Решена - Exploit.JS.Pdfka.ewu

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем obivankenobi, 19 окт 2011.

Статус темы:
Закрыта.
  1. obivankenobi

    obivankenobi Junior User

    Добрый день. Суть проблемы:

    Kaspersky Administration Kit пишет следующее

    Имя вируса или опасной программы: Exploit.JS.Pdfka.ewu
    Время обнаружения: 18 октября 2011 г. 13:39:31
    Опасный объект: http:/ / yandexwy.qhigh.com/ images/ np/ 50a13912ee7cec2bfd3059bf16d5e056.pdf/ / 50a13912ee7cec2bfd3059bf16d5e056
    Тип опасности: троянская программа
    Действие: Вредоносный HTTP-объект <http:/ / yandexwy.qhigh.com/ images/ np/ 50a13912ee7cec2bfd3059bf16d5e056.pdf/ / 50a13912ee7cec2bfd3059bf16d5e056>:

    На рабочей станции под управлением Kaspersky Workstation 6 сотнями всплывает сообщение следующего характера:

    19.10.2011 10:00:47 URL-адрес http://je0fijncduihfeiuhf.com/qrcbnslueromuvghofebhipdfiptwxnmpenfichf.rtf, содержащий вредоносную программу, обнаружен.
    19.10.2011 10:00:47 URL-адрес http://je0fijncduihfeiuhf.com/qrcbnslueromuvghofebhipdfiptwxnmpenfichf.rtf, содержащий вредоносную программу, запрещен.


    Действия, которые были проведены:
    1. Загрузка через LiveCD DoctorWeb, очистка временных файлов всех пользователей (Temp, Temporary Internet Files).
    2. Сканирование на вирусы ничего не дало.
    2. После перезагрузки сообщения всплывают также.


    Вопрос: какие меры следует предпринять для устранения вируса или его последствий?

    Заранее благодарен.
     
    Последнее редактирование модератором: 20 окт 2011
  2. oleg

    oleg Expert Вирусоборец

    Это результат атаки при помощи зараженного сайта, а именно специально скомпилированного PDF файла.

    Скажите, сообщения всплывают только при обращении к определённому сайту, верно?

    Сделайте логи как показано в -
     
  3. obivankenobi

    obivankenobi Junior User

    Нет, не только, сообщения всплывают сразу же после загрузки системы. И всплываю по мере работы даже без открытия браузера.
     
  4. obivankenobi

    obivankenobi Junior User

  5. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\windows\system32\msvorrlw.exe');
     TerminateProcessByName('c:\documents and settings\all users\application data\mpk\mpk.exe');
     StopService('GMSIPCI');
     StopService('Network Adapter Events');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\MPK\MPK.dll');
     DeleteFile('C:\WINDOWS\system32\xtgina.dll');
     DeleteFile('H:\INSTALL\GMSIPCI.SYS');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe');
     DeleteFile('C:\WINDOWS\system32\oormoxe.dll');
     DeleteFile('xtgina.dll');
     DeleteFile('mpk.exe');
     DeleteFile('C:\WINDOWS\system32\msvorrlw.exe');
     DeleteService('GMSIPCI');
     DeleteService('Network Adapter Events');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe,
    O20 - AppInit_DLLs: C:\WINDOWS\system32\oormoxe.dll
    O23 - Service: Network Adapter Events - Unknown owner - C:\WINDOWS\system32\msvorrlw.exe
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
    Последнее редактирование: 19 окт 2011
  6. obivankenobi

    obivankenobi Junior User

    Один момент:
    C:\BORGChat\BORGChat.exe - это наш сетевой чат. Он тоже заражен? Его тоже сносить?
     
  7. oleg

    oleg Expert Вирусоборец

    Оставляйте.
     
  8. obivankenobi

    obivankenobi Junior User

  9. oleg

    oleg Expert Вирусоборец

    Удалите в MBAM следующее:

    Скажите, проблема решена?
     
