Name: ARMY.exe - вирус автозапуска
Item: ARMY.exe - вирус автозапуска
Author: chaika2

CHAIKA

Главная | Регистрация | Вход

Среда, 24.04.2024, 13:17
Приветствую Вас Гость | RSS

Меню сайта

Категории каталога

Мои статьи [51]

Справка по системе [59]

Запись [11]

Flash-накопители [21]

Закачка [35]

Игры [29]

Защита [76]

Локальная сеть [35]

WEB-master [44]

Восстановление [40]

Portable Soft [18]

Оптимизация [34]

Анонимайзер [4]

Ноутбуки [44]

Нетбуки [8]

Система - установка [21]

Деньги в интернете [19]

WINDOWS 7 [35]

Новые статьи [13]

Цифровое видео [26]

Мини-чат

Главная » Статьи » Защита

ARMY.exe - вирус автозапуска

ARMY.exe - вирус автозапуска

ARMY.exe
----------
Вирус автозапуска Backdoor.Win32.VB.iqo
----------
Описание:
При открытии флэш-карты в режиме автозапуска или через Проводник (EXPLORER) -
Создает на съемном диске:
1. /SYSTEM/ (скрытая папка)

*:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini

Code

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

2. autorun.inf

Code

[autorun]
open=SYSTEM\FILES\ARMY.exe
;ЄУИЕММьПРЕОьДЕЖБХМФќ‘О†

;This is Mainly Used by Driver Utility Dont Remove This File.
action=Open folder to view files
shell\open=Open
shell\open\command=SYSTEM\FILES\ARMY.exe
shell\open\default=1

Создает на системном диске С:
1. С:/SYSTEM/ (скрытая папка)

*:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

2. Запись в реестре:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
| - _Autorun.....................................1.1
| - | - Action.....................................1.1.1
| - Shell............................................1.2
| - - | AutoRun..................................1.2.1
| - - | - | command............................1.2.1.1
| - - | open.......................................1.2.2
| - - | - | command...........................1.2.2.1
| - - | - | default...............................1.2.2.2

REESTR:
==============
1.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
[ab](Пo умолчанию)...................REG_SZ ........................(значение не присвоено)
[fig]Au torunStatus ....................REG.BIN... ...................................O1O1ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff...
[ab]BaseClass ...........................REG_SZ ..........................Drive

1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
[ab](По умолчанию).......................REG_SZ.....................(значение не присвоено)

1.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun\Action
[ab](По умолчанию).........................REG_SZ...........................Open folder to view files

1.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
[ab](По умолчанию)........................REG_SZ............................Open

1.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun
[ab](По умолчанию) ........................REG_SZ ........................(значение не присвоено)
[ab]Extended........................REG_SZ

1.2.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun\command
[ab](По умолчанию)........................REG_SZ........................SYSTEM\FILES\ARMY.exe

1.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open
[ab](По умолчанию)........................REG_SZ........................Open

1.2.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\command
[ab](По умолчанию)........................REG_SZ ........................SYSTEM^ILES\ARMY.exe

1.2.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\default
[ab](По умолчанию)........................REG SZ........................1

=======================
Действия:
---------
1. Включить опцию просмотра скрытых файлов
2. Отключить автозапуск флэш-карты
3. Удалить С:/SYSTEM/ (скорее всего понадобится UNLOCKER или аналогичные программы)
4. Удалить в реестре значения 1.1 и 1.2
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
5. Просканировать зараженную флэш-карту антивирусом
6. После сканирования просмотреть через Total Commander с включенной опцией просмотра скрытых файлов и при необходимости вручную удалить *:/SYSTEM/ и autorun.inf

Категория: Защита | Добавил: chaika2 (25.05.2009)

Просмотров: 1218 | Комментарии: 5 | Рейтинг: 0.0/0 |

Всего комментариев: 5

Порядок вывода комментариев:

1 chaika2 (25.05.2009 13:54)

VirusInfo

Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы.
Выполните в AVPTool скрипт:

Code

begin
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
  QuarantineFile('c:\SYSTEM\FILES\ARMY.exe','');
  DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
  DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
  CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);

end.Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы.

Подключите к компьютеру все флешки, удерживая нажатой клавишу Shift.
Сделайте новый файл информации о системе и приложите к этой теме.

***
Закройте все программы.
Выполните в AVPTool скрипт:

Code

begin
SetAVZGuardStatus(True);
  ClearQuarantine;
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
  DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
  DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
  QuarantineFile('C:\Program Files\Xmarks\IE Extension\xmarkssync.exe','');
  QuarantineFile('C:\Program Files\hUSB\hUSB.exe','');
  QuarantineFile('C:\Program Files\Apple Software Update\SoftwareUpdate.exe','');
  QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
  QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
  DeleteFile('E:\autorun.inf');
  DeleteFile('E:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
  CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы.

***
Скачайте файл http://virusinfo.ifolder.ru/12041226.
Сохраните в отдельную папку, запустите и через меню Файл выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

***
Выполните в AVPTool скрипт:

Code

begin
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
end.

Это для очистки реестра. Файл трояна убит, похоже он восстанавливался с флешки.
Сетевое подключение z-connect удалите.
Проблема решена?

***
А как мне быть с некоторыми неотображающимися ярлычками в трее? Процессы запущены, а ярлычков нет. Заранее спасибо...

Щелкните правой кнопкой мыши на свободном месте в трее - Свойства - снимите галочку Скрывать неиспользуемые значки.

2 chaika2 (25.05.2009 14:18)

forum.kaspersky.com

Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Driver\Files\zerX.exe','');
QuarantineFile('H:\Driver\Files\zerX.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YIM1D9B.tmp','');
DeleteService('GarenaPEngine');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YIM1D9B.tmp');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\Driver\Files\zerX.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\Driver\Files\zerX.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com . В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.
Сделайте новые логи. В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы)

***
Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Driver\Files\zerX.exe','');
QuarantineFile('H:\Driver\Files\zerX.exe','');
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('C:\Driver\Files\zerX.exe','');
DeleteFile('C:\Driver\Files\zerX.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('H:\Driver\Files\zerX.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\Driver\Files\zerX.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com . В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

***
Пофиксить в HiJack

Code

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Надеюсь C:\WINDOWS\innounp.exe Вам знакомо
innounp.exe вроде как пишут что ето системный распоковщик

***
Bin.exe,
Bin_0.exe,
Bin_1.exe - Backdoor.Win32.Bifrose.atsn
zerX.exe,
zerX_0.exe,
zerX_1.exe - Backdoor.Win32.Poison.yre

Эти файлы определяются антивирусом. Обновите антивирусные базы.

DVDFab.exe.BAK,
innounp.exe

Вредоносный код в файлах не обнаружен.

***
Восстановление системы отключить!

Выполните скрипт в AVZ

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('H:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('I:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('I:\autorun.inf','');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\SYSTEM\FILES\ARMY.exe');
DeleteFile('H:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Code

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пофиксить в HiJack

Code

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru

***

3 chaika2 (25.05.2009 14:19)

при проверки нашелся данный файлег
>>> H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Так же остались побочные файлы от вируса
dfghxjxs.exe (иконка avi file
Xsdshj.exe (якобы calculator windowsa)
Xxdfgxhj.exe (иконка виндовс 95)))
----------
Удаляйте вручную. Если они не будут сопротивляться

***
ARMY.exe_, ARMY_0.exe_ - Backdoor.Win32.VB.iqo,
Bin.exe_ - Backdoor.Win32.Bifrose.atsn

Эти файлы определяются антивирусом. Обновите антивирусные базы.

autorun.inf, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini

Вредоносный код в файлах не обнаружен.

***
1. Что у Вас с системной датой? 2010 год...
2. Выполните скрипт в AVZ (отключим автозапуск со всего, кроме CD-DVD)

Code

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксить в YiJack

Code

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

В остальном снова чистота. Может он распространяется через шары...

4 chaika2 (25.05.2009 14:23)

Как выполнить скрипт в AVZ?

1. Закройте и выгрузите из трея все программы, особенно это касается средств защиты (антивирусы, firewall и т.д.)
2. Скопируйте текст, который находится в рамочке

Code

код меняется в зависимости от ситуации

3. Откройте AVZ, зайдите в меню "Файл" и нажмите "Выполнить скрипт"
4. В появившееся окно вставьте ранее скопированный текст скрипта.
5. Нажмите кнопку "Запустить".

5 chaika2 (25.05.2009 14:25)

Что значит "пофиксить с помощью HijackThis"?

1. Запустите HijackThis.
2. В главном окне программы нужно нажать кнопочку "Do a system scan only".
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Примечание: У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".

Внимание! Фиксить или отменять сделанные изменения можно только после совета с консультантом, иначе рискуете получить дополнительные проблемы!

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]