Ошибка setupapi отсутствует s (Windows 2003 Server))

[Alex640]

При попытках зайти в настройки брандмауэра, установка-удаление программ и в других местах выскакивает ошибка setupapi отсутствует s. Помогите избавиться пожалуйста !

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\Alex\WINDOWS\system32\smss.exe','');
 QuarantineFile('C:\WINDOWS\Temp\NTAF30B32.exe','');
 QuarantineFile('C:\WINDOWS\system32\baseufafl32.dll','');
 QuarantineFile('C:\Documents and Settings\Alex\WINDOWS\System32\Drivers\Ejy11.sys','');
 DeleteFile('C:\WINDOWS\Temp\NTAF30B32.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20714
Затем такой скрипт в АВЗ

Код:

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
 Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
 If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
  i := Pos(SSS,SS); l := Length(ss);
  If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
  s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
 SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
 SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
 ParseString (SL,SS,' ');
 for i := 0 to SL.Count - 1 do Begin
   SS := SL[i];
   If Pos('ServerDll=base',SS) > 0 Then Begin
     If SS <> 'ServerDll=basesrv,1' Then Begin
	 AddToLog('Infected "SubSystem" value : ' + SS);
	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
     end;
  end;
 end;
 SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
 If SSS <> '' Then Begin
  i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
  SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
  AddToLog('Infection name : ' + SSS + '.dll');
  SetAVZGuardStatus(True);
  If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
  SF.Add('REGEDIT4'); SF.Add('');
  SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
  SSS := '"Windows"=hex(2):';
  for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
  SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
  ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
  SaveLog(GetAVZDirectory + 'SubSystems.log');
  RebootWindows(false);
 end;
SL.Free; SF.Free;
End.

Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ.

[Alex640]

Помогло, спасибо огромное. А SubSystems.log в папке AVZ у меня отсутствует...

[wise-wistful]

Я понимаю, что у Вас сервер, но в точках восстановления сидят, скорее всего, враги.
В карантине NTAF30B32.exe - Trojan-Downloader.Win32.Small.sqc (удалён), baseufafl32.dll - Trojan.Win32.Agent.fxk (этого просто так удалять нельзя система не загрузится)
Н-да не всех удалось ещё прибить. Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\adsmsexto.dll','');
 QuarantineFile('C:\WINDOWS\system32\adsmsextd.dll','');
 DeleteFile('C:\Documents and Settings\Alex\WINDOWS\System32\Drivers\Ejy11.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Ejy11');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Затем

Код:

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
 Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
 If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
  i := Pos(SSS,SS); l := Length(ss);
  If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
  s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
 SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
 SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
 ParseString (SL,SS,' ');
 for i := 0 to SL.Count - 1 do Begin
   SS := SL[i];
   If Pos('ServerDll=base',SS) > 0 Then Begin
     If SS <> 'ServerDll=basesrv,1' Then Begin
	 AddToLog('Infected "SubSystem" value : ' + SS);
	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
     end;
  end;
 end;
 SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
 If SSS <> '' Then Begin
  i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
  SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
  AddToLog('Infection name : ' + SSS + '.dll');
  SetAVZGuardStatus(True);
  If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
  SF.Add('REGEDIT4'); SF.Add('');
  SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
  SSS := '"Windows"=hex(2):';
  for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
  SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
  ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
  SaveLog(GetAVZDirectory + 'SubSystems.log');
  RebootWindows(false);
 end;
SL.Free; SF.Free;
End.

Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ. Загрузите карантин согласно приложения 3 правил.
Думаю Вы знаете, что

C:\1\Radmin\rserv30\rserv30en.msi/{MS-OLE}/\18/{CAB}/r3god.dll >>>>> Backdoor.Win32.RAdmin.ab
C:\1\Radmin\rserv30\rserv30ru.msi/{MS-OLE}/\18/{CAB}/r3god.dll >>>>> Backdoor.Win32.RAdmin.ab
C:\km\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus: PSWTool.Win32.RAS.a

[Alex640]

Да radmin мне нужен на этом сервере, а keyfinder я удалил. Присылаю логи

[kps]

Выполните пункт 2 правил (проверка CureIt!), после этого сделайте и прикрепите новые логи AVZ.

[Alex640]

Прошелся CureIt!, прикладываю логи

[wise-wistful]

CureIt! - предлагал удалять/лечить?

[Alex640]

да, я все пролечил, если не лечилось - CureIt удалил, перезагрузил - работает нормально

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 32
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\adsmsexto.dll - Backdoor.Win32.Agent.flk (DrWEB: Trojan.PWS.MailOut.2)
  2. c:\\windows\\system32\\basektsm32.dll - Trojan.Win32.Subsys.gen (DrWEB: Trojan.Okuks.60)
  3. c:\\windows\\system32\\baseufafl32.dll - Trojan.Win32.Agent.fxk (DrWEB: Trojan.Okuks.based)
  4. c:\\windows\\temp\\ntaf30b32.exe - Trojan-Downloader.Win32.Small.sqc (DrWEB: Trojan.MulDrop.1186
  5. \\quarantine\\2008-03-31\\bcqr00007.dta - Trojan.Win32.Agent.fxk (DrWEB: Trojan.Okuks.based)
  6. \\quarantine\\2008-03-31\\bcqr00008.dta - Trojan.Win32.Agent.fxk (DrWEB: Trojan.Okuks.based)