Подозрение на сокрытые вирусы

[SIZE=3][FONT=Times New Roman]I. Заражение. Произошло 22.12.07 примерно в 11:20 при открытии веб-страницы без антивирусной защиты, от имени учетной записи с правами Администратора. Первичное обнаружение вредоносных программ производилось антивирусом Касперского, выявлено:[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Trojan.Win32.Agent.dky[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Email-Worm.Win32.Mydoom.bj[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Trojan-Spy.Win32.Zbot.cb[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Rootkit.Win32.Agent.jj[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Email-Worm.Win32.Mydoom.bo[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Trojan.Win32.Pakes.brk[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Trojan-Downloader.Win32.Agent.erh[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Trojan-Downloader.Win32.Small.hgx[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan-Downloader.Win32.Agent.ggt[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan-Proxy.Win32.Agent.vf[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Rootkit.Win32.Agent.rt[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan-Dropper.Win32.Agent.dgk[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan-Spy.Win32.Webmoner.bw[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan-Dropper.Win32.Agent.dgf[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Email-Worm.Win32.Zhelatin.pd[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]После сообщения о том, что все опасные объекты обезврежены, антивирус обнаруживал:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]- вирус Email-Worm.Win32.Zhelatin.pd (файл _install.exe в различных местах на диске – около 1500 экземпляров)[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]- в каталоге C:\WINDOWS\system32\ периодически появлялись файлы *.syz с троянской программой Rootkit.Win32.Agent.rt[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]II. Дальнейшее лечение вручную:[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]- были удалены подозрительные запуски в разделе …Run реестра.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]- удален подозрительный сервис (vhosts.exe с англоязычным описанием, что это мол загрузчик обновлений Windows, влияющих на безопасность).[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]- перемещены подозрительные файлы из каталогов system32 и system32\wsnpoem, это те файлы у которых время создания соответствует времени заражения.[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]III. Лечение утилитой SDFix. В два этапа. Перед вторым этапом восстановлены подозрительные файлы, перемещенные ранее вручную. Утилита SDFix обнаружила следующие вредоносные файлы:[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]1) [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\drivers\ip6fw.sys (Original ip6fw.sys Restored)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\SYSTEM32\WRYTSPHG.TMP - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\0_exception.nls - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\svcp.csv - Deleted[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]C:\WINDOWS\system32\winsub.xml - Deleted[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]2) [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\L1D23.tmp.exe - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\L92CA.tmp.exe - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\LAE01.tmp.exe - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\cssrss.exe - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\vhosts.exe - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\wsnpoem\video.dll - Deleted[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Folder C:\WINDOWS\system32\wsnpoem – Removed[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]После этого антивирус Касперского нашел вредоносные файлы, помещенные утилитой SDFix в бакап. Поэтому я полагаю, что ранее они были от него сокрыты.[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]---------------------------------------------------[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Есть подозрения, что полностью все вредоносные программы не обнаружены. Если в безопасном режиме из папки system32\drivers переместить файл klin.sys (относится к антивирусу Касперского), то появляется невидимый ранее файл symavc32.sys этот файл недоступен для удаления и не ищется поиском в реестре. Это вызывает подозрения в наличии активного руткита. Я пожалуй исчерпал свои возможности. Прошу вашей помощи, и пользуясь случаем, поздравляю с наступающим Новым годом! :smile:[/SIZE][/FONT]

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Yuk38.sys','');
QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
QuarantineFile('C:\Documents and Settings\user\winmain.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ifp500.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('Yuk38.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\windows\system32\lvcomsx.exe','');
DeleteFile('C:\Documents and Settings\user\winmain.exe');
DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
DeleteFile('C:\WINDOWS\system32\winlogon.scr');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

Благодарю за Ваш отклик!

