BackDoor.Haxdoor.440 в ovrscn.dll

Printable View

22.09.2007, 14:53
Netrat

Вложений: 3

BackDoor.Haxdoor.440 в ovrscn.dll

У меня на домашнем ПК под WinXP SP2 прочно прописался BackDoor.Haxdoor.440. Симптомы следующие:

* заблокирован запуск диспечера задач
* заблокировано открытие настроек нативного Internet Connection Firewall
* часть программ не запускается (например, ATI`шный менеджер дисплеев)
* при нажатии Ctrl+C в половине случаев вместо копирования в clipboard текст как-то странно модифицируется (явная попытка перехвата).

Подозреваю, что последние два симптома могут быть не от Haxdoor, а от кого-то из его "компаньонов". Когда после чистки системы в безопасном режиме CureIt`ом из всех вирусов и троянцев остаётся только Haxdoor, из симптомов продолжают проявляться только первые два.

От проверки CurIt`ом в Normal Mode вообще нет эффекта - после перезагрузки все инфекции обнаруживаются в тех же файлах. При проверке в Safe Mode после перезагрузки (что в Safe, что в Normal Mode) возвращается только BackDoor.Haxdoor.440 в ovrscn.dll. Его CureIt всё время обещает исцелить после рестарта системы, но инфекция всё равно остаётся. AVZ пытался файл закарантинить, но безуспешно.

Вот такая ситуация. Надеюсь на помощь профессионалов. Логи прилагаю.
22.09.2007, 17:22
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\rsh.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\DOCUME~1\ilia\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\DOCUME~1\ilia\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

После отправки карантина выполните еще скрипт:
[code]begin
ClearQuarantine;
BC_QrSvc('FCI');
BC_QrSvc('msupdate');
BC_QrSvc('aspimgr');
BC_DeleteSvc('FCI');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('aspimgr');
BC_Activate;
RebootWindows(true);
end.[/code]
И второй карантин следом - если туда что-то попадет.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Затем пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\rsh.dll (file missing)
O18 - Protocol: HTLFP - {03B7A5D4-96B0-4316-95F8-072D326A58F1} - (no file)
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
[/code]
и сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 16 минут[/I][/B][/color][/size]

Карантин получен, C:\WINDOWS\System32\DRIVERS\tcpip.sys вероятно патченный (изменен 21.09.2007), отправлен на анализ в вирлаб. Ждем новых логов после выполнения всего вышеуказанного.
22.09.2007, 19:42
Netrat

Вложений: 3

Файлы карантина выслал. В первый раз в карантин попало только два файла (других уже не было, видимо их удалил AVZ или CureIt), во второй раз ни одного.

Новые логи сделал, они приаттачены к этому сообщению.
22.09.2007, 20:18
V_Bond

C:\WINDOWS\System32\DRIVERS\tcpip.sys - пришел ответ вирлаба чистый
пофиксите
[code]
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\kernel2.exe');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи..
22.09.2007, 21:48
Netrat

Да, совсем забыл добавить: в результатах работы HiJackThis вместо

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы

была строка

O20 - Winlogon Notify: botreg - C:\WINDOWS\

Это существенно?
22.09.2007, 22:55
Netrat

Вложений: 3

Свежие логи приаттачены

PS. Записи О18 и О20 в HiJackIt фикшу, но после рестарта системы они вновь появляются.
22.09.2007, 23:21
V_Bond

выполните скрипт в SAFE MODE ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\kernel%32.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\i.a3d');
DeleteFile('c:\windows\system32\p2.ini');
DeleteFile('c:\windows\system32\redir.a3d');
DeleteFile('c:\windows\system32\tnfl.a3d');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи..
23.09.2007, 12:39
Netrat

Вложений: 3

Вот новые логи.

AVZ говорит, что успешно восстанавливает перехваченные фунцикии, но после перезагрузки снова находит перехваты. :-(
23.09.2007, 12:50
drongo

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\qy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(12);
RebootWindows(true);
end.[/code]
Прислать карантин по правилам.

2. ещё раз пофиксить;)
[code]
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней ;)
23.09.2007, 19:00
Netrat

[quote=drongo;136914]
3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней ;)[/quote]

Установлен Nero Image Drive, но сейчас он отключён.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 7 минут[/I][/B][/color][/size]

Скипт выполнил, записи пофиксил. Правда, "O18 - Protocol: vfsp - (no CLSID) - (no file)" при каждой новой проверке обнаруживает заново.

Диспетчер задач разблокирован, но Internet Connection Firewall по-прежнему не открывается - выводится сообщение о непознанной ошибке.

Карантин выслал.
23.09.2007, 19:58
V_Bond

tcpip.sys - судя по вирустотал чист ...
по Firewall читаем [URL="http://support.microsoft.com/kb/920074/ru"]тут[/URL]
повторите логи ...
25.09.2007, 23:54
Netrat

Вложений: 3

Свежие логи
26.09.2007, 00:07
V_Bond

ничего зловредного не вижу ....

что из этого вам нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
26.09.2007, 01:48
Netrat

Спасибо за помощь!

Из перечисленного нужен разве что автозапуск программ с CDROM. Админские шары поотключал.
26.09.2007, 09:46
V_Bond

оставляем только запуск CD ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
26.09.2007, 12:27
Netrat

Спасибо!
22.02.2009, 02:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.windows\\документы\\settings\\bot.dll - [B]Trojan-Proxy.Win32.Xorpix.bq[/B] (DrWEB: BackDoor.Bech)[/LIST][/LIST]