[решено] Вирус для определенного доменного пользователя.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Вирус для определенного доменного пользователя.

Комп в домене, заходит доменный пользователь - локальный админ.
И прям на рабочем столе, снизу справа на 20% экрана отображается гиф'ка сексуального характера, с просьбой отослать смс.

в Диспетчере задач, во вкладке "Приложения" отображается 2 активных окна "windows.exe" - при их закрытии, через 2 секунды они появляются снова, как и картинка на раб.столе.

Лишних процессов нет, чую инфицированы svchost.exe winlogon.exe и т.д.

сегодняшний апдейт на Symantec ничего не ловит, Cure It ничего не ловит.

Если зайти другим пользователем на комп (локальный админ) - картинки нет.
Если зайти пользователем на другйо комп в домене - картинки нет.

Ей богу не втыкаю что делать...

Выложите логи в соответствии с этими инструкциями.

получите пож-ста логи

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tftp.nfo beforegllav

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O2 - BHO: C:\WINDOWS\system32\tajf83ikdmf.dll - {BF56A325-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\tajf83ikdmf.dll (file missing)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\tftp.nfo','');

DeleteFile('C:\WINDOWS\system32\tftp.nfo');

 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');

 QuarantineFile('N:\autorun.inf','');

 QuarantineFile('D:\autorun.inf','');

 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');

 DelBHO('{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}');

 QuarantineFile('C:\WINDOWS\system32\tajf83ikdmf.dll','');

 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');

 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\028024~1.EXE','');

 DeleteService('0280241249266415mcinstcleanup');

 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');

 QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');

 TerminateProcessByName('c:\windows\system32\wbem\svchost.exe');

 QuarantineFile('c:\windows\system32\wbem\svchost.exe','');

 DeleteFile('c:\windows\system32\wbem\svchost.exe');

 DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');

 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\028024~1.EXE');

 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');

QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');

 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');

 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');

DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');

 DeleteFile('C:\WINDOWS\system32\sdra64.exe');

 DeleteFile('C:\WINDOWS\system32\tajf83ikdmf.dll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','windump');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windump');

 DeleteFile('D:\autorun.inf');

 DeleteFile('N:\autorun.inf');

 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(8);

ExecuteRepair(9);

ExecuteRepair(16);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

простите, а что значит

Цитата:

Пофиксить в HiJack

это как?

добавлено: вопрос cнимается - сам разобрался )
ps. эт че, у меня походу новый неизвестный даже каперскому вирус что ли?

Цитата:

Цитата rivera

Пофиксить в HiJack »

Это вот так.

вот новые логи.
файл отослал - после получения ответа - выложу сюда

В логах ничего подозрительного. Проблема решена?

Код:

Здравствуйте,





autorun.inf



Вредоносный код в файле не обнаружен.



rasadhlp.dll - Backdoor.Win32.Delf.qrb, 

sfcfiles.dll - Trojan.Win32.Patched.fr, 

svchost.exe_ - Packed.Win32.Krap.x



Эти файлы определяются антивирусом. Обновите антивирусные базы.



svchost.exe_1 - Trojan.Win32.Inject.ajnh



Детектирование файла будет добавлено в следующее обновление.



Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.





 

> 

> Добрый день.

> 

> Сказали отослать Вам.

> http://forum.oszone.net/showthread.php?p=1231407

> 

> 

> С уважением,

> пользователь

> 

---------

С уважением, Андрей Ладиков

Вирусный аналитик

ЗАО "Лаборатория Касперского" 



Тел.: +7 (495) 797-8700

E-mail: newvirus@kaspersky.com

http://www.kaspersky.com   http://www.viruslist.com

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700 

http://www.kaspersky.ru http://www.viruslist.ru

добавлено: по повторно выложенным логам ничего подозрительного нет? Ничего делать не надо?
еще вопрос: разве процесс userinit.exe не нужно оставить? зачем уго убирать из автозагрузки?

Цитата:

Цитата rivera

разве процесс userinit.exe не нужно оставить? »

никто не убирает его из автозагрузки.

HiJack просто восстанавливает запись в реестре, возвращая ей правильный вид

Цитата:

Цитата rivera

по повторно выложенным логам ничего подозрительного нет? »

Еще в моем предыдущем сообщении было указано про отсутствие подозрений.
Поведение системы нормализовалось?

вопросов больше нет. Все разрешилось, всем спасибо.