CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Trojan:Win32/Bublik.B

отредактировано Июль 2014 Раздел: Форум лечения заражений
Trojan: Win32/Bublik.B отслеживает и крадет учетные данные для входа в интернет-банк и другие финансовые институты. СИмптомами заражения является принудительный запуск Internet Explorer если при этом запускаются другие браузеры,
+
в разделе HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Image File Execution\userinit.exe
для параметра "Debugger" установлено значение: "malware файла name"
например:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="dnseoplay.exe"
подробнее

Проблема в лечении данного трояна возникает, если удаляется файл(например, сканированием) без очистки вредоносной записи в реестре. В этом случае рабочий стол пользователя будет недоступен, при этом постоянно завершается сессия пользователя.

При стандартном (delall) удалении трояна из активной системы в uVS
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %Sys32%\LOGONGWIN.EXE
addsgn 71D15A48176AB1F90E9F7AF3644DD2716C26ADB689732A035581C5851CF251312C5C4A5A6885DF49A2B5A94F0416A2EFF4C2B3A217DA39293FA6E62FA1C127A8 8 tr.0628

delall %Sys32%\LOGONGWIN.EXE
restart
процесс трояна и параметр в реестре защищены, и удаление файла возможно только при перезагрузке.
Завершение процессов...
C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
При этом нет очистки вредоносной записи в реестре + последующая проблема с завершением сессии при входе в систему.
чтобы избежать данной проблемы, и обойти защиту параметра реестра троянским процессом, используем механизм безопасной виртуализации реестра.
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %Sys32%\DNSEOPLAY.EXE
addsgn 71D15A48176AB1F90E9F7AF3644DD2716C26ADB689732A035581C5851CF251312C5C4A5A6885DF49A2B5A94F0416A2EFF4C2B3A217DA39293FA6E62FA1C127A8 8 tr.0628

sreg
delref %Sys32%\DNSEOPLAY.EXE
areg
в логе выполнения скрипта видим, что ссылка на вредоносный файл успешно удалена.
sreg
--------------------------------------------------------
Процесс сохранения реестра займет несколько минут, отпустите мышь и клавиатуру...
Бэкап SYSTEM успешно завершен
SYSTEM успешно виртуализирован C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.2
Бэкап SOFTWARE успешно завершен
SOFTWARE успешно виртуализирован C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.2
Построение списка процессов и модулей...
Сбор дополнительной информации...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
.....
Анализ завершен.
Список готов.
--------------------------------------------------------
delref %Sys32%\DNSEOPLAY.EXE
--------------------------------------------------------
Удаление ссылок на файл: C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 0
--------------------------------------------------------
areg
--------------------------------------------------------
Замена SYSTEM прошла успешно
Замена SOFTWARE прошла успешно
Войдите или Зарегистрируйтесь чтобы комментировать.