ARMY.exe
----------
Вирус автозапуска Backdoor.Win32.VB.iqo
----------
Описание:
При открытии флэш-карты в режиме автозапуска или через Проводник (EXPLORER) -
Создает на съемном диске:
1. /SYSTEM/ (скрытая папка)

*:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini

Code

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

2. autorun.inf

Code

[autorun]
open=SYSTEM\FILES\ARMY.exe
;ЄУИЕММьПРЕОьДЕЖБХМФќ‘О†

;This is Mainly Used by Driver Utility Dont Remove This File.
action=Open folder to view files
shell\open=Open
shell\open\command=SYSTEM\FILES\ARMY.exe
shell\open\default=1

Создает на системном диске С:
1. С:/SYSTEM/ (скрытая папка)

*:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

2. Запись в реестре:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
| - _Autorun.....................................1.1
| - | - Action.....................................1.1.1
| - Shell............................................1.2
| - - | AutoRun..................................1.2.1
| - - | - | command............................1.2.1.1
| - - | open.......................................1.2.2
| - - | - | command...........................1.2.2.1
| - - | - | default...............................1.2.2.2

REESTR:
==============
1.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
[ab](Пo умолчанию)...................REG_SZ ........................(значение не присвоено)
[fig]Au torunStatus ....................REG.BIN... ...................................O1O1ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff...
[ab]BaseClass ...........................REG_SZ ..........................Drive

1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
[ab](По умолчанию).......................REG_SZ.....................(значение не присвоено)

1.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun\Action
[ab](По умолчанию).........................REG_SZ...........................Open folder to view files

1.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
[ab](По умолчанию)........................REG_SZ............................Open

1.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun
[ab](По умолчанию) ........................REG_SZ ........................(значение не присвоено)
[ab]Extended........................REG_SZ

1.2.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun\command
[ab](По умолчанию)........................REG_SZ........................SYSTEM\FILES\ARMY.exe

1.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open
[ab](По умолчанию)........................REG_SZ........................Open

1.2.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\command
[ab](По умолчанию)........................REG_SZ ........................SYSTEM^ILES\ARMY.exe

1.2.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\default
[ab](По умолчанию)........................REG SZ........................1

=======================
Действия:
---------
1. Включить опцию просмотра скрытых файлов
2. Отключить автозапуск флэш-карты
3. Удалить С:/SYSTEM/ (скорее всего понадобится UNLOCKER или аналогичные программы)
4. Удалить в реестре значения 1.1 и 1.2
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
5. Просканировать зараженную флэш-карту антивирусом
6. После сканирования просмотреть через Total Commander с включенной опцией просмотра скрытых файлов и при необходимости вручную удалить *:/SYSTEM/ и autorun.inf

=================
VirusInfo

Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы.
Выполните в AVPTool скрипт:

Code

begin
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
  QuarantineFile('c:\SYSTEM\FILES\ARMY.exe','');
  DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
  DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
  CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);

end.Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы.

Подключите к компьютеру все флешки, удерживая нажатой клавишу Shift.
Сделайте новый файл информации о системе и приложите к этой теме.

***
Закройте все программы.
Выполните в AVPTool скрипт:

Code

begin
SetAVZGuardStatus(True);
  ClearQuarantine;
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
  DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
  DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
  QuarantineFile('C:\Program Files\Xmarks\IE Extension\xmarkssync.exe','');
  QuarantineFile('C:\Program Files\hUSB\hUSB.exe','');
  QuarantineFile('C:\Program Files\Apple Software Update\SoftwareUpdate.exe','');
  QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
  QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
  DeleteFile('E:\autorun.inf');
  DeleteFile('E:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
  CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы.

***
Скачайте файл http://virusinfo.ifolder.ru/12041226.
Сохраните в отдельную папку, запустите и через меню Файл выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

***
Выполните в AVPTool скрипт:

Code

begin
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
end.

Это для очистки реестра. Файл трояна убит, похоже он восстанавливался с флешки.
Сетевое подключение z-connect удалите.
Проблема решена?

***
А как мне быть с некоторыми неотображающимися ярлычками в трее? Процессы запущены, а ярлычков нет. Заранее спасибо...

Щелкните правой кнопкой мыши на свободном месте в трее - Свойства - снимите галочку Скрывать неиспользуемые значки.

===================

Категория: Все статьи | Добавил: Chaika (01.10.2009)

Просмотров: 2425 | Комментарии: 2 | Рейтинг: 0.0/0

Всего комментариев: 2

Порядок вывода комментариев:

1 Chaika (01.10.2009 15:06)

forum.kaspersky.com

Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Driver\Files\zerX.exe','');
QuarantineFile('H:\Driver\Files\zerX.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YIM1D9B.tmp','');
DeleteService('GarenaPEngine');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YIM1D9B.tmp');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\Driver\Files\zerX.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\Driver\Files\zerX.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com . В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.
Сделайте новые логи. В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы)

***
Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Driver\Files\zerX.exe','');
QuarantineFile('H:\Driver\Files\zerX.exe','');
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('C:\Driver\Files\zerX.exe','');
DeleteFile('C:\Driver\Files\zerX.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('H:\Driver\Files\zerX.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\Driver\Files\zerX.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com . В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

***
Пофиксить в HiJack

Code

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Надеюсь C:\WINDOWS\innounp.exe Вам знакомо
innounp.exe вроде как пишут что ето системный распоковщик

***
Bin.exe,
Bin_0.exe,
Bin_1.exe - Backdoor.Win32.Bifrose.atsn
zerX.exe,
zerX_0.exe,
zerX_1.exe - Backdoor.Win32.Poison.yre

Эти файлы определяются антивирусом. Обновите антивирусные базы.

DVDFab.exe.BAK,
innounp.exe

Вредоносный код в файлах не обнаружен.

***
Восстановление системы отключить!

Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('H:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('I:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('I:\autorun.inf','');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\SYSTEM\FILES\ARMY.exe');
DeleteFile('H:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пофиксить в HiJack

Code

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru

***

2 Chaika (01.10.2009 15:08)

при проверки нашелся данный файлег
>>> H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Так же остались побочные файлы от вируса
dfghxjxs.exe (иконка avi file
Xsdshj.exe (якобы calculator windowsa)
Xxdfgxhj.exe (иконка виндовс 95)))
----------
Удаляйте вручную. Если они не будут сопротивляться

***
ARMY.exe_, ARMY_0.exe_ - Backdoor.Win32.VB.iqo,
Bin.exe_ - Backdoor.Win32.Bifrose.atsn

Эти файлы определяются антивирусом. Обновите антивирусные базы.

autorun.inf, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini

Вредоносный код в файлах не обнаружен.

***
1. Что у Вас с системной датой? 2010 год...
2. Выполните скрипт в AVZ (отключим автозапуск со всего, кроме CD-DVD)

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксить в YiJack

Code

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

В остальном снова чистота. Может он распространяется через шары...

=================
Как выполнить скрипт в AVZ?

1. Закройте и выгрузите из трея все программы, особенно это касается средств защиты (антивирусы, firewall и т.д.)
2. Скопируйте текст, который находится в рамочке

Code

код меняется в зависимости от ситуации

3. Откройте AVZ, зайдите в меню "Файл" и нажмите "Выполнить скрипт"
4. В появившееся окно вставьте ранее скопированный текст скрипта.
5. Нажмите кнопку "Запустить".

====================
Что значит "пофиксить с помощью HijackThis"?

1. Запустите HijackThis.
2. В главном окне программы нужно нажать кнопочку "Do a system scan only".
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Примечание: У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".

Внимание! Фиксить или отменять сделанные изменения можно только после совета с консультантом, иначе рискуете получить дополнительные проблемы!

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Друзья сайта

Новости СМИ2

* *

Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление