Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите избавиться от Win32.Alman (http://forum.oszone.net/showthread.php?t=105041)

Dump 15-04-2008 11:38 781718
Помогите избавиться от Win32.Alman
 
Всё началось с исчезновения всех ехе с компьютера, затем было обнаружено, что после обновления Trend Micro Office Scan (наш корпоративный антивирус), он обнаружил вирус в файлах и закрыл их всех в карантин. Вернул все файлы назад, отключил тренд, запустил Куреит, тот нашел и вылечил файлы, через пол часа проверил, опять всё заражено.

Начал делать всё по правилам. 1. Запустил Куреит в безопасном режиме (Лог приложил)
2. перегрузил, запустил AVZ скрипт 3 - вылетел BSOD, матерился на nvmini.sys
3. перегрузил, запустил AVZ скрипт 2 (лог приложил)
4. запустил AVZ скрипт 3 всё прошло нормально (лог приложил)
5. перегрузил, запустил hijackthis (лог приложил)
6. перегрузил, запустил в безоп. режиме Куреит, тот снова начал находить зараженные файлы

Dump 15-04-2008 14:03 781839
Вложений: 2
логи ..............

Pili 15-04-2008 14:03 781840
Dump, у вас файловый вирус, воспользуйтесь этими рекомендациями (лечить до тех пор, пока drweb не перестанет находить вирус). Насколько я помню в win2k3 нет службы восстановления системы, так что, имхо, отключать нечего.

Dump 15-04-2008 14:15 781850
Он снова появляется, в спешке проверял AVZ со старыми базами, это имеет значение (в плане логов) ? Сейчас пойду проверять заново, может ли быть так, что распространяется вирус по сети ? Потому, что ещё на двух серверах обнаружился он ?

Dump 15-04-2008 14:33 781876
Цитата:
Цитата Pili
воспользуйтесь этими рекомендациями »
Что касается проверки с загрузочного диска, у меня сервер с RAID 5 и WINPE просто не видит массив :(

Pili 15-04-2008 14:52 781895
Dump, c помощью AVZ бесполезно бороться с файловыми вирусами, он хорош в отлове других зловредов, лечите систему до тех пор, пока вирус перестанет обнаруживаться вот ещё рекомендации Как лечить файловый вирус
Для контроля можно ещё потом касперским проверить AVPTool или Kaspersky WebScanner, после этого имеет смысл сделать sfc /sсannow
Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы
Цитата:
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll

Dump 15-04-2008 15:04 781908
Цитата:
Цитата Pili
Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. »
А если это файловый сервер и доступ имеют порядка 250 человек (это второй сервер на котором я обнаружил вирь) то мне походу проще повесицо :) В связи с этим вопрос: Если у меня сейчас на файловом сервере "сидит" DrWeb 4.44 , сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу, и снова воткну в сеть. К сожалению ваши рекомендации:
Цитата:
Цитата Pili
вот ещё рекомендации Как лечить файловый вирус »
прочитать не могу, потому что мой интернет ограничивается *oszone.net* :)

Pili 15-04-2008 15:20 781923
Цитата:
Цитата Dump
сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу »
это можно экспериментально проверить, включаете доступ только для себя, берете заведомо зараженный файл (проверить заражен ли он можно на virustotal.com, себе экземпляр оставляете) и закидываете на файловый сервер с включеным на нем антивирусом, смотрите поведение. У нас DrWeb не исп-ся, касперский (серверный) так троянов отлавливает, с файловыми вирусами инцендентов пока не было.
Цитата:
Цитата Dump
мой интернет ограничивается *oszone.net* »
вот что там:
Цитата:
В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.


Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.
источник

Dump 15-04-2008 21:06 782136
Цитата:
Цитата Pili
Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы »
Да уж видеокарту обязательно посмотрю завтра, как на работе буду .... потому как файл nvmini.sys , как я читал про win32.alman, является частью этого вируса .

Pili 15-04-2008 21:27 782146
nvmini.sys по логу syscure не имеет цифорвой подписи,
Цитата:
C:\WINDOWS\linkinfo.dll >>>>> Trojan-Downloader.Win32.Agent.bsi успешно удален
Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\nvmini.sys)
C:\WINDOWS\system32\drivers\nvmini.sys >>>>> Rootkit.Win32.Agent.ga успешно удален
по логам syscheck nvmini.sys имеет цифр. подпись NVIDIA, linkinfo.dll уже располагается в правильном месте C:\WINDOWS\system32\ и имеет цифр. подп. Microsoft, но проверить на VT не помешает.

Dump 16-04-2008 10:04 782393
После ДВУХ подряд проверок CureIT в безопасном режиме, на третьей проверке вирус перестал обнаруживаться. После перезагрузки в нормальный режим проверил ещё раз всё ОК, включил в сеть....посмотрим после обеда. Похоже, что проблема решена, но пока не буду ставить её таковой. Подождём до завтра

Pili 16-04-2008 10:25 782404
Dump, на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll
проверили?
Эксперимент проверли с DrWeb, отлавливаются вирусы, если в общую папку попадают извне?
Скачайте ещё раз AVZ, по предыдущим логам AVZ версии 4.29 База поcледний раз обновлялась 12/12/2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты".
вложите в сообщение virusinfo_syscure.zip из папки AVZ\LOG

Dump 16-04-2008 14:06 782539
Pili, Ок немного попозже выложу, просто у меня в одной папке две разные версии AVZ сидели, перепутал, не ту запустил. На virustotal.com файлы не проверял, забыл домой с работы забрать. Как кстати их безопасно можно отправить, чтобы свой домашний комп не заразить, дома стоит KAV 7.0 обновляется как только сам захочет и-нет постоянно включен. Если я его на флешке принесу "каспер" же убьёт его, если там вирус. Или нам больше ничего и не нужно, кроме того, что они заражены?
Эксперимент с DrWeb ещё не проводил, не могу закрыть шары просто так, в рабочий день. Но агент периодически отлавливает файлы и лечит их, видимо сработает!

