buritos и karina

Раздел: Windows, Советы
Написано: 28.08.2008
Автор: Antonio

Я снова в строю :-). Отпуск закончился и снова начались трудовые будни.

Сегодня столкнулся с вирусом создающим файлы buritos.exe и karina.dat, этот вирус выкидывает около часов таблицу о том что компьютер заражен.

kaspersky lab

Вирус блокирует Касперского и AVZ.

Я провел очистку System Volume Information (для этого нужно добавить текущего пользователя и дать ему полные права и после этого удалить директорию) и удалил временные файлы интернет.


Для запуска «скальпеля-антивируса» AVZ необходимо переименовать запускаемый файл avz.exe в ,например, cat.exe и выполнить скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe','');
QuarantineFile('C:\Program Files\Adresa&Telefon\Sovpadenie.dll','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe');
BC_ImportAll;
BC_DeleteSvc('Beep');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

после перезагрузки

заработал касперский (KAV 7.0), который до этого тихо молчал и не запускался, он обновился и после перезагрузки добил заразу и все стало быстро и красиво :-).

P.S. AVZ с KAV рулят!

P.S.S. Постоянно забываю как это делается — поэтому пишу тут:

для нормальной загрузки сеанса Windows должна присутствовать переменная в реестре по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Переменная Userinit
Значение C:\WINDOWS\system32\userinit.exe,
С — диск где расположена Windows

Если невозможно отредактировать реестр на зараженном компьютере (например, входим в сеанс, а оно сразу выходит), то редактирование реестра можно произвести загрузившись с загрузочного диска или другой системы и:

1. Запускаем regedit и выделяем раздел HKEY_USERS.
2. Выбираем в меню программы File — Load Hive (Файл — Загрузить куст) и перейдем к папке, где находится реестр Windows (обычно C:\Windows\System32\Config).
3. Выбираем файл SOFTWARE без расширения и нажимаем Open (Открыть).
4. Вводим имя для раздела, который вы загрузили, например, Kust.

Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit —
это будет:
HKEY_USERS\Kust\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

закончив редактирование, обязательно нужно выгрузить раздел. Для этого выделяем ветку Kust и выбираем в меню программы File — Unload Hive (Файл — Выгрузить куст).

Поделиться с друзьями или в соц.сетях (спасибо)
Ещё похожие заметки:

16 комментариев

Smolin
Авг 31, 2008 16:37

Вот блин, пока читал пост — яичница сгорела, ну бывает же такое, елки палки.

 
Аноним
Сен 2, 2008 16:01

а у тебя сам файл karina.dat исчез? и ключ в реестре HKLM\Soft…\WinNT\Windows\ app_init_dll == karina.dat?

а то у меня тоже каспер запустился, удалил файлы , а в реестр этот ключ уже и winlogon и regmon и svchost дружно пишут!
Скрипт правда я не выполнял у мя 5-й каспер, а так … вопрос?

 
Дёнька
Сен 2, 2008 16:01

блин не Аноним, а то некрасива как-тоо %)

 
Antonio
Сен 2, 2008 17:29

karina.dat потом удалил касперский, но главное применить скрипт, который удалит файлы и проведет чистку реестра!

 
Дёнька
Сен 3, 2008 11:09

не помог скрипт, — файл остался и ключ тоже, сообщение — понятно пропало, каспер — работает, новехонькие базі, а єнтот файл всеравно — сидит!!!

 
Antonio
Сен 3, 2008 11:11

у меня сейчас нету того компьютера, чтобы это проверить.
самое главное что касперский не видит угрозы и нет никаких табличек :-)

 
Nik
Сен 10, 2008 22:54

Вирус называется Win32.Agent.aeth, сам поймал его на машине. Прописывается как фон рабочего стола и как заставка к рабочему столу, после чего отключает возможность изменять свойства рабочего стола. Надо загрузить систему с компакт диска и вручную почистить все, что указано как скрипт к АVZ и очистить все временные папки.

 
Nik
Сен 10, 2008 22:56

Кроме того, удалить файл подкачки винды и создать снова, если выскакивает синий экран.

 
Antonio
Сен 11, 2008 00:32

Nik, спасибо, будем знать как лечить, если что!

 
Александр
Сен 11, 2008 17:13

У меня пишет ошибку в скрипте

 
Antonio
Сен 11, 2008 18:04

У меня он точно отрабатывался.
Попробуй уменьшить его и постепенно добавлять пока не найдешь в чем ошибка.

 
Денчик
Сен 13, 2008 16:51

Вообщем спасибо наконец вычистил вроде эту заразу. Переименовать авз не догадался. И удаляй эти говнокомменты

 
Antonio
Сен 14, 2008 00:03

Пожалуйста!
Иногда непонятно это бот или человек просто черканул.
А так переодически удаляю :-)

 
Kirill
Сен 15, 2008 00:40

Спасибо за статью оказалась очень полезной.

 
Андрей
Окт 1, 2008 13:08

столкнулся с этими вирусными файлами, на ноуте с WinXP Pro, лиц.
Dr.Web блокируется, cureit от Dr.Web тоже — при начале сканирования вылетает синий экран ошибки и перезагрузка.
По Вашему методу — скачал AVZ, записал скрипт. Действие его не понятное — после перезагрузки при запуске любой программы пишется «…karina.dat не является образом диска (или программы, не помню) …», что-то в этом роде. Вирус тоже остался.

Не жалуюсь — может я просто не разобрался и сделал что-то не так.

С расстройства сделал восстановление системы с более ранней точки, оказалось что точка была до вируса и не старая. Так что потом просто тупо запустил cureit и все вылечил: сидели вирусы Trojan.Fakealert.xxxx
Trojan.Packed.612, Trojan.Proxy.1739, Trojan.Rntm.10, BackDoor.Bulknet.238

 
Antonio
Окт 2, 2008 22:29

to Андрей
Ого. Где же ты столько нахватал? Используй 7 или 8 касперского и все будет зашибись. Систему конечно нагружает, но дело свое делает хорошо ;-).

 

Написать

Копирование информации с сайта возможно только с указанием прямой ссылки - https://nemcd.com