Набор: руткиты и трояны.

**qoma** · 19.03.2009, 14:34

Нет возможности выполнить правила форума. При загрузке в безопасном режиме выдает 0x0000007b (недоступно устройство загрузки). Это не смотря на то, что я жму esc на предложение отказаться от загрузки stpd.sys.
Ситауация: Сначала перестали открываться странички (как в теме http://virusinfo.info/showthread.php?t=41640), то есть был заблокирован доступ к серверам обновлений антивирей и некоторым другим сайтам (virusinfo.info, sysinternals). Нашел файл tldmovze.dll, удалить нереально (позже при запуске Cure it в обычном режиме он его нашел и удалил). Посмотрел Process Explorer-ом - нету нигде этой длл-ки. Вынул винт вставил в другую машину. Прогнал кав-ом и авз. Ничего. Попробовал удалить эту длл, пока винт на другой машине - не дает. Ставлю обратно. Process Explorer уже не запускается. Кое-как скачал unlocker - не дает его запускать. HiJackThis не скачать. (С другой машины на флехе принес.) Внезапно длл-ка исчезает после перезагрузки. Rootkit Revealer прогнал два раза - сначала 105 косяков, потом 26. Его логи прикрепить не могу, так как при сохранении логов он виснет и не оживает. Еще деталь - два раза заметил такую вещь - собрался писать что-то в адресной строке бравзера, а в нее начинают вставлятся слова testtesttest и так раз 50. В буфере обмена этого не было... Затем в командной строке Total Comander-а собрался писать кажется regedit - опять этот testtest... Это было уже после двух перезагрузок. Комп в сети через вайфай роутер. (Кстати, нашел у себя sptd в устройствах). Судя по всему, у меня модифицированный вариант, причем кто-то им управляет в онлайне - блочит сайты и запуск программ по имени или заголовку. Главный вопрос - как найти этого товарища? Я уже сидел с TcpView полчаса - не увидел. Потом TcpView тоже перестал запускаться. Но я обманул хозяина - переименовал файл и он запустился. Постоянно идут запросы на локальный компьютер в сетке на порт 2869. Вызываются процессами explorer.exe и svchost.exe.
Выдержки из логов MS Network Monitor с содердимым передаваемых пакетов имеются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 19.03.2009, 14:48

Закройте все программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
 BC_DeleteSvc('DATFXVJN');
 BC_DeleteSvc('LIUNFMEPAPJDWF');
 BC_DeleteSvc('N');
 BC_DeleteSvc('FILEMON701');
 DeleteService('DATFXVJN');
 DeleteService('LIUNFMEPAPJDWF');
 DeleteService('N');
 DeleteService('FILEMON701');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\N.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIUNFMEPAPJDWF.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DATFXVJN.exe','');
 QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\tldmovze.dll','');
DeleteFile('C:\WINDOWS\system32\tldmovze.dll');
 DeleteFile('G:\autorun.inf');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DATFXVJN.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIUNFMEPAPJDWF.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\N.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи и приложите к этой теме.

Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.

**qoma** · 19.03.2009, 14:53

Все сделаю, однако замечу, что DATFXVJN,LIUNFMEPAPJDWF,N - созданы Rootkit Revealer. N.exe это он же, только переименованый.

**AndreyKa** · 19.03.2009, 14:57

Rootkit Revealer вам ни к чему.

**qoma** · 19.03.2009, 15:51

Сайты грузятся, однако обращения к 3-м компьютерам в лвс на порт 2869 продолжаются постоянно.

**qoma** · 19.03.2009, 15:56

И еще вопрос - что это было? Где почитать?

**AndreyKa** · 19.03.2009, 17:09

C:\WINDOWS\system32\tldmovze.dll = Trojan-Downloader.Win32.Kido.a

http://www.viruslist.com/ru/viruses/...rusid=21782844

**AndreyKa** · 19.03.2009, 17:15

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\vde2otqz.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\vde2otqz.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

**qoma** · 20.03.2009, 11:17

Не успел вчера скрипт выполнить. Сегодня обнаружил что он сменил имя с vde2otqz.sys на ute2otqz.sys и uje2otqz.sys. Не очень знаком с синтаксисом скриптов потому вопрос: будет ли работать скрипт если я заменю vde2otqz.sys на *2otqz.sys? Спасибо за помощь.

В описании этого файла значится что это драйвер мониторинга AVZ.

**Гриша** · 20.03.2009, 11:21

Это драйвер AVZ

**qoma** · 20.03.2009, 11:36

Да я заметил, так вот и надо ли его присылать? Может у вас есть уже?

Я срипт переделал он в логах пишет что все ок в канатин засунул эти файлы, но карантин пустой.

**AndreyKa** · 20.03.2009, 11:39

Присылать не надо. Проблемы есть?

**qoma** · 20.03.2009, 12:02

Проблема есть только с постоянной долбежкой на три других компа в локалке на порт 2869. Но в одном из перехваченных пакетов я увидел что это службы UPnP вроде пытается к кому подключится. Отключил UPnP, перезагрузился - обращения продолжаются, причем соединение устанавливается. Пойду те машинки поизучаю. А главной проблемой все так же остается проблема с csrcs... Это просто не излечимо. Весь форум облазил, все делал как пишут... один хрен появляется. Неужели нет антивирусов, которые могут с этой заразой справится?

**Гриша** · 20.03.2009, 12:09

О каком csrcs речь?

**qoma** · 20.03.2009, 12:18

Да все о том же... csrcs.exe (типа http://virusinfo.info/showthread.php...ight=csrcs.exe). На самом деле не в тему, просто по сети и по флехам продит эта зараза и антивири его не видят. Лечил всем чем можно. Все отлично максимум сутки. Потом как-то пролазит и снова в системах. Только когда он уже прописался его иногда отлавливают АВ. Ну и "компаньон" C:\Windows\Offline Web Pages\Svchost.exe.

**drongo** · 20.03.2009, 12:23

кстати, а что в автостарте на диске G у вас?
C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
P.S. csrcs - в логах нет,значит действительно не в тему.
антивирусы и не будут видеть, если копия не попадёт в лабораторию. Как будет карантин с файлом, так и будет детект. Нет карантина- нет детекта

**qoma** · 20.03.2009, 16:53

>кстати, а что в автостарте на диске G у вас?
Это была флеха вставлена с тем самым autorun.inf, в котором прописан автозапуск с Recycled\sys.exe. Эта хрень создается процессом c:\windows\offline web pages\svchost.exe. Вот с этим и нереально бороться - АВ видят только авторан. Сам exe не трогают.
>C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
Это установщик драйвера и приложения для модема Yota. На других машинах авз увидел то же самое и с подозрением фыркнул. Дрова эти вшиты в саму йоту (там флеха есть, которая эмулируется как сд-ром и ставит свои приложения и дрова).
А про csrcs - готовлю логи и открываю тему.

Добавлено через 2 часа 39 минут

Готово - http://virusinfo.info/showthread.php?t=42132

**drongo** · 20.03.2009, 18:33

скопировать через avz по второму пункту сам ехе, и загрузить по красной ссылке

**CyberHelper** · 21.03.2009, 18:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\tldmovze.dll - Trojan-Downloader.Win32.Kido.a ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )

Набор: руткиты и трояны. (заявка № 42038)

Опции темы

Набор: руткиты и трояны.

Готово

Итог лечения

Похожие темы

трояны!!!! руткиты!!!! троянские dll

руткиты+трояны+бекдоры

Трояны, руткиты

руткиты и трояны, как избавится?

трояны...руткиты

Ваши права в разделе