Pili 16-04-2008 14:33 782557
Dump, Да, нужно проверить заражены ли файлы, если каспер прибьет, то скрипт напишу по удалению, если не обнаружит, просто закидываете файлы на вирустотал и смотрите рез-т сканирования, домашний комп вряд ли заразите, это же не исполняемые файлы, а вообще, лучше заархивируйте эти файлы с паролем virus и пришлие мне на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него в ПМ (личку).
по поводу флешки, защита от autorun
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Цитата:
Цитата Dump
Но агент периодически отлавливает файлы и лечит их, видимо сработает! »
Агент сообщает какая раб. станция заражена? Если нет, имеет смысл поставить аудит на создание файлов и выявлять зараженные раб. станции, отключать их от сети и лечить.

Dump 16-04-2008 18:08 782719
Вложений: 1
Pili, Вот посмотрите Лог от агента, если я правильно понимаю, то Колонка "пользователь" - это тот, кто последний обращался к файлу и получается его заразил. Как видно все обращаются к одному файлу Colvir.exe это программа используемая у нас юзает этот файл. Всего около 200 человек, но как видно в логах заражение происходит именно после того, как 2-3 определённых человека обращаются к нему.

Включить аудит. Вы имеете ввиду аудит Винды?

Dump 16-04-2008 18:16 782723
Цитата:
Цитата Pili
Dump, на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll »
Хотел забрать эти файлы ....их нет на сервере!

Pili 16-04-2008 19:08 782761
Dump, да, имелся ввиду аудит винды на папку, но видно, что опредить можно по логам агента DrWeb, статистика на высоте :)
Цитата:
Цитата Dump
Хотел забрать эти файлы ....их нет на сервере! »
можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом
Код:
begin
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('Ati2evxx.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
пришлите quarantine.zip
LINKINFO.dll по новым логам нет
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Dump 17-04-2008 14:56 783286
Цитата:
Цитата Pili
можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом »
Пусто. файлов нет

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка

Вот что сказал AVZ

Pili 17-04-2008 15:40 783315
Dump, вероятно остался только мусор в реестре, пришлите quarantine.zip на user15802[at]mail.ru и сделайте ещё логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения. Если лог не получится, попробуйте ещё раз отключив антивирусные программы и firewall
и сделайте ещё лог virusinfo_syscheck.zip

Dump 17-04-2008 15:46 783318
Pili,
Я не на том сервере логи снимал :( Сейчас снял, всё нормально вечером вышлю вам файл quarantine.zip

С декарт сканером только завтра смогу логи снять.

Pili 17-04-2008 15:48 783321
Dump, там должны быть ini файлы

Dump 17-04-2008 15:56 783327
Pili, У меня на другом сервере (Файловый сервер) AVZ Выдал такую ошибку:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Это всё да ? Значит конец ему. И ещё вопрос, если я AVZ буду запускать с диска то он не сможет сохранить архивы sysinfo, syscure и тд ?

Pili 17-04-2008 16:41 783355
Dump, на другом сервере скорее всего живет файловый вирус, сначала надо избавиться от него, лечить так же как предыдущий сервер или с помощью cureit - распаковать на DC или флешку на чистой системе, флешку защитить от записи (они бывают с переключателями)
Можно переименовать avz.exe (незараженный) в 1.pif и попробовать запустить

Pili 17-04-2008 22:26 783619
Dump, в карантине C:\WINDOWS\system32\DRIVERS\nvmini.sys - Rootkit.Win32.Agent.ga по касперскому.
вы с помощью AVPTool не проверялись? В правилах об этом написано и я рекомендовал в каком то посте.
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('Ati2evxx.dll','');
 QuarantineFile('C:\WINDOWS\system32\Ati2evxx.dll','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
повторите логи virusinfo_syscheck.zip, hijackthis.zip

Dump 18-04-2008 11:29 783877
Проверил сервер с помощью AVPtool. Опять обнаружены вирусы Win32.alman.b
а также трояны и руткиты. Хотел скинуть лог, но он больше 300мегов весит. Проверял в нормальном режиме, может имеет смысл проверить в безопасном режиме ?

Pili 18-04-2008 12:25 783928
Dump, лог avptool не нужен
Цитата:
Цитата Dump
имеет смысл проверить в безопасном режиме ? »
лучше всего лечить в безопасном режиме т.к. меньше служб. драйверов и программ стартует

Котяра 18-04-2008 22:09 784347
Цитата:
Цитата Pili
распаковать на DC »
На CD, а не на DC!

Dump 21-04-2008 14:38 786067
Всё! После чистки с помощью AVPTool, все вири пропали и не появляются!

Pili 21-04-2008 15:21 786102
Dump, поздравляю с успешным освобождением серверов от нечисти :)

Dump 21-04-2008 18:40 786203
что-то не могу найти "крыжик", что тема решена


Время: 01:03.

Время: 01:03.
© OSzone.net 2001-