за совет. Так я и поступлю.

Автор: orlusha 10.3.2010, 22:00

Цитата(Аноним Абсолютный @ Среда, 10 Марта 2010, 15:33:10) *
gutallin Ваша проблема решается в три этапа.
Первый - загрузка с приличного Лайф-СиДи с последующим прибитием ручками все автостарты в реестре.
Второй этап - на любой машине с резаком ставите триал Каспера, БартПЕ, разворачиваете дистр Винды - и с помощью Каспера создаёте "диск восстановления", с которого и грузитесь на заражённой машине. Откровенную гадость найдёт и вылечит. После этого - ставите на заражённую машину Каспера без активации, обновляете базы офф-лайн (подробные инструкции есть на сайте), затем - "Полная проверка" - и - усё в порядке.
К сожалению, подробных сцылок счас не дам - бо сижу в тьметаракане с очень медленным (100-120 кБит/сек) И-Нетом по сетям сотовой связи cry.gif .
Орлуше в своё время давал неплохой образ Лайв-СиДи, в котором есть достаточно мощный редактор реестра - спросите, может поделится.
:+: Отличная схема в 99% случаев. Однако я однажды попал на тот 1%, когда этот вариант не дал результата (экзотический локер).
В этом 1% помогают специализированные шарилки в реесте от Касперского и терпение. Много терпения.

Образ у меня в архиве, постараюсь актуализировать побыстрее.

А вот насчёт лечения заражённых экзешников... Почитайте у Касперского в базе, излечимы ли они. Не факт.

Автор: Аноним Абсолютный 11.3.2010, 1:28

orlusha Вы, по Вашим словам - попали с траблом на 7-ке - а там немножко другие расклады (связанные с правами доступа к файлам и некоторым веткам реестра).
Тут же речь идёт о ХРени. Хотя - 100% анлиз удалённо просто невозможен.

Автор: alki 12.3.2010, 3:06

gutallin,
попробуй avz (http://www.z-oleg.com/secur/avz/download.php)
скачай на домашний или другой комп (заодно и его проверишь)- обнови базы сканера -
потом - флешку и - на работу...
ежели чё - вышли ему свой вирус...
зы. в самом сканере оченна подробно Автор рассказывает о проге

Автор: gutallin 13.3.2010, 8:55

Аноним Абсолютный, огромное спасибо за Ваш образ LiveCD. Проблема решена.

Есть у меня один товарищ, он пользуется Антивирусом Касперского. По моей просьбе, он создал диск восстановления со свежими базами и выслал образ мне.

Делал я следующее:
Загрузился с LiveCD, почистил разделы автозагрузки реестра, затем загрузился с диска восстановления Касперского (кстати, какой там Linux используется? не слакварь, случайно?) и запустил полную проверку. Удалил он больше тысячи файлов (зараженные файлы приложений со всех разделов). Затем запустил Dr.Web CureIt. Тот тоже 17 или 18 длл-ок убил.
Не скажу, что система стала идеально чистой, но прекратились постоянные обращения к флоповоду и флешки она больше не заражает. Спокойно доживёт до уже запланированной переустановки в конце месяца.

Отдельное спасибо, всем кто помогал, передавал дежурный оператор этой машины. Вся операция заняла 1,5 часа.

Автор: orlusha 13.3.2010, 9:34

Цитата(Аноним Абсолютный @ Четверг, 11 Марта 2010, 01:28:30) *
orlusha Вы, по Вашим словам - попали с траблом на 7-ке - а там немножко другие расклады (связанные с правами доступа к файлам и некоторым веткам реестра).
Тут же речь идёт о ХРени. Хотя - 100% анлиз удалённо просто невозможен.
Да, локер был на семёрке у друзей. А на ХРени (уже у меня лично) был gxvx, который так никто толком ловить и не выучился. Тут и касперский не помог. Не представляю, как он ко мне залетел, разве что с закрытого сайта заказчика.

Автор: Павел TNR 20.3.2010, 2:00

Цитата
Отличная схема в 99% случаев. Однако я однажды попал на тот 1%, когда этот вариант не дал результата (экзотический локер).
В этом 1% помогают специализированные шарилки в реесте от Касперского и терпение. Много терпения.

Образ у меня в архиве, постараюсь актуализировать побыстрее.

А вот насчёт лечения заражённых экзешников... Почитайте у Касперского в базе, излечимы ли они. Не факт.


Излечимы факт. Но опять же смотря чем заражены. Точно помню Касперским лечил от Virus.Win32.Sality экзешники, прошло без проблем, тогда как остальные антивиры требовали основательно избавиться от них. После этого на каспера пересел окончательно, пока не подводил, в том числе и с ехе.

Автор: Павел TNR 20.3.2010, 5:28

[/quote]Да, локер был на семёрке у друзей. А на ХРени (уже у меня лично) был gxvx, который так никто толком ловить и не выучился. Тут и касперский не помог. Не представляю, как он ко мне залетел, разве что с закрытого сайта заказчика.
[/quote]

Так вроде выучились ловить gxvx уже smile.gif сам не сталкивался, знакомый рассказывал по этому поводу. Но проблему он каспером вроде и решил.

Автор: МеталлисТ 4.7.2010, 20:47

Друзья,беда.Завелся вирус,блокирует дистпетчер задач,грузит процессор.Не дает установить антивирус,с флешки сканер тож глушит.Форматнул жестак,не умер,сидит все равно.Что делать?

Автор: alvd 12.9.2010, 15:27

Цитата(gutallin @ Суббота, 13 Марта 2010, 05:55:42) *
Загрузился с LiveCD, почистил разделы автозагрузки реестра, затем загрузился с диска восстановления Касперского (кстати, какой там Linux используется? не слакварь, случайно?)
Gentoo


Цитата(МеталлисТ @ Воскресенье, 4 Июля 2010, 17:47:55) *
Друзья,беда.Завелся вирус,блокирует дистпетчер задач,грузит процессор.Не дает установить антивирус,с флешки сканер тож глушит.Форматнул жестак,не умер,сидит все равно.Что делать?

Не надо даже близко подносить к компу флешку, пока на свежеустановленную винду не прикручен антивирус. На сегодняшний день наверное KIS и из бесплатных - Avira. Сразу после установки - на сайт Каспера, качаем, тут же ставим и обновляем. Иначе никак.

Ещё рекомендую autoruns Руссиновича - всё расскажет о том кто и что запускает. А потом, как обычно, liveCD, последовательно AVZ и CireIt, непойманные образцы шлём Данилову и Касперскому, получаем спасибо или даже бонус.

Автор: superpuper 13.9.2010, 8:08

> На сегодняшний день наверное KIS и из бесплатных - Avira
из бесплатных - AVG

Форум Invision Power Board (http://nulled.cc)
© Invision Power Services (http://nulled.cc)