Приветствую всех!

Подцепил сегодня жуткий вирус, такого ещё не встречал. Итак, первые семптомы: вырубил прогу Atomic Alarm Clock (заменитель стандартным часам в трее) и записался на её место, т.е. удалил ориг. exe и встал под именем ориг. exe. Далее вырубил NOD32, удалил nod32ui.exe (или как-то там) и самое интересное удаляет любой файл с именем "nod32.exe", например можно переименовать любой файл на это имя и файл тут же изчезнет. И на последок через разные промежутки времени запускает iexplore (без появления окна, в фоне наверное каком-то). Подскажите, пожалуйста, как избавится от вируса, без сноса винды.

Прилагаю сам вирус. Будьте очень осторожны! _ttp://rapidshare.com/files/67218642/DipTrace_Free_1.40__Crack_.zip.ht ml

А в аттаче картинка с процессами.

http://www.exelab.ru/f/files/149a_03.11.2007_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Это походу старый трюк с приатачиванием через winlogon.exe
только вот хрен его знает, какой там процесс...
Можешь врубить HijackThis и посмотреть, кто там приаттачился, а мотом поюзоть это:
.data
szName db "Путь к процессу",0
.code
start:
Push 04h
Push 00h
Push offset szName
call MoveFileEx

И перегрузить комп.

З.Ы.: Я не каспер, но себя лечу по такой системе

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

А кроме нода остальные антивиры отменили что ли ?

В первую очередь посмотри автозагрузку хотя бы MSCONFIG-ом.
Если там нет ничё странного, то выключи вообще всё нах.
Перезапусти, комп и пробуй ставить какой-нить антивирь.
Судя по всему вир тупой...

| Сообщение посчитали полезным:

nod32 шлак, нафик ваще его юзать?

| Сообщение посчитали полезным:

Попробуй AVZ.
http://z-oleg.com/secur/avz/ http://z-oleg.com/secur/avz/

| Сообщение посчитали полезным:

Ara, +1

судя по всему крек изначально был скачан на фейкерском варезнике. IvanStepkin, ты лучше скажи, где скачал такую дрянь, чтобы другие не попадались...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Я смотрел автозагрузку с помощью autoruns v8.73 - ничего постороннего.
Крек скачал из P2P сети.
Сейчас попробую HijackThis.

| Сообщение посчитали полезным:

Ищи в папке Windows и System32 новые дрова (файло с расширением sys) и dll, появившиеся в день, када ты пустил свою заразу (а также Documents and Setting, на всякий случай). Все поиски надо делать не из под зараженной Винды, а из под чистой или с ХРЕ, Winternals Admin Pack, Реаниматора, Heren'sa и прочей шлоебды того же плана. Проверь автозапуск с помошью Autoruns от Русиновича, и када найдешь все обновы + твой левый эксешник, мочи их их из под другой, не зараженной системы или ДОСа (или Линукса, или того, что я написал выше)
Можно и антивири или антишпионы из под гостевухи запустить, пусть сами поудаляют, что найдут, однако гарантий 100% нет. Из под твоей больной системы лучше антивири не пускать.
Есть и другие варианты, но обычно и этого хватает.

| Сообщение посчитали полезным:

нод не шлак, а прекрасно справляется со своей задачей

xxx\DipTrace_Free_1.40__Crack_\DipTrace Free 1.40 (Crack).exe - Win32/Bagle.KS червь

лана, ща на виртуалке погляжу)))

з.ы. я е***л DipTrace Free 1.40 (Crack).exe --> Themida 1.8.x.x
ну и кто же это креки пакует темидой)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
нод не шлак, а прекрасно справляется со своей задачей

xxx\DipTrace_Free_1.40__Crack_\DipTrace Free 1.40 (Crack).exe - Win32/Bagle.KS червь

лана, ща на виртуалке погляжу)))
Странно, я перед запуском кряка, проверил нодом и он ничего не нашёл.

Да я тоже потом увидел Themid'у

Проверил AVZ:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
>>>> Обнаружена маскировка процесса 236 d:\windows\system32\drivers\hidr.exe
3. Сканирование дисков
D:\Program Files\Common Files\Microsoft Shared\Windows CE Tools\Platman\target\x86\cehwcli.exe >>> подозрение на Downloader.Win32.WinFixer.r ( 0CD283C2 024ED6CC 003DF1D0 00000000 13824)
D:\Program Files\Common Files\Microsoft Shared\Windows CE Tools\Platman\target\x86\tlcesrv.dll >>> подозрение на Downloader.Win32.WinFixer.r ( 0B332857 0288144F 003DF1D0 00000000 13824)
D:\Program Files\Common Files\Microsoft Shared\Windows CE Tools\Platman\target\x86\tlppp.dll >>> подозрение на Downloader.Win32.WinFixer.r ( 0AC400EA 0245A7EF 003DF1D0 00000000 13824)

Что скажете?


