Win32 sector как вылечить
Заражение Win32.Sector.30
Denis Nikolayev
27 Сен 2017
Здравствуйте!
Собственно как и написано в заголовке темы — заражение сектором. Подробности: заразился сервер (файловый), на нем стоит доктор вэб версии 8, если мне не изменяет память. Заражение произошло вчера, но как ни странно под удар попали не все exe-шники, а только часть. Естественно решил прошерстить все диски свежим CureIt-ом (от 27.09.2017), находит зараженные файлы, но количество не характерно для сектора (41 угроза на текущий момент для двух дисков, на одном из которых папка с дистрибутивами). Возникают два вопроса:
1. как сектор проник на комп, если антивирус активен и периодически выцепляет зараженные файлы?
2. как избавиться от сектора и при этом не побить систему и установленное ПО (вопреки настройке «вылечить» антивирь кидает файл в карантин).
P.S.: еще странность — посмотрел карантин установленного DrWeb-а на сервере, там куча файлов в т.ч. и из системных папок, но система работает нормально, как будто все файлы на месте.
VVS
27 Сен 2017
Здравствуйте!
Собственно как и написано в заголовке темы — заражение сектором. Подробности: заразился сервер (файловый), на нем стоит доктор вэб версии 8, если мне не изменяет память. Заражение произошло вчера, но как ни странно под удар попали не все exe-шники, а только часть. Естественно решил прошерстить все диски свежим CureIt-ом (от 27.09.2017), находит зараженные файлы, но количество не характерно для сектора (41 угроза на текущий момент для двух дисков, на одном из которых папка с дистрибутивами). Возникают два вопроса:
1. как сектор проник на комп, если антивирус активен и периодически выцепляет зараженные файлы?
IMHO имеет смысл начать с отчёта DrWeb с этого сервера.
VVS
27 Сен 2017
И ещё вопрос — почему Вы решили, что сектор «проник на комп»?
Может просто где-то в сети завёлся комп, заражённый сектором?
SergSG
27 Сен 2017
P.S.: еще странность — посмотрел карантин установленного DrWeb-а на сервере, там куча файлов в т.ч. и из системных папок, но система работает нормально, как будто все файлы на месте.
На сколько помню, перед лечением Доктор ложит в карантин копии зараженных файлов. На всякий случай — вдруг после лечения файл превратится в тыкву.
Nenya Amo
27 Сен 2017
(вопреки настройке «вылечить» антивирь кидает файл в карантин)
если лечение не удалось, то файл перемещается в карантин
VVS
27 Сен 2017
Nenya Amo, см. сообщение непосредственно перед Вашим.
Konstantin Yudin
27 Сен 2017
P.S.: еще странность — посмотрел карантин установленного DrWeb-а на сервере, там куча файлов в т.ч. и из системных папок, но система работает нормально, как будто все файлы на месте.
На сколько помню, перед лечением Доктор ложит в карантин копии зараженных файлов. На всякий случай — вдруг после лечения файл превратится в тыкву.
все так. у них стоит признак резервной копии и при необходимости будет удален или замещен.
Konstantin Yudin
27 Сен 2017
схема лечения файлового вируса проста, изолируем от сети, лечим с неактивной ос. и так каждый комп, потом возвращаем все в сеть. иначе будет бесконечность
Сообщение было изменено Konstantin Yudin: 27 Сентябрь 2017 — 21:30
Источник
(PE_SALITY.EK, Win32.Sality.2.NX, Parser error, Packed.Win32.Krap.b, Virus:Win32/Sality.AM, W32/Sality, Generic5.ICD, Trojan.Agent.AINJ, Win32.Sality.NX, Win32.Sality.2.OE, W32/Sality.gen, Virus.Win32.Sality.2, Virus.Win32.Sality.aa, W32/Sality.Y, PE_SALITY.M, Mal_Sality, PWS-Gamania.gen.a, Win32/Tanatos.A, PE_SALITY.EN, Win32.Sality.OE, Gen:Win32.Sality.Dam, Win32.Sality.OG, Trojan.Generic.368274)
Добавлен в вирусную базу Dr.Web:
2008-04-17
Описание добавлено:
2008-04-17
Тип вируса: Файловый вирус
Уязвимые ОС: Windows
Размер: 57 344 байт
Упакован: —
Техническая информация
- При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Internet Settings
GlobalUserOffline=0 - Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
policiessystem
EnableLUA=0 - Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList
«c:virus.exe»=»c:virus.exe:*:Enabled:ipsec» - Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USERSoftware<имя пользователя>914 - Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188 - Внедряет свой код в память всех активных процессов.
- Удаляет ветки реестра
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot
HKEY_CURRENT_USERSystemCurrentControlSetControlSafeBoot
после этого загрузка в Безопасный режим невозможна. - Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах
для ускорения распространения заражает файлы прописаные в автозагрузку и файлы
наиболее часто запускаемые в системе. - Не заражает системные файлы и файлы в папках содержащих в имени «SYSTEM» или «AHEAD».
- В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
«_AVPM.»
«A2GUARD.»
«AAVSHIELD.»
«AVAST»
«ADVCHK.»
«AHNSD.»
«AIRDEFENSE»
«ALERTSVC»
«ALMON.»
«ALOGSERV»
«ALSVC.»
«AMON.»
«ANTI-TROJAN.»
«AVZ.»
«ANTIVIR»
«ANTS.»
«APVXDWIN.»
«ARMOR2NET.»
«ASHAVAST.»
«ASHDISP.»
«ASHENHCD.»
«ASHMAISV.»
«ASHPOPWZ.»
«ASHSERV.»
«ASHSIMPL.»
«ASHSKPCK.»
«ASHWEBSV.»
«ASWUPDSV.»
«ATCON.»
«ATUPDATER.»
«ATWATCH.»
«AUPDATE.»
«AUTODOWN.»
«AUTOTRACE.»
«AUTOUPDATE.»
«AVCIMAN.»
«AVCONSOL.»
«AVENGINE.»
«AVGAMSVR.»
«AVGCC.»
«AVGCC32.»
«AVGCTRL.»
«AVGEMC.»
«AVGFWSRV.»
«AVGNT.»
«AVGNTDD»
«AVGNTMGR»
«AVGSERV.»
«AVGUARD.»
«AVGUPSVC.»
«AVINITNT.»
«AVKSERV.»
«AVKSERVICE.»
«AVKWCTL.»
«AVP.»
«AVP32.»
«AVPCC.»
«AVPM.»
«AVAST»
«AVSCHED32.»
«AVSYNMGR.»
«AVWUPD32.»
«AVWUPSRV.»
«AVXMONITOR9X.»
«AVXMONITORNT.»
«AVXQUAR.»
«BACKWEB-4476822.»
«BDMCON.»
«BDNEWS.»
«BDOESRV.»
«BDSS.»
«BDSUBMIT.»
«BDSWITCH.»
«BLACKD.»
«BLACKICE.»
«CAFIX.»
«CCAPP.»
«CCEVTMGR.»
«CCPROXY.»
«CCSETMGR.»
«CFIAUDIT.»
«CLAMTRAY.»
«CLAMWIN.»
«CLAW95.»
«CLAW95CF.»
«CLEANER.»
«CLEANER3.»
«CLISVC.»
«CMGRDIAN.»
«CUREIT»
«DEFWATCH.»
«DOORS.»
«DRVIRUS.»
«DRWADINS.»
«DRWEB32W.»
«DRWEBSCD.»
«DRWEBUPW.»
«ESCANH95.»
«ESCANHNT.»
«EWIDOCTRL.»
«EZANTIVIRUSREGISTRATIONCHECK.»
«F-AGNT95.»
«FAMEH32.»
«FAST.»
«FCH32.»
«FILEMON»
«FIRESVC.»
«FIRETRAY.»
«FIREWALL.»
«FPAVUPDM.»
«F-PROT95.»
«FRESHCLAM.»
«FRW.»
«FSAV32.»
«FSAVGUI.»
«FSBWSYS.»
«F-SCHED.»
«FSDFWD.»
«FSGK32.»
«FSGK32ST.»
«FSGUIEXE.»
«FSM32.»
«FSMA32.»
«FSMB32.»
«FSPEX.»
«FSSM32.»
«F-STOPW.»
«GCASDTSERV.»
«GCASSERV.»
«GIANTANTISPYWAREMAIN.»
«GIANTANTISPYWAREUPDATER.»
«GUARDGUI.»
«GUARDNT.»
«HREGMON.»
«HRRES.»
«HSOCKPE.»
«HUPDATE.»
«IAMAPP.»
«IAMSERV.»
«ICLOAD95.»
«ICLOADNT.»
«ICMON.»
«ICSSUPPNT.»
«ICSUPP95.»
«ICSUPPNT.»
«IFACE.»
«INETUPD.»
«INOCIT.»
«INORPC.»
«INORT.»
«INOTASK.»
«INOUPTNG.»
«IOMON98.»
«ISAFE.»
«ISATRAY.»
«ISRV95.»
«ISSVC.»
«KAV.»
«KAVMM.»
«KAVPF.»
«KAVPFW.»
«KAVSTART.»
«KAVSVC.»
«KAVSVCUI.»
«KMAILMON.»
«KPFWSVC.»
«KWATCH.»
«LOCKDOWN2000.»
«LOGWATNT.»
«LUALL.»
«LUCOMSERVER.»
«LUUPDATE.»
«MCAGENT.»
«MCMNHDLR.»
«MCREGWIZ.»
«MCUPDATE.»
«MCVSSHLD.»
«MINILOG.»
«MYAGTSVC.»
«MYAGTTRY.»
«NAVAPSVC.»
«NAVAPW32.»
«NAVLU32.»
«NAVW32.»
«NOD32.»
«NEOWATCHLOG.»
«NEOWATCHTRAY.»
«NISSERV»
«NISUM.»
«NMAIN.»
«NOD32»
«NORMIST.»
«NOTSTART.»
«NPAVTRAY.»
«NPFMNTOR.»
«NPFMSG.»
«NPROTECT.»
«NSCHED32.»
«NSMDTR.»
«NSSSERV.»
«NSSTRAY.»
«NTRTSCAN.»
«NTXCONFIG.»
«NUPGRADE.»
«NVC95.»
«NVCOD.»
«NVCTE.»
«NVCUT.»
«NWSERVICE.»
«OFCPFWSVC.»
«OUTPOST.»
«PAV.»
«PAVFIRES.»
«PAVFNSVR.»
«PAVKRE.»
«PAVPROT.»
«PAVPROXY.»
«PAVPRSRV.»
«PAVSRV51.»
«PAVSS.»
«PCCGUIDE.»
«PCCIOMON.»
«PCCNTMON.»
«PCCPFW.»
«PCCTLCOM.»
«PCTAV.»
«PERSFW.»
«PERTSK.»
«PERVAC.»
«PNMSRV.»
«POP3TRAP.»
«POPROXY.»
«PREVSRV.»
«PSIMSVC.»
«QHM32.»
«QHONLINE.»
«QHONSVC.»
«QHPF.»
«QHWSCSVC.»
«RAVMON.»
«RAVTIMER.»
«REALMON.»
«REALMON95.»
«RFWMAIN.»
«RTVSCAN.»
«RTVSCN95.»
«RULAUNCH.»
«SAVADMINSERVICE.»
«SAVMAIN.»
«SAVPROGRESS.»
«SAVSCAN.»
«SCAN32.»
«SCANNINGPROCESS.»
«CUREIT.»
«SDHELP.»
«SHSTAT.»
«SITECLI.»
«SPBBCSVC.»
«SPHINX.»
«SPIDERML.»
«SPIDERNT.»
«SPIDERUI.»
«SPYBOTSD.»
«SPYXX.»
«SS3EDIT.»
«STOPSIGNAV.»
«SWAGENT.»
«SWDOCTOR.»
«SWNETSUP.»
«SYMLCSVC.»
«SYMPROXYSVC.»
«SYMSPORT.»
«SYMWSC.»
«SYNMGR.»
«TAUMON.»
«TBMON.»
«AVAST»
«TCA.»
«TCM.»
«TDS-3.»
«TEATIMER.»
«TFAK.»
«THAV.»
«THSM.»
«TMAS.»
«TMLISTEN.»
«TMNTSRV.»
«TMPFW.»
«TMPROXY.»
«TNBUTIL.»
«TRJSCAN.»
«UP2DATE.»
«VBA32ECM.»
«VBA32IFS.»
«VBA32LDR.»
«VBA32PP3.»
«VBSNTW.»
«VCHK.»
«VCRMON.»
«VETTRAY.»
«VIRUSKEEPER.»
«VPTRAY.»
«VRFWSVC.»
«VRMONNT.»
«VRMONSVC.»
«VRRW32.»
«VSECOMR.»
«VSHWIN32.»
«VSMON.»
«VSSERV.»
«VSSTAT.»
«WATCHDOG.»
«WEBPROXY.»
«WEBSCANX.»
«WEBTRAP.»
«WGFE95.»
«WINAW32.»
«WINROUTE.»
«WINSS.»
«WINSSNOTIFY.»
«WRADMIN.»
«WRCTRL.»
«XCOMMSVR.»
«ZATUTOR.»
«ZAUINST.»
«ZLCLIENT.»
«ZONEALARM.» - Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».
- Cкачивает и запускает другие вредоносные программы из сети.
- В зависимости от модификации может при помощи своего драйвера блокировать доступ к
сайтам содержащим в названии:«kaspersky»
«eset.com»
«f-secure.»
«mcafee.»
«symantec.»
«etrust.com»
«trendmicro.»
«sophos.»
«virustotal.»
«agnmitum.»
«pandasoftware.»
«bitdefender.»
«spywareguide.»
«windowsecurity.»
«virusscan.»
«ewido.»
«spywareinfo.»
«onlinescan.»
«drweb.»
«cureit.»
Информация по восстановлению системы
- Отключить инфицированный компьютер от локальной сети иили Интернета и отключить службу Восстановления системы.
- С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
- Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие «Лечить».
- Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.
Источник
Опубликованно: 19/10/2009 |Комментарии: 0
| Показы: 376 |
Как то придя домой и воткнув флешку с документами , которые я скинул в своём учебном заведении. Я стал наблюдать возникновение кучи глюков которые мешали нормальной работе. Ещё большее я удивился когда мой Касперский 2009 просто сдох. И отказывался ваще загружаться. И так диагноз понятный: Какой то злобный вирус , с которым простой антивирусник не может справиться.
Поюзав в интернете я выяснил что это вирус семейства Win32.Sector* так же известен как VIRUS.WIN32.Sality.z. На тот момент у меня был Win32.Sector16.
Коротко описания вируса вобще что он из себя представляет. Первым делом данный вирус заражает все работающие процессы . Заражает все ‘exe’ файлы , все игры и программы заражены. Отключает антивирус. Невозможно зайти на официальные сайты антивирусников, уж не говоря скачать какой либо из них. Отключает диспетчер задач . Вносит изменения в реестр в результате и так же блокирует доступ к нему. Ну и ещё множество глюков зависит от версии вируса , я перечислил основное. Лечение вируса невозможно тк заражены процессы , и в результате вылечив 1 файл , начиная лечить 2 , 1 опять заражается. Вот такая канитель.
Признаки. Если Ваш антивирус не определил его , но есть сомнения, легко узнать есть ли у Вас этот вирус по первым признакам.
1. Отключение антивируса. (Но так же, антивирус может работать просто не замечать вирус , либо выдавать лечение не возможно , но в результате он всё таки отключится.)
2. При вызове Диспетчера задач выпадает ошибка. (Вызов Диспетчера клавишами Ctrl+Alt+Del.)
3. Не возможно зайти в Редактор реестра , так же выпадает ошибка. (Для того чтобы зайти в реестр выполните: Пуск=>Выполнить…впишите команду REGEDIT =>Ок.)
И так если все симптомы совпадают пора приниматься за дело. Для лечения нам потребуется 3 инструмента.
1. Бесплатная лечащая утилита Dr.Web CureIt.
2. Антивирусная утилита AVZ.
3. Загрузочный Live CD.
Осложнение. Дело в том , как уже я писал выше , вирус не даёт скачивать антивирусные программы . Поэтому Вам придётся найти не заражённый компьютер (например у друзей) и скачать с него. И подготовку инструментов так же делать с незаражённого компьютера. Надеюсь с этим у Вас больших проблем не возникнет.
Самый оптимальный вариант это имея 2 дисковода , запустить на одном Live CD , на другом Dr.Web CureIt и AVZ. Тогда задача совсем упрощается . Но если один дисковод тогда можно записать все эти программы на одном диске. Если на диск с Live CD добавить пару папок с программами ни чего плохого не случится. Dr.Web CureIt и AVZ программы не требующие установки поэтому также запускаются с диска.
Переходим к лечению. Перезагружаем компьютер , жмём del , чтобы выставить загрузку с диска. Выставляем загрузку с дисковода , сохраняем и перезагружаем (F10) . Ждём пока загрузится операционка с Live CD . Запускаем Dr.Web CureIt , делаем ‘Полное сканирование’ и лечим всё что находит нам эта прекрасная утилитка. Вылечив , выходим из Live CD и запускаем свою родную операционку. Запускаем AVZ , выбираем Файл=>Востановление системы, и отмечаем галочки где необходимо , главное пункты: 1, 11 , 17. =>Выполнить отмеченые операции. Если всё получилось то вируса у Вас уже быть не должно и все службы востановлены.
Примечание: Если не запускаются CureIt и AVZ , стоит просто их переименовать. Например Cur1025elt2.exe , 012VZ5478.exe. Не важно как главное чтобы вирус не смог распознать их по названию.
<a onclick=»javascript:_gaq.push([‘_trackPageview’, ‘/outgoing/article_exit_link’]);» href=»https://v-karpov.hut2.ru»>https://v-karpov.hut2.ru
</a>
Источник
13 ноября в 12:52
Категория: Разное
Информация взята с https://aborche.livejournal.com/1300.html
Ничто не предвещало беды и только почему-то файловый сервер стал очень медленно откликаться на запросы.
Попытка понять удалённо что-же всё таки произошло с беднягой почти ни к чему не привели, так как антивирусники ничего не находили, и только висящие в памяти процессы с именем win.exe заставили более детально посмотреть ему в душу.
Это был армагеддец(более мягкое слово с таким же окончанием).
На сервере каким-то образом оказался рассадник троянов, бекдоров и спам машин. Приставленный к стенке админ признался, что несколько недель назад он пускал на этот сервер прекрасную девушку которая обновляла правовые базы «Кодекс» со своего переносного харда.
Как оказалось потом, несколько вирусов сидело именно имея процесс «кодекса» в качестве родительского.
Скормили подозрительный файлик касперу, опознался как Sality.y, но не сказал как лечиться. AVZ обнаружил перехватчики функций и маскирующиеся процессы имеющие в таблице процессов PID=0, но ничего сделать не смог.
Попытки заинсталлить антивирус или проверить сервер внешними утилями приводил к падению этих антивирусов и утилит.
Итак что такое Sality ?
Возможно у меня была разновидность этой штуки нового поколения, я не знаю. Разбирался руками долго и в итоге могу коечто рассказать.
Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые воруют пароли к системе, спамботов которые рассылают спам и сам модуль который производит заражение компов. В ходе разборок оказалось, что почти вся сеть в количестве 40-50 машин оказалась затроянена по самое небалуйся, и это при наличии каспера и других антивирусников.
Теперь перейду к разбору комплекса.
Корневой блок Sality.M устанавливается в систему в виде драйвера IpFilterDriver и загружается при каждой перезагрузке. У каждого пользователя в реестре создаётся раздел в HKCUSoftware<логин>914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. В файл system.ini вирус прописывает значения на указатели реестра где находится код тела примерно вот в таком виде:
[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648
Вирус инфицирует запускаемые файлы путём перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла.
У меня попалась разновидность вируса которая интегрировалась в систему помимо IpFilterDriver как SCSI контроллер у которого вместо драйвера было указано ??c:windowssystem32drivers.sys по моему с именем DPTI3910, уже не помню. Это был основной кусок ядра вируса, мы его чудом сдампали из процессов при помощи avz.
Теперь о внутренностях.
Вирус содержит процедуру самосборки, при запуске вирус лезет по указанным ниже адресам для докачки своих частей якобы в виде картинок.
Далее собирает свой код и устанавливает в систему. После запуска сервиса пытается зарегистрировать DNS имя в локальном домене SOSiTE_AVERI_SOSiTEEE.haha.domainname для дальнейшей раздачи кода внутри локальной сети.
https://___pzrk.ru/img/logo4.g0
https://___pacwebco.com/Photos/logost.g0
https://___89.149.227.194/tratata3/
https://___perevozka-gruzov.ru/ft.g0
https://___perevozka-gruzov.ru/as.g0
https://___SOSiTE_AVERI_SOSiTEEE.haha
Если имя SOSiTE_AVERI_SOSiTEEE.haha успешно зарегистрировано, вирус приступает к раздаче кода.
От имени текущего пользователя вирус дергает NBSTAT читая имена компьютеров которые видны в локальной сети. Определяет имя компьютера и пытается подключиться к системным шарам для раздачи кода. Если запуск трояна произойдет на машине админа, то вся сеть через некоторое время превратится в один сплошной ботнет. В нашем случае так и произошло, т.к. обновления баз производятся под админским аккаунтом.
Вирус маскирует себя внедряясь в ring0 ядра и убирает любые упоминания о себе из списка процессов подменяя PID и имя на пустоту.
Далее вирус начинает собирать на эту машину троянов и руткиты из интернета хотя по разным адресам. Спамботы поднимают соединение с корневыми спам ботами(p2p сеть) и ожидают команд.
Ядро вируса попавшее в ring0 обеспечивает прикрытие спамботов, подтаскивая новые экземпляры по мере удаления процессов и файлов из системы. при попытке загрузить файлы имеющие в названии окна или имени файла части распространённых антивирусных систем вирус просто напросто пристреливает процессы. Спустя некоторое время вирус начинает заражать системные файлы и утилиты формируя список «доверенных» приложений. Со временем в этот список попадают касперский, cureit, trendmicro которые будучи запущены из-под «доверенного» процесса заражаются и получают обрезанный блок памяти, где успешно блокируются ядром вируса при попытках лечения зараженных файлов.
Первым делом вирус заражает dllcache и system32 файлы logon.scr для того, чтобы обеспечить себе стабильный запуск когда пользователя не будет на месте. Следующие объекты это hkcmd и ctfmon которые стартуют на системном уровне, а также у каждого пользователя при загрузке.
Далее вирус заражает всё что находится в реестре в «Run» разделе, обеспечивая себе распространение по машине и живучесть. После того как основные файлы заражены, вирус приступает к последующему заражению часто запускаемых пользователем приложений.
В общем штука реально страшная. Сравнить по опасности могу только с OneHalf и Win.CIH. Код вируса полиморфный и зашифрованный, коды троянов и спамботов запакованы FSG и UPX. Код спамботов содержит список всех популярных dnsbl списков для проверки ip адреса на блокируемость !!!!
Также содержит адреса релеев yandex.ru, aol.com и еще чьи-то для(предположительно) проведения DDOS атак или для отправки ворованных данных. Если адрес с которого бот проверяет себя в базах не блокируется, то спам бот по udp сообщает корневым спамботам свой входящий порт для трансляции команд. Код ядра самого вируса открывает для спамботов порт ipsec во встроенном firewall windows. Для каждого нового бота он делает исключение в списке разрешенных программ.
Удаление вируса дело довольно трудоёмкое из-за его широких лап во многих программах. Основную инструкцию вы можете найти нагуглив ссылку по Sality.M на сайт трендмикро. Там подробно говорится как удалять. Остановлюсь только на нескольких моментах дополнительно к тому что написано.
Вирус убивает возможность загрузки в safemode, поэтому выполните скрипты для восстановления реестра с сайта трендмикро.
При лечении машины нужно иметь под рукой дистр far(readonly), трендмикро консольный тулкит(readonly), cureit(readonly) и хорошую реакцию(лучше всего для readonly использовать http и ftp сервер локальный в сетке)
Итак. Самое главное !!!
НЕ ЗАХОДИТЬ НА МАШИНУ ПОД ПРАВАМИ ДОМЕННОГО АДМИНА !!! ТОЛЬКО ЛОКАЛЬНОГО !!!
Все операции с проверкой результатов делать только с чистой установки приложений(одноразовой) !!!
Запускаем FAR и идём в список процессов.