Результат загрузки
Файл сохранён как 071227_092319_virus_4773c36746951.zip
Размер файла 165197
MD5 ccd6e0e785b4b987a20ae95c1c05596c

Комментарии:
1. После выполнения скрипта Касперский нашел и удалил Yuk38.sys
2. C:\WINDOWS\system32\drivers\grmnusb.sys - предположительно USB-драйвер GPS навигатора Garmin
3. C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys - предположительно хвост от обвалившегося в первый запуск SDFix, по крайней мере у него в комплекте есть файл с таким названием

После выполнения скрипта открылся symavc32.sys
SDFix его обезвредил.
Касперский нашел Rootkit.Win32.Agent.qz в карантине AVZ и в C:\Documents and Settings\user\catchme.zip\symavc32.sys (по сути это есть карантин SDFix)
Касперскому запретил пока их удалять на тот случай, если Вы попросите выслать файлы.

Начал делать логи в соответствии с "правилами". Однако при выполнении первого скрипта (лечение и сбор сведений) утилита AVZ в процессе сканирования файлов вылетает без каких либо предупреждений. Это происходит также и в безопасном режиме. Остальные логи готов выложить, но если я правильно понял правила - без Вашего указания этого делать не следует.

Жду Ваших указаний.

C:\Program Files\Internet Explorer\SETUPAPI.dll Trojan-Spy.Win32.Webmoner.fs
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
меняйте пароли от кошельков ...
повторите логи ....

Скрипт выполнен. При снятии логов (лечение и сбор информации) AVZ вылетает на сканировании дисков. Один раз вылетел в самом конце, а в протоколе при этом было множество ошибок чтения каталогов.

Что посоветуете?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Электронными кошельками не пользуюсь. Сеть отключена сразу после заражения. Несколько раз сеть подключалась для загрузки обновлений Касперского.

Попробуйте переименовать avz.exe в test.com

С переименованным то же самое, вылетает. Достаточно ли двух последних логов? Или что то еще предпринять?

вы антивирус отключаете ?

правой кнопкой по иконке
выход

в процессах avp исчезает

Процесс исчезает, драйвер остаётся.

Не ругайте чайника :-) Пробовал возможности AVZPM. И забыл вернуть на место. Теперь выгрузил драйвер. Первый лог снят успешно. Некоторые файлы с прямым чтением. Минут через 10 выложу все логи вместе. Еще раз прошу прощения...

Высылаю логи

Пофиксите в HijackThis:
[code]
O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\user\winmain.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Xrp73.sys');
DeleteFile('C:\Documents and Settings\user\winmain.exe');
DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
DeleteFile('C:\WINDOWS\system32\winlogon.scr');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_DeleteSvc('Xrp73');
BC_Activate;
RebootWindows(true);
end.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

Повторите логи, начиная с п.10 правил.

Сделал

влогах ничего зловредного ....
осталось только разобраться , что из єтого используется ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Большое всем спасибо. Компьютер используется в домашней сети. Взаимодействие с остальными компьютерами:

1. Используется как принт-сервер
2. Используется как FTP-сервер
3. R-admin входящие и исходящие сеансы

Про службы почитаю и ненужные остановлю. Уберу права администратора. Поставлю софтверный файрвол в дополнение к маршрутизатору, который закрывает всю домашнюю сеть.

Можно ли выслать для проверки логи с еще двух компьютеров (компьютер родителей и ноутбук жены)?

[quote]Можно ли выслать для проверки логи с еще двух компьютеров [/quote]
Конечно можно, только для каждого ПК своя тема.

Эту машину спасти не удалось... офис съехал, половина приложений при запуске на что то ругалась... Наверное это я SDFix-ом наворотил.
Поднял руку и резко опустил.
И переустановил винду. И уже половину софта переустановил.

Считаю, что ваша помощь была не напрасна, ведь удалось спасти все данные. Спасибо всем.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan-Spy.Win32.Webmoner.fs[/B] (DrWEB: Trojan.PWS.Webmonier.30)[/LIST][/LIST]