 |
eXeL@B —› Вопросы новичков —› Прошу помочь в анализе заразы. |
| Посл.ответ | Сообщение |
|
|
Создано: 26 сентября 2009 22:35 · Личное сообщение · #1 Массово распространяется троян. Прошу помочь в лечении. Просто расковырять и поглядеть что внутри не вышло - стоит криптор Borland Delphi 6.0 - 7.0 [Overlay]. Влетели многие. После установки данная зараза меняет (насколько я понял) что-то в груповых политиках поскольку ни одну прогу запустить нельзя, на рабочем столе куча матов ... вобщем полный шит. Сама прога выкидывает окно спредложением вылечить себя за определенную мзду. но это очевидный развод. Хотелось бы совета что именно внутри и какие файлы и данные в виндовс она меняет. Сама зараза лежит здесь bizarre.hot.to Заранее извините, если топик создал не там или не верно. На вас одна надежда. Эту дрянь посадили на рабочий компьютер и до понедельника нужно его воскресить. 
 |
|
|
Создано: 27 сентября 2009 00:30 · Личное сообщение · #2 evggrig отправь файл и посмотри что ты получил вместо админских прав в чате  Грузись с LiveCD, смотри что создавала прога на диске и в реестре, и чисть всё это |
|
|
Создано: 27 сентября 2009 03:03 · Личное сообщение · #3 evggrig пишет: стоит криптор Borland Delphi 6.0 - 7.0 [Overlay] Это не криптор, это делфи. ))) Ты уверен что это зараза? Попробуй еще отправить. |
|
|
Создано: 27 сентября 2009 05:31 · Поправил: SReg · Личное сообщение · #4 tihiy_grom пишет: смотри что создавала прога на диске и в реестре, _ruzmaz_ пишет: Ты уверен что это зараза?Попробуй еще сюда отправить. Прога распаковывает в %systemdir% такие файлы(с аттрибутами "системный"): disk2.pak disk3.pak disk4.pak disk5.pak disk6.pak ha37setup.exe (нацарапан на C++ и поверх упх) hdd7.exe (вроде бы тоже с2+) osd32.exe (дельфи(это СФХ, который распаковывает .pak)) и мняет значения ключа реестра с 1 на 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \system] "EnableLUA"=dword:00000000 далее запускается hdd7.exe , он проверяет, не запущены ли мы на вм, если да то мессадж: "Эта программа не предусмотрена для работы в виртуальной среде", если нет то запускается osd32.exe, и потом ha37setup.exe. ha37setup.exe - это обычный батник: ha35setup.bat Echo off shutdown -r -t 0 -f После того, как комп ребутнется, наблюдаем 2 картинки (см.аттач); ЗЫ. Такие монстры, как каспер, нод, симантек, др.веб и др. не идентифицируют его, как вирус)) ЗЫЫ. ну и есс-но диспетчер задач блокирутся, кмд, експлорер HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 0 а так же кмд, проводник..  af20_26.09.2009_CRACKLAB.rU.tgz - 001.zipADD: имхо такую шнягу мог только школьник 8-ми класник сварганить, который только начал постигать азы программирования, если обратить внимание на заголовок IE (), а так же грамматические ошибки, где он код пополнения счета просит |
|
|
Создано: 27 сентября 2009 07:53 · Поправил: evggrig · Личное сообщение · #5 Я правильно понимаю, что если зайду с LiveCD удалю файлы disk2.pak disk3.pak disk4.pak disk5.pak disk6.pak ha37setup.exe hdd7.exe osd32.exe исправлю в реестре с 0 на 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \system] "EnableLUA"=dword:00000000 и с 0 на 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S ystem DisableTaskMgr 0 то этот комп можно считать ожившим? |
|
|
Создано: 27 сентября 2009 07:57 · Личное сообщение · #6 osd32.exe - самый интересный файл. Он создает в корне диска файл autorun.inf, следующего содержания: [AutoRun] Shellexecute=System.exe shell\Auto\command=System.exe windows если файл с таким именем существует, он удаляется. Так же создает файл hosts и файл svchost.exe, файл System.exe, написаный на С++ и накрытый Обсидиумом, файл frag5.exe пакованый УПХ, а так же в корне диска создает директорию \Drivers и в ней 2 файла: 3.bmp размером 15х12, (это будет тот самый красный экран), и svchost.exe(идентичный тому, что и в корне системного диска),некоторые проверяются на целостность(SetFilePoiner) По отдельнсти файлы нет смысла смотреть, я считаю тут и так все понятно)) evggrig пишет: Я правильно понимаю, что если зайду с LiveCD удалю файлы нет!!! попробуй зайти в безопасном режиме с поддержкой командной строки и сноси все эти файлы, что я описал выше!!! |
|
|
Создано: 27 сентября 2009 08:03 · Личное сообщение · #7 SReg При входе в безопасном режиме грузится то же что и в обычном. И ничего там удалить не выходит. |
|
|
Создано: 27 сентября 2009 08:38 · Личное сообщение · #8 Есть же для этого отдельный топик, ну что такое... https://cracklab.ru/f/action=vthread&forum=2&topic=6500&page=47 |
|
|
Создано: 27 сентября 2009 08:39 · Поправил: SReg · Личное сообщение · #9 evggrig пишет: При входе в безопасном режиме грузится то же что и в обычном. И ничего там удалить не выходит Все нормально грузится! смд.ехе нормально работает скрин в аттаче. Походу, файлов нет, т.к. они и не нужны уже. Все "настройки" реестра (а их немало)выполнил файл System.exe(он под обсидом, я его анпакать не умею))), некоторые большинство параметры вступили в силу еще до перезагрузки. у тебя 2 выхода: 1) Снести нах систему. 2) гуглить, какие ключи отвечают за то и за то, и заново их создавать. как? скрин в аттаче) [off] как пролечишь систему, скажешь, и я тебе файло сделаю, запустишь - и ты уже в админке краклаба  ...Головой надо думать было, а не  [/off] a3e0_26.09.2009_CRACKLAB.rU.tgz - 000.rar
|
|
|
Создано: 27 сентября 2009 08:53 · Поправил: evggrig · Личное сообщение · #10 Archer Прошу прощения. Впредь буду внимательнее. SReg Можно этот файлик в аттачь. Попробую сам разобрать. Есть китайская тулза Obsidium 1.x stripper v1.0 Может она сможет link_deleted_by_forum_engine/files/9uavzdmc7 И еще Obsidium 1.3.4.2 www.tuts4you.com/download.php?view.1993 PS В этом чате я и так администратор причем вполне легальный  Влетел не я, а коллега по офису, которому только недавно настроили свежий комп с лицензионными прогами прогами типа Лига и АВК.
|
|
|
Создано: 27 сентября 2009 09:32 · Поправил: SReg · Личное сообщение · #11 evggrig пишет: Можно этот файлик в аттачь. Попробую сам разобрать я не уверен, мона ли аттачить вирусы, поэтому пароль CrackL@b.ru evggrig пишет: Есть китайская тулза Obsidium 1.x stripper v1.0 баян evggrig пишет: И еще Obsidium 1.3.4.2 url=http://www.tuts4you.com/download.php?view.1993 это АнПакМи)))так что только руками... ADD: Кстати, ночью отправил файло в лабораторию касперского, через 3 часа - уже в базах))) Аналоги, кстати, уже были... |
|
|
Создано: 27 сентября 2009 10:04 · Личное сообщение · #12 SReg Все гораздо проще. Сделал Регснапом образ реестра до и после применения этой заразы. В репорте сравнения снимков написано вот что Удалено строк реестра - 4 Создано новых - 116 Изменено - 36 Создан новый файл - icrav07.exe в sys32 Попробую сотворить противояд |
|
|
Создано: 27 сентября 2009 12:17 · Личное сообщение · #13 Уже бы давно систему переустановили, и не глумились со всякими анпакми и регснапами |
|
|
Создано: 28 сентября 2009 22:48 · Личное сообщение · #14 Ответ от разрабов DrWEb Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: Trojan.MulDrop.35504, Trojan.Plastix.140 icrav07.exe - это Trojan.Plastix.140 с описанием vms.drweb.com/virus/?i=462 Спасибо за сотрудничество. |
|
eXeL@B —› Вопросы новичков —› Прошу помочь в анализе заразы. |
Для печати