Троян в scvhost

[DihaZ]

KIS 7.0 при проверке выдал что в модуле scvhost.exe троян Trojan.Win32.Agent.goa и не смог удалить, подозреваю, что есть еще какаие-нибудь зловреды. Все логи прилагаю

[PavelA]

Скачать IceSword
Через force delete удалить:
C:\WINDOWS\system32\Drivers\Nsx83.sys
C:\WINDOWS\System32\drivers\tcpsr.sys

Затем выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 BC_DeleteSvc('ovrscn');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys','');
 BC_DeleteSvc('Nsx83');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx83.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Nsx83.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Профиксить:

Код:

O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)

После этого сделать новые логи. Загрузить карантин по Правилам.

[DihaZ]

через force delete в IceSword смог удалить только
C:\WINDOWS\system32\Drivers\Nsx83.sys
второго файла не было
после перезагрузки машины касперский выдал следующее:

не найдено: троянская программа Trojan.Win32.Agent.goa Модуль: svchost.exe\svchost.exe
обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\System32\svchost.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\system32\services.exe
удалено: троянская программа Trojan.Win32.Agent.mwo Файл: C:\WINDOWS\system32\drivers\tcpsr.sys
обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\WINDOWS\System32\svchost.exe
обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\System32\svchost.exe

после этого выполнил скрипт AVZ и пофиксил в HijackThis

карантин выслал
Файл сохранён как080919_044740_virus_48d3753c937c9.zip
Размер файла25092
MD5a3cf06813f845632635bcac34268e245



новые логи прикладываю

[Rene-gad]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('c:\windows\system32\cpl32ver.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys','');
 DeleteService('ovwscn');
 DeleteService('ldiskl');
 DeleteService('ati6osxx');
 DeleteFile('c:\windows\system32\cpl32ver.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc(' ovwscn');
BC_DeleteSvc('ldiskl');
BC_DeleteSvc('ati6osxx');
 SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.

[DihaZ]

скрипт выполнил, после перезагрузки очистил темп-папки, кэш проводников и корзину.

карантин выслал, логи прикладываю

кстати, после выполнения скрипта и перезагрузки, windows стала просить установить драйвера на какое-то устройство, точно не видео и звук, тк там все впорядке

при открытии любой старнички в IE касперский сразу ругается:

19.09.2008 14:19:26 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3040
19.09.2008 14:19:26 C:\WINDOWS\system32\services.exe
Действие запрещено.
19.09.2008 14:20:10 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3440
19.09.2008 14:20:10 C:\WINDOWS\system32\services.exe
Действие запрещено.
19.09.2008 14:20:11 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3520
19.09.2008 14:20:11 C:\WINDOWS\system32\services.exe
Действие запрещено.

[Rene-gad]

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\Drivers\ati6osxx.sys

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.contentdiscount.info
O15 - Trusted Zone: www.extremeaccess.info

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys','');
 DeleteService('ati6osxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati6osxx');
executerepair(2);
executerepair(3);
executerepair(4);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(13);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы
- Прикрепите логи к новому сообщению.

[DihaZ]

все сделал, логи прикрепляю, карантин выслал

в диспетчере устройств по прежнему висит неизвестное устройство и windows просит установить драйвера

[Rene-gad]

Удалить устройство не получается?

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati6osxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati6osxx');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.

[DihaZ]

перед выполнением скрипта удалил из диспетчера это устройство, выполнил скрип, комп перезагрузился, устройство больше не пояивлось
новые логи прикрепляю

[Rene-gad]

Вроде убили гада.
Жалобы есть?

[DihaZ]

нет, все работает нормально )) спасибо за помощь

[Rene-gad]

Сервис Пак 3 поставьте, возможно потребуется активация системы.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 47
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Agent.aecq (DrWEB: BackDoor.Bulknet.239)