buritos и karina
Я снова в строю :-). Отпуск закончился и снова начались трудовые будни.
Сегодня столкнулся с вирусом создающим файлы buritos.exe и karina.dat, этот вирус выкидывает около часов таблицу о том что компьютер заражен.
Вирус блокирует Касперского и AVZ.
Я провел очистку System Volume Information (для этого нужно добавить текущего пользователя и дать ему полные права и после этого удалить директорию) и удалил временные файлы интернет.
Для запуска «скальпеля-антивируса» AVZ необходимо переименовать запускаемый файл avz.exe в ,например, cat.exe и выполнить скрипт:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe',''); QuarantineFile('C:\Program Files\Adresa&Telefon\Sovpadenie.dll',''); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('c:\windows\system32\buritos.exe',''); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\H0ABC45X\Install[1].exe'); BC_ImportAll; BC_DeleteSvc('Beep'); BC_Activate; ExecuteSysClean; RebootWindows(true); end. |
после перезагрузки
заработал касперский (KAV 7.0), который до этого тихо молчал и не запускался, он обновился и после перезагрузки добил заразу и все стало быстро и красиво :-).
P.S. AVZ с KAV рулят!
P.S.S. Постоянно забываю как это делается — поэтому пишу тут:
для нормальной загрузки сеанса Windows должна присутствовать переменная в реестре по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Переменная Userinit
Значение C:\WINDOWS\system32\userinit.exe,
С — диск где расположена Windows
Если невозможно отредактировать реестр на зараженном компьютере (например, входим в сеанс, а оно сразу выходит), то редактирование реестра можно произвести загрузившись с загрузочного диска или другой системы и:
1. Запускаем regedit и выделяем раздел HKEY_USERS.
2. Выбираем в меню программы File — Load Hive (Файл — Загрузить куст) и перейдем к папке, где находится реестр Windows (обычно C:\Windows\System32\Config).
3. Выбираем файл SOFTWARE без расширения и нажимаем Open (Открыть).
4. Вводим имя для раздела, который вы загрузили, например, Kust.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit —
это будет:
HKEY_USERS\Kust\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
закончив редактирование, обязательно нужно выгрузить раздел. Для этого выделяем ветку Kust и выбираем в меню программы File — Unload Hive (Файл — Выгрузить куст).
Вот блин, пока читал пост — яичница сгорела, ну бывает же такое, елки палки.
а у тебя сам файл karina.dat исчез? и ключ в реестре HKLM\Soft…\WinNT\Windows\ app_init_dll == karina.dat?
а то у меня тоже каспер запустился, удалил файлы , а в реестр этот ключ уже и winlogon и regmon и svchost дружно пишут!
Скрипт правда я не выполнял у мя 5-й каспер, а так … вопрос?
блин не Аноним, а то некрасива как-тоо
karina.dat потом удалил касперский, но главное применить скрипт, который удалит файлы и проведет чистку реестра!
не помог скрипт, — файл остался и ключ тоже, сообщение — понятно пропало, каспер — работает, новехонькие базі, а єнтот файл всеравно — сидит!!!
у меня сейчас нету того компьютера, чтобы это проверить.
самое главное что касперский не видит угрозы и нет никаких табличек
Вирус называется Win32.Agent.aeth, сам поймал его на машине. Прописывается как фон рабочего стола и как заставка к рабочему столу, после чего отключает возможность изменять свойства рабочего стола. Надо загрузить систему с компакт диска и вручную почистить все, что указано как скрипт к АVZ и очистить все временные папки.
Кроме того, удалить файл подкачки винды и создать снова, если выскакивает синий экран.
Nik, спасибо, будем знать как лечить, если что!
У меня пишет ошибку в скрипте
У меня он точно отрабатывался.
Попробуй уменьшить его и постепенно добавлять пока не найдешь в чем ошибка.
Вообщем спасибо наконец вычистил вроде эту заразу. Переименовать авз не догадался. И удаляй эти говнокомменты
Пожалуйста!
Иногда непонятно это бот или человек просто черканул.
А так переодически удаляю
Спасибо за статью оказалась очень полезной.
столкнулся с этими вирусными файлами, на ноуте с WinXP Pro, лиц.
Dr.Web блокируется, cureit от Dr.Web тоже — при начале сканирования вылетает синий экран ошибки и перезагрузка.
По Вашему методу — скачал AVZ, записал скрипт. Действие его не понятное — после перезагрузки при запуске любой программы пишется «…karina.dat не является образом диска (или программы, не помню) …», что-то в этом роде. Вирус тоже остался.
Не жалуюсь — может я просто не разобрался и сделал что-то не так.
С расстройства сделал восстановление системы с более ранней точки, оказалось что точка была до вируса и не старая. Так что потом просто тупо запустил cureit и все вылечил: сидели вирусы Trojan.Fakealert.xxxx
Trojan.Packed.612, Trojan.Proxy.1739, Trojan.Rntm.10, BackDoor.Bulknet.238
to Андрей
Ого. Где же ты столько нахватал? Используй 7 или 8 касперского и все будет зашибись. Систему конечно нагружает, но дело свое делает хорошо ;-).