Некий вирус (описание борьбы)

[BaronTreep]

Сегодня (т.е. уже вчера) принесли винт, сказали - "ничего не грузится, cd не работает". Ну я взял и честно подключил его к себе. По загрузке компа (есественно со своего харда) начались глюки и я понял, что тоже попался :-)

Вот такое примерно:

1. Активно отлючает показ срытых файлов.
2. Активно работает с реестром.
3. Диспетчер задач не вызывается
4. Консоль тоже блокирована
5. Специальная прога для процессов находит неких вредителей в user mode, но главного вредителя нет. Его можно было бы найти в swapContextHooking процессах, но все процесс-визоры (у меня 2) при попытке сканировать эту область убирают комп - просто уходит в холодный ресет. Потом прога которая сканировала swapContextHooking не вызывается.
6. Загрузится в безопасном режиме нельзя.
7. Постоянно что-то пишет на винт.
8. Постоянно ищет новые диски и пишет в них autorun.inf их удаление ни к чему не приводит - появляются опять. Из консоли востановления (с загр. диска) они не удаляются. В inf написано достаточно много (не пара строк), так что вирь сложный.
9. Поначалу просто глючит, потом начинает запускать много-много reg.exe и память кончается, т.к. ОС которую мне принесли вообще мерла - думаю дальше будет еще хуже.
10. Ещё вроде (точно не понял) как-то отключает касперского.

Вобщем похоже на распостраненный вирус, который по флешкам скачет, но похуже.

Решил так - пошел в Linux и все подозрительные файлы убрал. Потом переустановил винду.

Кто-нибудь такое видел? Как можно заблокировать создание всяких inf, можно ли защитить логический диск от записи?

[KORN]

1) отключаешь автозапуск с носителей
2) создай авторан.инф пустой и обреж права на доступ что бы его ни кто не мог удалить и перезаписать
3) смотришь автозапуск
4) восстанавливаешь и редактируешь реестр, редакторов хватает
5) так же можно использовать консоль не стандартную а скачать отдельно с инета

[BaronTreep]

Всего этого как раз и не было по рукой. И inf файлов тоже. Автозапуск отключил, буду надеятся в следущий раз система устоит.

Нашел немного инфы:
1. Средствами bios можно запрещать запись в загрузочную область, но в целом на диск - нельзя.
2. Техподержка MS говорит, что NTFS не может нормально работать в режиме read-only. Так в Linux до 2007 поддержка NTFS была только для чтения и попытки записи обворачивались проблемами. Потом появился полноценный драйвер ntfs-3g, его я и использовал.
3. Политика учетных групп позволяет запретить запись на диск, но действует она только для explorer.

То есть если у вас несколько лог. дисков и все они заразились, а вы не приняли мер предосторожностей, то даже переустановка не поможет, так? После переустановки лог диски запустят inf и все начнется с начало.

[Utkin]

Поможет. В винде имеется опция запрещающая изменять загрузочную запись, у меня возникали проблемы при установке загрузчика grub.
2. до 2007 года имелась маленькая индейская хитрость в линуксе, позволяющая записывать в NTFS. дело в том что она содрана (как и все у мелкософта) с другой файловой системы (сейчас уже и не вспомню). В общем раздел монтировался как НЕ NTFS - много лишних служебных файлов, но в целом если быть предельно аккуратным удавалось произвести запись в NTFS разделы винды без ее воплей об нарушении целостности.
Можно попробовать такую схему - загружаемся с rescue-cd (линукс) - у меня не было случая, когда не удалось примонтировать ФС (там кажись тоже 3g ). Запускаем mc и правим все чего там нам надо (естественно если вы не шифровались).
Ну плюс полный format средствами линукса и наши победили (как крайнее средство).

[JTG]

А чего вы с линуксом мудрите? Предположим, что жопа полная - вредоносный драйвер. RootkitUnhooker или GMER - смотрим список хуков (и скрытых процессов заодно), wipe file, если нужно, ребут - и жизнь сразу станет легче. Не нашли - хорошо, AVZ в параноидальном режиме. Потом виндовый liveCD с CureIt и RegeditPE на борту - проверяем, восстанавливаем ветку safeboot, диспетчер, редактор реестра, создаём на дисках папки autorun.inf, у которых в правах удаляем всех пользователей. Теперь загружаемся в безопасном режиме с поддержкой коммандной строки, опять же запускаем CureIt под охраной AVZ - полная проверка. Инсталлим заранее скачанного каспера, включаем проактивную защиту, наблюдаем за активностью, добиваем. Что-то вроде универсального сценария для самого тяжелого случая

Но в данном случае достаточно скачать с сайта касперского утилиту kidokiller

[BaronTreep]

Драйвер и есть как я понял из недолго знакомства. Но как я писал, такая штука - при попытке обращения к функциям ядра с помощью RootkitUnhooker, комп уходит в рестарт. По видимому используется какой-то конфликт в памяти, я один раз такой находил - при некоторых манипуляциях с OpenGL комп. просто вырубался.

