Сетевая атака с компьютера на другой ПК в сети
 

С компьютера "А" постоянна идёт "атака" на другой компьютер в сети "Б", на котором расположен расшареный для всех ресурс с общим доступом. В расшареном ресурсе постоянно появляется файл autorun.inf и ещё один экзешник с разными именами, тут же файлы удаляются антивирусом компьютера "Б". Антивирус TrendMicro OfficeScan корпоративный определяет вирус как PE_CORELINK.DAM.
Итак виновником пока считается компьютер "А", проверку в безопасном режиме с помощью CureIt, AVP и т.д. сделать невозможно, так как ПК в безопасном режиме не грузиться, в обычном режиме данные программы просто зависают в р-не 3% проверки! Логи с компьютера "А" :

Ссори перепутал virusinfo_cure.zip с virusinfo_syscheck.zip, который я кстати не могу найти, почему ?
Выполнил два скрипта сначала третий потом, после перезагрузки, второй !

virusinfo_cure.zip выкладывать нельзя!

Отключите защитное ПО (антивирус, файрволл). Включите брандмауэр Windows. А вообще на время лечения сеть лучше отключить.
Выполните скрипт в AVZ
После выполнения скрипта компьютер перезагрузится.

Выполнить скрипт в AVZ.
Файл quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by

2. Пофиксить в HiJack
Повторите логи

>> Заблокировано изменение свойств экрана сами отключали?
z.bat вам знакомо?

thyrex, сорри, но строчку
DeleteFile('biogina.dll');
убрал из скрипта, biogina.dll д.б. от biolink
Добавил
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');

Сеть отключить не могу, так как комп находиться ну очень удалённо(100 км). Антивир отключал, после того как комп блокируется (по умолчанию 5 минут) заново вхожу, уже запущен антивир, эту проблему устраним :) Брандмауэр обязательно включать, если да, не подскажите, как до его включения прописать исключения в нём! Свойства экрана сами блокировали, z.bat мапирует сетевой диск! пошел выполнять скрипты...

я позволил себе удалить из скрипта строчку: DeleteFile('biogina.dll');
строку QuarantineFile('biogina.dll',''); удалять не стал.
Этот файл используется комплексом "Биолинк" - вход в систему посредством пальцевых отпечатков!

Имелось в виду отключить компьютер от сети. Пуск - Панель управления - Брандмауэр Windows - Исключения

Dump, Здравствуйте. Дополню. Kaspersky Anti-Virus 7.0 и Trend Micro - оставьте что-нибудь одно.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Проверьте ещё раз работает ли безопасный режим, если нет - AVZ - восстановление системы - п.10 и дополнительно можете применить твик реестра из файла safeboot.zip
По логам у вас обнаружен драйвер abp470n5, подозрение на файловый вирус типа sality и ещё подозрение на kido, проверьтесь с помощью cureit в безопасном режиме и утилитой kidokiller строго по инcтсрукции (последняя после скрипта возможно уже не найдет kido)
Java\jre1.5.0_06 - Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Adobe Acrobat также обновите.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Сделайте новые логи по правилам.

Пока готовятся логи, хотел бы немного объяснить ситуацию:
Комп находиться далеко в "деревне" :), все операции выполняю удалённо через ПО для удалённого администрирования. Для инженера, который там есть всё это сложно, поэтому необходимо добиться, чтобы комп загружался в безопасном режиме, далее надеюсь справится он там.

не могу, я его потеряю :)
И Вам доброго вечера, касперского там нет, возможно остались какие-то следы ???
сейчас попробую
Всё это сделал перед выполнением скриптов в AVZ, единственно забыл выключить восстановление, потом выключил. Проделать ещё раз ?

так же всё сделал перед выполнением скриптов.

Отправил с адреса sc_dump


Я добавил логи, не могу понять но файл virusinfo_syscheck.zip не создаётся, virusinfo_syscure.zip тоже не появился, в файле syscheck.rar скопированный текст с окна AVZ после выполнения стандартного скрипта №2 .

Не потеряете, если порты для удаленного администрирования внесете в исключения, например 3389. Если заплатки (SP3 и все остальные) абсолютно все поставлены, то брандмауэр можно не включать.
драйвер C:\WINDOWS\system32\drivers\klif.sys
служба O23 - Service: Kaspersky Anti-Virus 7.0 (AVP)
Пройдитесь утилитой KAVremover9.zip - http://support.kaspersky.ru/faq/?qid=208635705
Восстановление системы можно не отключать, но в таком случае после скрипта надо очищать предыдущие точки восстановления и создавать новую, временные файлы после скрипта лучше чистить.

А вы все предыдущие рекомендации выполнили? Судя ло логу HJT - нет. Защитное ПО выключали на время работы AVZ?

Из того, что сделал:
1.Брандмауэр включил в исключениях убрал общий доступ
2. На время работы AVZ Тренд выгружал через трей, но уже позже заметил, что процессы в работе остаются.
3. временные файлы почистил
4.Установил обновления из статьи про KIDO
5. запустил на проверку CureIt в обычном режиме, в безопасном не смог ТАМ людей на месте уже нет (он прошёл порог в 3%)
6. Ушел домой :)
Яву и акробат не обновлял, Gmer не запускал, следы касперского не удалял, kidokiller тоже не запускал.

вот эту строчку только заметил, её же отдельно можно будет выполнить ?

Вот последние логи, вроде все рекомендации выполнил, лог AVZ так и не формируется :(

Dump, с помощью kidokiller по инструкции проверяли систему? Cureit находил win32.sector (или AVPTool win32.sality)?
Знакомо? Если нет - пофиксите и очистите временные файлы.
AVZ запускали с консоли или через терминалку? Попробуйте отключить всё защитное ПО, брадндмауэр windows можете оставить, попробуйте запустить хотя бы 2-ой скрипт AVZ и выложить логи virusinfo_syscheck.zip

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Да всё по инструкции, за исключением того, что от сети не отключал. CureIt находил win32.sector !!!

AVZ запускал в графическом режиме (если это имеется ввиду) ! Вот именно после выполнения второго скрипта в логах ничего не появляется!!!!

Это плохо, очень. Вам придется сначала провериться по методу лечения системы от файловых вирусов, и только затем делать логи.
Т.к. вирус живучий, после лечения рекомендуется не запускать exe файлы из источников, которые не проверялись антивирусом, Trend Micro OfficeScan по какой-то причине не знает о вашем экземпляре файлового вируса, поэтому рекомендую несколько зараженных файлов отправить в вирлаб Trend Micro или использовать другой антивирус.

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1749
Windows 5.1.2600 Service Pack 2

26.03.2009 15:44:33
mbam-log-2009-03-26 (15-44-33).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 157388
Прошло времени: 38 minute(s), 52 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 4
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpap er (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\explorer.exe.de.bat (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Тогда тему пока можно прикрыть, буду ждать пока компы мне вышлют.
По видимому решением будет переустановка образа :(

Dump, зачем переустанавливать? Загрузиться с CD и проверить тем же cureit и затем, на всякий случай, APVTool.
По логу AVZ подозрительные c:\windows\system32\dwrcst.exe - создан: 25.03.2009 14:33:35, c:\windows\sminst\scheduler.exe изменен: 16.03.2009 10:27:20, с некоторыми другими файлами то же самое, вероятно заражены win32.sector, после проверки утилитами можно проверить такие файлы на virustotal.com
Если есть общие файловые ресурсы, их также следует проверить.

жду компы...

Добрался наконец до своей почты. C:\WINDOWS\system32\gifsury.dll из вашего карантина мой KIS2009 определил как Net-Worm.Win32.Kido.ih