Вечнозеленое дерево троянов.digiwet.dll ?

[Lis]

После BSOD исчезли точки восстановления и начали сочится трояны в папку temp до 400 штук в час.Symantec нервно курит в сторонке - ботву режет,корней не видит..

на virustotal.info указанный в логах digiwet.dll опасным не значится.

tnx in advance

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 DeleteService('securentm');
 DeleteService('ati64si');
 QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
 QuarantineFile('C:\Documents and Settings\134\csrss.exe','');
 QuarantineFile('C:\WINDOWS\system32\1bf44468.exe','');
 QuarantineFile('C:\WINDOWS\system32\c855a52d.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe');
 DeleteFile('C:\WINDOWS\system32\c855a52d.exe');
 DeleteFile('C:\WINDOWS\system32\1bf44468.exe');
 DeleteFile('C:\Documents and Settings\134\csrss.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Lis]

спасибо за Ваше время

[polword]

1.Профиксите в HijackThis

Код:

F2 - REG:system.ini: Shell=Explorer.exe 
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
  if FileExists ('%windir%\system32\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
       begin
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
       end
      else
       begin
         AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
   end
  else
   begin
     AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                end
               else
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             end
           else
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
          end;
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
   end;
 SaveLog('sfcfiles.log');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению

[Lis]

серьезно..

[Lis]

снова застукала в Temp прирост прямо в процессе.Не отрывая от сети сделала логи - 142 трояна( файл DWH_avz_log) .
Заинтересовало то,что avz усомнился в процессе DWHWizrd.exe ,а толпы вирей - всегда с именем DWH****.tmp

Сам Symantec их снова "закарантинил" при заказном осмотре.При чем он изолирует все файлы с такой маской,а avz примерно 1 из 5.

есть архив с копиями DWH****.temp - если надо,могу залить.

[Lis]

переставила Symantec Live Update на 9.00 - DHW****.temp начали снова возникать в очищенной папке темп точно в это время.
лечение по п.1 правил - лог в приложении.подмена драйвера Семантик...

о DHW****.temp и DWHWizrd.exe на форуме Symantec

http://www.symantec.com/connect/foru...cessive-memory

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
  QuarantineFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe','');
 QuarantineFile('C:\WINDOWS\system32\c855a52d.exe','');
 QuarantineFile('C:\WINDOWS\system32\1bf44468.exe','');
 DeleteFile('C:\WINDOWS\system32\1bf44468.exe');
 DeleteFile('C:\WINDOWS\system32\c855a52d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe');
 QuarantineFile('\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20100929.021\NAVEX15.SYS','');
 QuarantineFile('\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20100929.021\NAVENG.SYS','');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[Lis]

done!

[polword]

удалите все что нашел MBAM, повторите лог MBAM

[Lis]

извините,что долго. после перезагрузки не открывались браузеры.
Symantec изолировал iissync .exe из C:\Avenger\

[polword]

проблемы остались?

[Lis]

в темп опять куча этих DWH****.temp при попытке их сканировать MBAM или avz - срабатывает семантик и их изолирует.. вот прямо сейчас..при подключении в интернету комп подвисает минут на 5 мертво.
может Семантик переставить ?
или переставить обновление его на 1 раз в неделю и помониторить папку темп пока?

ЗЫ: хотя может он это натащил между зачисткой МВАМ и удалением iissync.exe ..зачищу темт еще раз и выжду.

[polword]

- сделайте лог Combofix

[Lis]

ок,спасибо.на выходных сделаю ComboFix.Восстановление системы должно быть включено при нем?
во вложении свежий MBAM

[polword]

выключите восстановление системы

[Lis]

Прошу прощения за задержку-были вопросы с провайдером.
Исходная проблема видимо решена - в темпе чисто 4й день,поэтому ComboFix не делала.Свежий MBAM чистый.

Большое спасибо за оперативную помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 33
• В ходе лечения вредоносные программы в карантинах не обнаружены