Показано с 1 по 12 из 12.

Хитрый вирус stacsv.exe (заявка № 70765)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25

    Exclamation Хитрый вирус stacsv.exe

    Сетка из 5 компов, везде стоит avira. На одном из компов GPRS-модем, настроен общий доступ. Еще на 3-х компах он настроен шлюзом, т.е. инет есть на 4-х компах из 5-и.
    Неделю назад на всех компах с инетом авира стала показывать, что статус защиты - неизвестно. Также появились дополнительные признаки наличия вирусов в системе: в течении нескольких секунд после запуска закрывается ряд программ типа cmd, avz4.
    В avz4 активировал guard и смог запустить проверку. Нашел только один скрытый процесс, файл c:\windows\system32\stacsv.exe
    так же в c:\windows\system32\ обнаружил что дата изменения svchost.exe также текущая. + еще несколько файлов с мутными именами вроде qxzv5.exe и той же датой создания.
    В реестре stacsv.exe присутствовал в нескольких ветках, и заново их пересоздавал после удаления.
    С загрузочного диска грохнул все эти файлы с измененной датой в c:\windows\system32\ почистил реестр и заменил svchost.exe на оригинальный.
    После перезагрузки пришлось переставить авиру, т.к. сразу не заработала. Потом все ок, вручную обновил базу для нее.
    Но только стоило выйти в инет, как авира опять сошла с ума: куча вирусов: avira.txt прилагаю. И после ребута она опять со статусом неизвестно. В c:\windows\system32 опять stacsv.exe, НО ДРУГОГО РАЗМЕРА!!!
    С собой был только avz4, его логи прилагаю.
    Если кому интересно, то есть 2 файла stacsv.exe с разными размерами, но сдается мне что источник заражения не в них.

    Прошу помочь разобраться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\rrpyrhzc.sys','');
     QuarantineFile('c:\windows\system32\stacsv.exe','');
     QuarantineFile('C:\Documents and Settings\v\fwgupaw.exe','');
     QuarantineFile('C:\WINDOWS\Temp\tmp263.exe','');
     QuarantineFile('C:\Documents and Settings\v\Local Settings\Temporary Internet Files\Content.IE5\016BK9Q7\c1[1]','');
     QuarantineFile('C:\WINDOWS\Temp\tmp898.exe','');
     QuarantineFile('C:\WINDOWS\Temp\tmp263.exe','');
     QuarantineFile('C:\WINDOWS\Temp\tmp209.exe','');
     QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(9);
     ClearHostsFile;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    2. - обновите базы AVZ

    3. - cделайте повторные логи по правилам п.1 - 3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
    Последний раз редактировалось polword; 10.02.2010 в 08:43.

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25
    Спасибо за помощь.
    Все сделал только на одном из компьютеров.
    После выполнения скрипта и перезагрузки в системе обнаружилось новое устройство, драйвер автоматом не встал...
    AVZ перестал закрываться, Авира не заработала.
    В c:\windows\system32\ несколько файлов с новой датой, в том числе svchost.exe. Все эти файлы также добавил в карантин (в папке 1 внутри архива).
    При выполнении п.2 раздела Диагностика, а именно при подключении к интернету, по привычке проверил связь (gprs лагает постоянно) командой пинг. Ip резольвится, но ответов нет совсем. При этом в IE сайты открывались... Также наблюдалась сетевая активность при при видимом бездействии.

    В целом делаю вывод, что вирус накачал с инета себе товарищей, теперь им там совсем весело...

    После всего проделанного пришлось снова подключить компьютер к сети (рабочая необходимость). Т.е. есть вероятность повторного заражения уже залеченными вирусами. Поэтому прошу уточнить: вместе с новыми скриптами старый тоже выполнять?
    П.С.: ссылка на "правила" теперь ведет на какой-то "911test"
    Вложения Вложения
    Последний раз редактировалось maxim555; 11.02.2010 в 08:57.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от maxim555 Посмотреть сообщение
    П.С.: ссылка на "правила" теперь ведет на какой-то "911test"
    изменились правила оформления запроса

    Добавлено через 15 минут

    Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы - только то что было в папке Quarantine? без ваших файлов... отправьте еще раз...
    Последний раз редактировалось polword; 11.02.2010 в 09:27. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25
    закачал

  7. #6
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25
    c:\windows\system32\ несколько файлов с новой датой, в том числе svchost.exe. Все эти файлы также добавил в карантин (в папке 1 внутри архива).

