Rootkit.Win32.Agent.dp

Printable View

27.08.2007, 17:12
DPS [CCCP]

Вложений: 3

Rootkit.Win32.Agent.dp

Добрый день!

В субботу посетил сайт red.iskra-net.ru (собственный игровой ресурс, повидимому в недавнем времени был взломан), после чего был тотально заражен вирусами. Большинство вирусов было удалено с помощью AWG, SpyBot и NOD32, кроме одного...

Не могу избавиться от [SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]
C:\WINDOWS\system32\drivers\ip6fw.sys >>>>> Rootkit.Win32.Agent.dp
[/COLOR][/SIZE][/COLOR][/SIZE]
Пытался удалить файл из под safe mode но он появляется заново.
[SIZE=2][COLOR=#ff0000][/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000][COLOR=#000000]Кроме того, AVZ при проверке системы несколько раз пишет [SIZE=2][COLOR=#ff0000]
C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

[COLOR=black]Помогите пожалуйста![/COLOR]

[/COLOR][/SIZE][/COLOR][/COLOR][/SIZE]
27.08.2007, 17:23
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\Documents and Settings\Pavel\Application Data\svchost.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\Pavel\Главное меню\Программы\Автозагрузка\virtP.bat','');
QuarantineFile('C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\MailSpectre.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('ICF');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
27.08.2007, 17:36
DPS [CCCP]

Файл закачен

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Похоже ошибся, переслал не весь карантин. Перезакочать?
27.08.2007, 17:47
Bratez

Кроме удаленных скриптом, определился:
MailSpectre.exe - [B]Trojan.Win32.Agent.bap[/B]

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Pavel\Application Data\svchost.exe,
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [outpost_uninst] C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe /u
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\mailspectre.exe');
BC_DeleteFile('c:\windows\system32\mailspectre.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В карантине не хватает:
C:\Documents and Settings\Pavel\Application Data\svchost.exe
C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe
Если есть, пришлите только их по правилам.
27.08.2007, 18:17
DPS [CCCP]

Вложений: 3

Логи прикреплены, недостающие части карантина загружены (хотя в карантине пишеться что их размер равен нулю.
27.08.2007, 18:20
DPS [CCCP]

Также в Temp странные экзешники с именами 111890.exe, 166937.exe и т.п.
27.08.2007, 18:34
Bratez

Пофиксите в HijackThis:
[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки добавьте в карантин пару-тройку этих экзешников из Temp и папку эту очистите. Также очистите временные файлы IE.
Новый карантин пришлите по правилам.
27.08.2007, 18:51
DPS [CCCP]

Еще в "процессах" заметил следующие вещи, которых вроде бы раньше небыло:
wmiprvse.exe
symlcsvc.exe

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Новый карантин закачал
28.08.2007, 02:35
Bratez

smtpdrv.sys - свежая версия [B]Trojan.Pandex [/B]aka [B]Email-Worm.Win32.Agent.l[/B].

Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]

Сделайте логи еще раз для контроля.
На этом, надеюсь, лечение будет закончено.

Поставьте себе антивирус, иначе нам придется ваш компьютер
каждый день лечить ;)
28.08.2007, 03:05
Muzzle

+1 вот список рекомендуемых нами антивирусов [url]http://www.virusinfo.info/showthread.php?t=1550[/url]
28.08.2007, 16:50
DPS [CCCP]

Вложений: 3

Все сделал, вроде бы все вылечилось:) Компьютер стал загружаться\выключаться в разы быстрее, и работа стала быстрее и стабильнее:)
Спасибо большое!!!

Прикладываю финальные логи...
28.08.2007, 17:07
Bratez

Теперь все чисто. Я бы еще удалил ошметки от Symantec, например так:
[code]
begin
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
(выполнять из безопасного режима)
22.02.2009, 02:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\pavel\\local settings\\temp\\111890.exe - [B]Email-Worm.Win32.Agent.l[/B] (DrWEB: Trojan.MailSpectre)[*] c:\\documents and settings\\pavel\\local settings\\temp\\166937.exe - [B]Email-Worm.Win32.Agent.l[/B] (DrWEB: Trojan.MailSpectre)[*] c:\\documents and settings\\pavel\\local settings\\temp\\185312.exe - [B]Email-Worm.Win32.Agent.l[/B] (DrWEB: Trojan.MailSpectre)[*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\smtpdrv.sys - [B]Email-Worm.Win32.Agent.l[/B] (DrWEB: Trojan.NtRootKit.360)[*] c:\\windows\\system32\\mailspectre.exe - [B]Trojan.Win32.Agent.bap[/B] (DrWEB: Trojan.MailSpectre)[*] c:\\windows\\system32\\svchost.exe:exe.exe - [B]Trojan-Downloader.Win32.Agent.aii[/B] (DrWEB: BackDoor.Bolg)[/LIST][/LIST]