  10. obivankenobi

    obivankenobi Junior User

    После всех проведенных операций, перезагрузки и входа в систему Kaspersky выдает, следующее окно:
     

    Вложения:

    • kav.jpg
      kav.jpg
      Размер файла:
      38,9 КБ
      Просмотров:
      3
  11. oleg

    oleg Expert Вирусоборец

    Это не старые события случаем? Перезагрузите еще раз машинку и проверьте события.

    C:\addtoadmin\addtoadmin.bat - вам известно это задание планировщика задач?
     
  12. obivankenobi

    obivankenobi Junior User

    Да, задание это сделано мной. А скриншот событий свежий.

    Вот еще одна деталь, вы сказали удалить все файлы и папки после проверки MBAM, но там ведь был еще один зараженный объект, а именно:
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

    Про него вы не сказали ничего. Его надо удалить?
     
  13. oleg

    oleg Expert Вирусоборец

    нет, это легальный.
     
  14. oleg

    oleg Expert Вирусоборец

    пуск - выполнить, введите msconfig и нажите Ентер.
    Вкладка "автозагрузка", уберите все лишнее из автозагрузки(снимите галочки). Или сделайте скриншот этого окна полнеостью, а еще не мешало бы сделать скриншот процессов запущенных в данный момент.

    И еще, удалите все установленные на машинке продукты Adobe (Reader и Acrobat). Перезагрузите пк и проверьте результат.
     
    Последнее редактирование: 19 окт 2011
  15. obivankenobi

    obivankenobi Junior User

    Файлы и программы автозагрузки представлены через программу CCCleaner;
    Процессы - через диспетчер задач.

    В процессах очень смущает один, под названием fb_inet_server.exe. Пробовал его закрыть - он моментально появляется заново. Базы firebird мною не используются (если только они не используются клиент-банком, или программой для электронного документооборота "РЕФЕРЕНТ").
     

    Вложения:

    • autorun.jpg
      autorun.jpg
      Размер файла:
      43,4 КБ
      Просмотров:
      2
    • taskmgr.jpg
      taskmgr.jpg
      Размер файла:
      29,5 КБ
      Просмотров:
      2
  16. oleg

    oleg Expert Вирусоборец

    Taxcom не использует базы fb это точно!


    Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\dipost\firebird\bin\fb_inet_server.exe');
     DeleteFile('c:\dipost\firebird\bin\fb_inet_server.exe');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    Сообщите о результате.
     
  17. obivankenobi

    obivankenobi Junior User

    Продолжаю борьбу.

    Выполнил скрипт, перезагрузился, сделал логи (все это с выключенной сетью).

    hijackthis.log
    http://webfile.ru/5615196

    virusinfo_syscure.zip
    http://webfile.ru/5615200

    virusinfo_cure.zip
    http://webfile.ru/5615198

    Но после перезагрузки с включенной сетью и доступом в интернет касперский опять ругается:
     

    Вложения:

    • kav.jpg
      kav.jpg
      Размер файла:
      56 КБ
      Просмотров:
      2
  18. oleg

    oleg Expert Вирусоборец

    1. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    2. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\msxutwcq.exe');
     StopService('Network Adapter Events');
     StopService('uje5oty2');
     DeleteService('uje5oty2');
     DeleteService('Network Adapter Events');
     DeleteFile('uje5oty2.sys');
     DeleteFile('c:\windows\system32\msxutwcq.exe');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    3. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    
    4. Сделайте новые логи AVZ и HijackThis

    5. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус? Если да, выполните следующее:
     
  19. obivankenobi

    obivankenobi Junior User

    Я одного не понимаю, вирус еще сидит, или это уже последствия его пребывания? Но ведь по логам Kaspersky Administration Kit опасный объект был заблокирован, т.е. на компьютере его не было.

    А сообщения о блокировке все всплывают.

    Попробую еще AVPTool - ом пройтись.
     
  20. oleg

    oleg Expert Вирусоборец

    Выполните то, что написано выше.
     
Статус темы:
Закрыта.

Поделиться этой страницей