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    сейчас напишу скрипт... подождите

    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
     R3 - URLSearchHook: (no name) - - (no file)
     F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
     O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\f801d7.exe
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\v\xkgxscv.exe','');
     QuarantineFile('c:\windows\system32\f801d7.exe','');
     DeleteFile('c:\windows\system32\f801d7.exe');
     QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0075188.exe:exe.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072277.exe:exe.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072222.exe:exe.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0071070.exe:exe.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\rrpyrhzc.sys','');
     DeleteFile('c:\windows\system32\f801d7.exe');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0071070.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072222.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072277.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0075188.exe:exe.exe:$DATA');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы


    после сделать такое
    Пуск - Выполнить - sc delete ICF

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

    Добавлено через 3 минуты

    в карантин прислать только то что заархивирует AVZ - свои файлы не запаковывать дополнительно!!!!
    Последний раз редактировалось polword; 11.02.2010 в 09:47. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25
    Правила хорошо бы вернуть, а то все по правилам надо делать, а их сейчас нет... Что делать? Ладно я их сохранил заранее . А как же другие ищущие помощи?
    И вопрос по теме: svchost на оригинальный заменять? Судя по дате он мог быть модифицирован вирусом.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    пока нет. Сделать все как написано и выслать карантин

  11. #10
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    6
    Вес репутации
    25
    В общем вирусы диктуют свои правила игры...
    Компьютер на котором проводился эксперимент, а также еще один в придачу, перестали запускаться совсем. Синий экран и 0x00000050.

    Пришлось загрузиться с livecd и с помощью erd commander сделать откат системы на последнюю точку сделанную перед заражением (возможно активацией) вируса. Надо добавить, что вирус отключил восстановление, но точки, созданные ранее, остались. Заодно посмотрел что происходит в систем32: там с десяток новых вирей уже поселился с разными именами и даже иконками, но все с новой датой.
    На одном из компов авира не завелась после восстановления (возможно вирус уже присутствовал в этой точке восстановления).

    Для экспериментов оставил один комп, только отключил его от сети.
    Симптомы те же - вырубает AVZ.
    Сделал только стандартные скрипты в AVZ для сбора инфы.
    Хайджеком не фиксил, т.к. не нашел там ничего похожего. Логи хайджека на флешку не записал, протупил.
    Запомнил только что файл host содержит много лишних записей на один ip.

    После лечения-сбора информации и перезагрузки, было обнаружено новое устройство, драйвер автоматом не встал. При подключении инета пинга нет, в браузере инте есть.
    Еще раз прошу обратить внимание что компьютер другой.
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\stacsv.exe');
     DeleteFile('C:\WINDOWS\system32\stacsv.exe');
     DeleteFile('C:\RECYCLER\S-1-5-18\Dc2.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{BC57D795-DF8F-42FC-A48D-AF93702A8CAF}\RP29\A0005871.exe:exe.exe:$DATA'); 
     DeleteFile('C:\RECYCLER\S-1-5-18\Dc2.exe:exe.exe');
     DeleteFile('C:\System Volume Information\_restore{BC57D795-DF8F-42FC-A48D-AF93702A8CAF}\RP29\A0005871.exe:exe.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(13);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     ExecuteWizard('TSW', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,522
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
      2. c:\windows\system32\stacsv.exe - Trojan.Win32.Agent.dhml ( DrWEB: BackDoor.IRC.Sdbot.8136 )
      3. \1\f801d7.exe_ - Trojan-Spy.Win32.Agent.bdcb ( DrWEB: Win32.HLLW.Lime.5, BitDefender: Trojan.Spammer.ABR, NOD32: Win32/Peerfrag.EV worm, AVAST4: Win32:Refpron-AZ [Trj] )
      4. \1\qxzv5.exe_ - Backdoor.Win32.IRCBot.nnr ( DrWEB: BackDoor.IRC.Bot.217, BitDefender: Trojan.Agent.AOOA, NOD32: Win32/AutoRun.IRCBot.DZ worm )
      5. \1\secupdat.dat - Backdoor.Win32.Cetorp.p ( DrWEB: Trojan.Spambot.7965, BitDefender: Backdoor.Tofsee.AM )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) maxim555, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Хитрый вирус
      От Иван_ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.04.2012, 23:24
    2. Хитрый вирус
      От _XpycT_ в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.10.2010, 18:36
    3. хитрый вирус
      От XPIOLLIKa в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 08.10.2010, 17:55
    4. Хитрый вирус.
      От kinostudiya в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 00:13
    5. Очень хитрый вирус
      От Шинигами в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.02.2009, 23:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00272 seconds with 21 queries