AVZ был дальше чем linux. (он что лучше Каспера?)

Win32.Kido вроде ж по другому себя ведет, это больше похож на Shovth, но тот у меня всегда антивирусом спокойно убирался.

[FilipFray]

Цитата:

буду надеятся в следущий раз система устоит.

Нужно не использовать проводник, когда требуется зайти на зараженный диск. Содержание autorun-файлов покажите.

Цитата:

То есть если у вас несколько лог. дисков и все они заразились,

Да, если у вас файловик.

Цитата:

1. Активно отлючает показ срытых файлов.

HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL – сменить тип параметра CheckedValue с REG_SZ на DWORD, значение 1

Цитата:

2. Активно работает с реестром.

И…

Цитата:

3. Диспетчер задач не вызывается

HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Policies\s ystem
Удалить disabletaskmgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Image File Execution Options
Удалить taskmgr.exe

Цитата:

4. Консоль тоже блокирована

mmc?

Цитата:

В inf написано достаточно много (не пара строк), так что

Предоставленная информация – “пуста”, покажите inf-файл, ИМХО.

[BaronTreep]

FilipFray, sorry, всё потёр. Там были inf с содержимым вида /shell/... /temp/..., /windows/... т.е. много путей прописанных. Также в корне создавался exe с произвольным именем. Больше всего походит на CSRCS и svhovth. Можно было конечно поизучать весчь, но мне нужно было просто обновить замучаную систему.

(З.Ы. А мне под Linux удобно - тихо, спокойно, ничего не убегает от тебя, востанавливай чего хочешь, удаляешь)
______________

На самом деле эпопея с тем конпом продолжилась:

1. Налаженый винт (SATI) на моём компе (Foxcon мама) прекрасно запускается.
2. На чужом компе (MSI) при загрузке Windows где-то в районе windows/system32/driver перезагружается. Плюс bios не видит ни одного CD-ROMA.

С чего такое может быть?

[psycho-coder]

Защита от авторанов на флеш

Код:

rem Ђ*вЁўЁагб*л© бЄаЁЇв AUTOSTOP.BAT version 1.8 (12 п*ў*ап 2009)
attrib -s -h -r autorun.*
del autorun.*
mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
attrib +s +h %~d0\AUTORUN.INF
@echo off
echo Љ*в*«®Ј AUTORUN.INF, ᮧ¤***л© ** д«ҐиЄҐ, ЇаҐЇпвбвўгҐв §*а*¦Ґ*Ёо д«ҐиЄЁ autorun-ўЁагб*¬Ё. > AUTORUN.INF\readme.txt
echo —в®Ўл б*¬®бв®п⥫м*® ®ЎҐ§®Ї*бЁвм ¤агЈго д«ҐиЄг, ЇҐаҐЇЁиЁвҐ ** *ҐҐ д*©« AUTOSTOP.BAT Ё §*ЇгбвЁвҐ ҐЈ®. Џ®б«Ґ 祣® д*©« ¬®¦*® г¤*«Ёвм. >> AUTORUN.INF\readme.txt
echo Џ®¤а®Ў*ҐҐ - http://mechanicuss.livejournal.com/195192.html >> AUTORUN.INF\readme.txt
copy AUTOSTOP.BAT AUTORUN.INF\AUTOSTOP.BAT

Удаление этого

Код:

@echo off
@RMDIR "%~d0\autorun.inf\LPT3\" /s /q
@RMDIR "%~d0\autorun.inf" /s /q

[BaronTreep]

Цитата:

Сообщение от myself

1. Рабочая ОС Windows XP (винт SATI) запускается на одном компьютере (Foxcon мама).
2. На другом (ATS MSI) при загрузке Windows где-то в районе windows/system32/driver перезагружается.

Попробую разобраться, взял диски и документы которые с компом прилагались. Первые подозреваемые:

1. Батарейка на плате.
2. Bios. Сбросить и снова настроить софт чипсета.
3. Загрузочная область диска. Она может законфликтовать с bios?. Может придется сохранять инфу (благо там немного) и размечать/форматить.
4. Может ещё другую ОС попробую запустить.

Если кто-то сталкивался, отпишитесь пожалуйста.