buritos и karina
Я снова в строю :-). Отпуск закончился и снова начались трудовые будни.
Сегодня столкнулся с вирусом создающим файлы buritos.exe и karina.dat, этот вирус выкидывает около часов таблицу о том что компьютер заражен.
Вирус блокирует касперского и AVZ.
Я провел очистку System Volume Information (для этого нужно добавить текущего пользователя и дать ему полные права и после этого удалить директорию) и удалил временные файлы интернет.
Для запуска ”скальпеля-антивируса” AVZ необходимо переименовать запускаемый файл avz.exe в ,например, cat.exe и выполнить скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(’C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe’,”);
QuarantineFile(’C:\Program Files\Adresa&Telefon\Sovpadenie.dll’,”);
QuarantineFile(’C:\WINDOWS\system32\winivstr.exe’,”);
QuarantineFile(’C:\WINDOWS\system32\karina.dat’,”);
QuarantineFile(’C:\WINDOWS\system32\ntos.exe’,”);
QuarantineFile(’C:\WINDOWS\System32\Drivers\Beep.SYS’,”);
QuarantineFile(’c:\windows\system32\buritos.exe’,”);
DeleteFile(’c:\windows\system32\buritos.exe’);
DeleteFile(’C:\WINDOWS\System32\Drivers\Beep.SYS’);
DeleteFile(’C:\WINDOWS\system32\ntos.exe’);
DeleteFile(’C:\WINDOWS\system32\karina.dat’);
DeleteFile(’C:\WINDOWS\system32\winivstr.exe’);
DeleteFile(’C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe’);
BC_ImportAll;
BC_DeleteSvc(’Beep’);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
после перезагрузки
заработал касперский (KAV 7.0), который до этого тихо молчал и не запускался, он обновился и после перезагрузки добил заразу и все стало быстро и красиво :-).
P.S. AVZ с KAV рулят!
P.S.S. Постоянно забываю как это делается - поэтому пишу тут:
для нормальной загрузки сеанса Windows должна присутствовать переменная в реестре по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Переменная Userinit
Значение C:\WINDOWS\system32\userinit.exe,
С - диск где расположена Windows
Если невозможно отредактировать реестр на зараженном компе (например, входим в сеанс, а оно сразу выходит), то редактирование реестра можно произвести загрузившись с загрузочного диска или другой системы и:
1. Запускаем regedit и выделяем раздел HKEY_USERS.
2. Выбераем в меню программы File - Load Hive (Файл - Загрузить куст) и перейдим к папке, где находится реестр Windows (обычно C:\Windows\System32\Config).
3. Выбираем файл SOFTWARE без расширения и нажимаем Open (Открыть).
4. Вводим имя для раздела, который вы загрузили, например, Kust.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit -
это будет:
HKEY_USERS\Kust\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
закончив редактирование, обязательно нужно выгрузить раздел. Для этого выделяем ветку Kust и выбераем в меню программы File - Unload Hive (Файл - Выгрузить куст).
Посты по теме:
Как быстро создать файл нужного размера в командной строке Windows?Windows 2003 и дополнительные утилиты
fetch: mc-4.6.2.tar.gz: local file
Как удалить заблокированный файл в Windows ?
DNS сервер на Windows XP
Вот блин, пока читал пост - яичница сгорела, ну бывает же такое, елки палки.
а у тебя сам файл karina.dat исчез? и ключ в реестре HKLM\Soft…\WinNT\Windows\ app_init_dll == karina.dat?
а то у меня тоже каспер запустился, удалил файлы , а в реестр этот ключ уже и winlogon и regmon и svchost дружно пишут!
Скрипт правда я не выполнял у мя 5-й каспер, а так … вопрос?
блин не Аноним, а то некрасива как-тоо
karina.dat потом удалил касперский, но главное применить скрипт, который удалит файлы и проведет чистку реестра!
не помог скрипт, - файл остался и ключ тоже, сообщение - понятно пропало, каспер - работает, новехонькие базі, а єнтот файл всеравно - сидит!!!
у меня сейчас нету того компьютера, чтобы это проверить.
самое главное что касперский не видит угрозы и нет никаких табличек
Вирус называется Win32.Agent.aeth, сам поймал его на машине. Прописывается как фон рабочего стола и как заставка к рабочему столу, после чего отключает возможность изменять свойства рабочего стола. Надо загрузить систему с компакт диска и вручную почистить все, что указано как скрипт к АVZ и очистить все временные папки.
Кроме того, удалить файл подкачки винды и создать снова, если выскакивает синий экран.
Nik, спасибо, будем знать как лечить, если что!
У меня пишет ошибку в скрипте
У меня он точно отрабатывался.
Попробуй уменьшить его и постепенно добавлять пока не найдешь в чем ошибка.
Вообщем спасибо наконец вычистил вроде эту заразу. Переименовать авз не догадался. И удаляй эти говнокомменты
Пожалуйста!
Иногда непонятно это бот или человек просто черканул.
А так переодически удаляю
Спасибо за статью оказалась очень полезной.
столкнулся с этими вирусными файлами, на ноуте с WinXP Pro, лиц.
Dr.Web блокируется, cureit от Dr.Web тоже - при начале сканирования вылетает синий экран ошибки и перезагрузка.
По Вашему методу - скачал AVZ, записал скрипт. Действие его не понятное - после перезагрузки при запуске любой программы пишется “…karina.dat не является образом диска (или программы, не помню) …”, что-то в этом роде. Вирус тоже остался.
Не жалуюсь - может я просто не разобрался и сделал что-то не так.
С расстройства сделал восстановление системы с более ранней точки, оказалось что точка была до вируса и не старая. Так что потом просто тупо запустил cureit и все вылечил: сидели вирусы Trojan.Fakealert.xxxx
Trojan.Packed.612, Trojan.Proxy.1739, Trojan.Rntm.10, BackDoor.Bulknet.238
to Андрей
Ого. Где же ты столько нахватал? Используй 7 или 8 касперского и все будет зашибись. Систему конечно нагружает, но дело свое делает хорошо ;-).