Теперь пойду HiJackThis запущу.

| Сообщение посчитали полезным:

Идентифицируется каспером как Trojan-Downloader.Win32.Bagle.fi
Завтра посмотрим. Лень сидеть разбирать ночью.

| Сообщение посчитали полезным:

IvanStepkin пишет:
Что скажете?

RkUnhooker 3.7.300.501 в зубы и вперёд
под виртуалкой эта шняга не воркаед)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Я подобное чудо уже видел, даже здесь выкладывал, в топе про трояны; проще всего урыть руками, снести дровину - руткит, а потом и саму прогу, почистить реестр на предмет запуска левых дров и служб, зачистить ее дублакаты (они обычно сами себя в зип пакуют) и все.

| Сообщение посчитали полезным:

Hellspawn пишет:
RkUnhooker 3.7.300.501
А что это?

Проверил HiJackThis, лог выкладывать?

| Сообщение посчитали полезным:

btw, чем темиду брать (распаковывать)? не лезть ведь голой жопой на ежа

| Сообщение посчитали полезным:

IvanStepkin
давай

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

VA_DOS

А нахера ты вирь распаковывать собрался?

| Сообщение посчитали полезным:

Logfile of HijackThis v1.99.1
Scan saved at 23:12:50, on 03.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\ProgWork\VFax54\vfdrv32.exe
D:\Program Files\Arum Switcher\ArumSwitcher.exe
J:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [RoxioEngineUtility] "D:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [ArumSwitcher] D:\Program Files\Arum Switcher\ArumSwitcher.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Run Spell Check - D:\Program Files\Orfo 9.0\orfoie.htm
O9 - Extra button: (no name) - AutorunsDisabled - shell32.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - D:\Program Files\ATI Technologies\TV\EXPLBAR.DLL
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - 62.16.100.201/activex/AxisCamControl.cab
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: ProtexisLicensing - Unknown owner - D:\WINDOWS\system32\PSIService.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - D:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftwaree Sandra Pro\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftwaree Sandra Pro\RpcSandraSrv.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VentaFax Engine (VfDrv32) - Unknown owner - E:\ProgWork\VFax54\vfdrv32.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

| Сообщение посчитали полезным:

Sey пишет:
А нахера ты вирь распаковывать собрался?

Взять IDA и посмотреть чего он там творит.
З.Ы. Это ж не вирь, а троян.

| Сообщение посчитали полезным:

Хм. а я думал винлогон...

Обрати внимание:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

!!!O23 - Service: ProtexisLicensing - Unknown owner - D:\WINDOWS\system32\PSIService.exe
Ты их знаешь?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Попробуй Panda Internet Security 2008 может поможет его удалить у них ведь каждый день базы обновляються а так хрен его знает что за вирус или трой VA_DOS и нах........ тебе его распаковывать можеш ещё хуже заразить свой комп

| Сообщение посчитали полезным:

Spirit пишет:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Это служба InstallShield'а, обычно есть у всех, кто хоть раз инсталил им софт с установкой дров.

| Сообщение посчитали полезным:

Stars пишет:
VA_DOS и нах........ тебе его распаковывать можеш ещё хуже заразить свой комп
ржунемагу

| Сообщение посчитали полезным:

Stars пишет:
можеш ещё хуже заразить свой комп

А могу и наоборот - написать подробное описание с ручным удалением. И, если не будет впадлу, то лечилку.

| Сообщение посчитали полезным:

С помощью RkUnhooker нашёл процесс d:\windows\system32\drivers\hidr.exe и его статус был Hidden from WinAPI. Но я удивился этого файла нет в указанной дирректории. В общем убил этот процесс.
И на вкладке SSDT только напротив файла d:\windows\system32\drivers\srosa.sys у некоторых сервисов стоит Hooked: Yes. (см. аттач). Этого файла также не видно в папке.

4599_03.11.2007_CRACKLAB.rU.tgz - Hooked.TIF

| Сообщение посчитали полезным:

жми правой кнопкой, потом Unhook ALL
удаляй файл, удаляй записи о дрове в реестре, перезагружайся!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Все файлы удалил, записи почистил. Пошёл в перезагрузку...

Похоже всё Ок. Всем ОГРОМНОЕ спасибо!!!!!!!

| Сообщение посчитали полезным:

IvanStepkin пишет:
этого файла нет в указанной дирректории

Видимо, перехватывается ZwQueryDirectory на уровне ядра (возможно, srosa.sys).

| Сообщение посчитали полезным:

Файл скрыт через NtQueryDirectoryFile, процесс через NtQuerySystemInformation, ключеги через все остальное, ваш уебанский нод32 убивался через NtCreateFile. ТС наука на будущее - нех совать все в рот грязными руками.

| Сообщение посчитали полезным:

antiexe пишет:
нех совать все в рот грязными руками
Дык...как малые дети...Всё же интересно..
Тут с неделю назад,кто-то выложил шутильник.Мну целый час в шоке был.
Полностью блокирует комп,работает в фулскрин,для активации компа требует отправить SMS.
Кроме win+L ничего не работает,таскмен заблокикрован,рабочий стол тоже.
Никто не хочет поиграться,могу выложить, специально сохранил?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: