W32/Noonlight.b worm - зачистка последствий

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Ennor
Конструктивный критик
Конструктивный критик
 
Сообщения: 2504
Зарегистрирован: 18.12.2001 (Вт) 3:58
Откуда: Калуга -> Москва

W32/Noonlight.b worm - зачистка последствий

Сообщение Ennor » 13.05.2007 (Вс) 13:16

Друзья привезли фотки из путешествия, воткнули внешний винт в машину и начали показывать. Сдуру пустил их за консоль с админскими правами. Ну, они и накликали, не глядя...
NOD32 опознал сабж и вроде как зачистил. Полез в инет смотреть, что такое - каспер такого не знает, гугл тоже. По описанию совпадает с одним из бесчисленных клонов Netsky.

В общем, практ. все я зачистил, осталась только одна непонятная вещь - в свойствах папок не снимается галка "Hide protected operating system files (Recommended)". Как выглядит: я открываю этот диалог, снимаю галку, винда запрашивает подтверждение, говорю Yes, нажимаю Apply. Подлежащее окно проводника с открытым корнем диска C: рефрешится, причем видно, что рефрешится оно дважды - первый раз когда применяется моя установка на показ системных объектов, и второй - когда что-то тут же возвращает эту настройку обратно. Мозги вывихнул, пытаясь понять, что это может быть. На данный момент подозрение номер один - где-то остался руткит, который NOD32 почему-то не видит.

Что делал:
    1. Зачистка памяти посредством руссиновичевского ProcExp;
    2. Полная зачистка всех дисков NOD32;
    3. Танец с граблями, чтобы запустить Regedit - эта гадость одновременно прописывает (где-то, но не в GPO, там вроде чисто) запрет на редактирование реестра и одновременно назначает блокнот штатным дебаггером для файлов msconfig.exe и regedit.exe. Долго смеялся, когда нашел;
    4. Полный скан руссиновичевским RootkitRevealer. Нашлись несколько файлов групповой политики (расширение .pol), скрытые от Windows API. Фар их спокойно увидел и смог переместить в другое место. Ничего не дало.

Any ideas?..

P.S. Переустанавливать винду не хочется - как вспомню, сколько времени занимает накатка MSSQL2005 SP2 и MSVS2005 SP1...

Konst_One
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
Аватара пользователя
 
Сообщения: 3041
Зарегистрирован: 09.04.2004 (Пт) 13:47
Откуда: Химки

Сообщение Konst_One » 14.05.2007 (Пн) 12:11


Ennor
Конструктивный критик
Конструктивный критик
 
Сообщения: 2504
Зарегистрирован: 18.12.2001 (Вт) 3:58
Откуда: Калуга -> Москва

Сообщение Ennor » 14.05.2007 (Пн) 13:36

Уже лучше, спасибо. Вечером поковыряюсь...

UPD 20070515 00:33
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue="0"
Вот тут оно и сидело... Спасибо, остальное уже мелочи. Вроде разобрался.


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing-бот и гости: 139

    TopList