Если у процесса имя и расширение в нормальном виде (lower case) значит процесс поднимался ядром системы.
Если расширение написано большими буквами значит процесс поднимался из сервиса. Если имя и расширение написано большими буквами значит процесс поднимался из-под какого-то ранее запущенного процесса.
Это основная палочка выручалочка для нас.
Да ! забыл. Перед этим всем лучше выключить system restore и перегрузить машину, это избавит от двойных действий. Я лечил машины удалённо по RDP, без использования safemode, поэтому буду описывать данную методу.
Заходим под локальным админом.
жмём Win+E, https://server/farmanager170.exe
ставим оттудаже сразу без сохранения и запускаем. Explorer заражается в последнюю очередь поэтому лучше делать всё в его рамках.
F11 -> Process List
сразу убиваем explorer.exe из процессов и переименовываем logon.scr в system32 и dllcache во чтонить другое, вас спросят о изменении файлов, скажите «отмена» потом «да».
Смотрим процессы написанные БОЛЬШИМИ БУКВАМИ и убиваем не задумываясь.
Смотрим процессы начинающиеся с win(трояны) и убиваем всё кроме winlogon.
Если процесс системный, сначала переименовываем файл процесса в dllcache, потом system32 и по сети или с CD в dllcache и system32 заливаем с чистой машины нужный файлик. Если процесс невыгружаемый(аля каспрский) тупо переименовываем его exe файл в любое имя и оставляем его в покое(KAV,EXE,KAVSVC.EXE,KLSWD.EXE)
Берем regedit или reg plugin для far и идём в HKLMsystemcurrentcontrolsetservices
грохаем оттуда всю ветку IpFilterDriver. Теперь идём HKCUSoftwareAdministrator914(работаем под локальным админом, не забыли ?) выбираем понравившиеся номерочки(штуки 3-4) и забиваем вместо Dword значений в них мусор типа 1111,1234 и т.д.
Если поменять значения в ключах без убиения IpFilterdriver это ни к чему не приведет.
Идем в нижестоящий блок ключей и в последовательности длинных ключей меняем чтонить в конце(длина должна остаться прежней!!!)
Идем в c:windowssystem.ini и выносим строки которые были описаны выше.
Перегружаем машину. На этапе применения юзерских настроек машина задумается на 30-60 секунд.
Как залогонимся опять https://server/farmanager170.exe и новую установку поверх имеющегося far.
из FAR смотрим опять в процессы и пристреливаем все какие с большими буквами. по ftp сливаем или запускаем M2 от трендмикро на scan и смотрим за списком процессов. при подгрузке вирусных баз трендмикро может вывести сообщение об ошибке «диск недоступен» — это защита вируса от проверок. пропускаем все эти ошибки(до 15 штук) и переключаемся в far.
трендмикро все найденные процессы будет переносить к себе в бекапную папку автоматически, поэтому нам нужно следить чтобы вирус не пристрелил нашего лекаря. Как только вы увидите появление процесса большими буквами, сразу смотрите кто parent и стреляйте обоих немедленно. Если парентом выступает сам FAR откройте из него же самого вторую копию, а лучше открывайте сразу две копии при старте системы. Если пропустить момент инициализации троянца, то он пристрелит трендмикро быстрее чем вы успеете моргнуть, помимо этого он лекаря заразит и сделает разносчиком.
Да! забыл еще. оставьте в firewall только порты 53, 80 и 443 наружу в интернет. остальное должно быть закрыто на замок и tcp и udp.
Дождитесь когда трендмикро закончит свою работу(3 этапа) и надёргает Вам файликов(не отходите от компа, иначе придется начинать сначала)
Когда трендмикро закончит, проверьте отсутствие ipfilterdriver и наличие сделанных вами изменений в administrator914 и перегружайтесь.
если изменения пропали — повторите действия.
после перезагруза опять ставите чистый far, потом M2 запускаете на проверку. В тех местах где M2 ругался теперь ругани быть не должно.
Дождитесь окончания проверки и запустите с сети cureit на проверку всего диска.
Если все пройдёт успешно, то поздравляю, Вы победили. Осталось взять sfc и залить из дистрибутива чистые файлы в system32(ибо некоторые из них были удалены).
Источник
