Злополучный msftp.dll

Printable View

25.02.2008, 03:10
regtv

Вложений: 3

Злополучный msftp.dll

Вот мои логи. Самостоятельно побороть эту гадость не в силах. Надеюсь на вас...
25.02.2008, 03:30
Bratez

Да, богатый зоопарк насобирали ;)
Для начала выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Way22');
SetServiceStart('Way22', 4);
StopService('sysvideo32');
SetServiceStart('sysvideo32', 4);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Way22.sys','');
QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\WINDOWS\system32\basetcm32.dll','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe','');
DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Way22.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Way22');
BC_DeleteSvc('sysvideo32');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18609[/url]).

Затем выполните такой скрипт:
[code]
function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.[/code]

Сделайте новые логи.
25.02.2008, 12:21
drongo

basetcm32.dll - Trojan.Win32.Agent.fxk -свежий, мои поздравления .

cftmon.exe_, spool.exe_ - Trojan-Downloader.Win32.Small.iih,
mssrv32.exe_ - Backdoor.Win32.Kbot.bx,
sysvideo32.dll, winmgt32k.dll - Rootkit.Win32.Agent.vn,
WLCtrl32.dll - Trojan.Win32.Small.agv
25.02.2008, 13:13
regtv

Вложений: 3

Уф... После первого выполнения кода и перезагрузки выслал карантин куда надо :). Во время выполнения следующего кода в AVZ комп вдруг перегрузился (хотя вроде не должен был), и после этого никак не мог загрузить винду. Не помогал ни safe mode, ни откат на последнюю успешную версию загрузки ХР. Бился 2 часа, потом восстановил винду с диска (repair). Сделал новые логи.
25.02.2008, 13:38
Bratez

Извините за неудобства, видимо для свежей версии зловреда обычный метод не сработал...
Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Way22\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Way22.sys');
BC_DeleteSvc('Way22');
BC_DeleteSvc('sysvideo32');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Way22.sys');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новый лог syscheck (п.10 правил) и приложите boot_clr.log из папки с AVZ.

Есть небольшая вероятность, что система откажется грузиться - здесь "Последняя удачная конфигурация" поможет.
25.02.2008, 14:03
regtv

Вложений: 2

Сделал логи. Комп загрузился нормально, только песпроводная мышь не захотела определяться, хотя клавиатура работала нормально. Повторная перезагрузка решила эти проблемы:>.
25.02.2008, 14:17
Bratez

Результат положительный, но не окончательный.

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('sysvideo32');
SetServiceStart('sysvideo32', 4);
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelWinlogonNotifyByKeyName( 'WLCtrl32');
BC_ImportDeletedList;
BC_DeleteSvc('sysvideo32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В карантине AVZ должен быть удаленный нами C:\WINDOWS\System32\drivers\Way22.sys - пришлите его по правилам, есть вероятность, что это свежая модификация.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

И вот этот еще пришлите:
C:\Program Files\Common Files\System\RDPsvc2.exe
подозрительный очень, как-то сразу я не обратил на него внимание.
25.02.2008, 15:01
regtv

Вложений: 2

Запрошенные файлы из карантина выслал. Мои новые логи.
25.02.2008, 15:08
Bratez

И точно: RDPsvc2.exe - [b]Trojan.Win32.Pakes.ccq[/b].
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\System\RDPsvc2.exe');
BC_DeleteFile('C:\Program Files\Common Files\System\RDPsvc2.exe');
BC_DeleteSvc('RDPsvc2');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите два последних лога для контроля.

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
25.02.2008, 15:45
regtv

Вложений: 3

Сделал логи... Лишние службы сейчас погашу.
25.02.2008, 15:48
regtv

а sysvideo32.dll вылечить не удается?
25.02.2008, 16:10
Bratez

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\System\ntsvc32k.exe','');
DeleteFile('C:\Program Files\Common Files\System\ntsvc32k.exe');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysvideo32');
BC_DeleteSvc('ntsvc32k');
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.
Повторите лог syscheck.
25.02.2008, 16:29
regtv

Вложений: 1

Карантин выслал. Syscheck прилагаю.
25.02.2008, 16:59
Bratez

На этот раз все чисто.

ntsvc32k.exe - [b]Trojan.Win32.Pakes.ccr[/b]
25.02.2008, 17:09
regtv

Огромное спасибо за оказанную помощь! Снимаю шляпу.
25.02.2008, 18:57
rubin

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 04:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\1\\local settings\\application data\\cftmon.exe - [B]Trojan-Downloader.Win32.Small.iih[/B] (DrWEB: Trojan.DownLoader.46268)[*] c:\\program files\\common files\\system\\ntsvc32k.exe - [B]Trojan.Win32.Pakes.ccr[/B] (DrWEB: Trojan.DownLoader.47247)[*] c:\\program files\\common files\\system\\rdpsvc2.exe - [B]Trojan.Win32.Pakes.ccq[/B] (DrWEB: Trojan.PWS.LDPinch.2526)[*] c:\\program files\\common files\\system\\sysvideo32.dll - [B]Rootkit.Win32.Agent.vn[/B] (DrWEB: Trojan.NtRootKit.815)[*] c:\\program files\\common files\\system\\winmgt32k.dll - [B]Rootkit.Win32.Agent.vn[/B] (DrWEB: Trojan.NtRootKit.815)[*] c:\\windows\\system32\\basetcm32.dll - [B]Trojan.Win32.Agent.fxk[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\system32\\drivers\\spool.exe - [B]Trojan-Downloader.Win32.Small.iih[/B] (DrWEB: Trojan.DownLoader.46268)[*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.bx[/B] (DrWEB: Trojan.DownLoader.35134)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan.Win32.Small.agv[/B] (DrWEB: BackDoor.Bulknet.157)[*] \\sysvideo32.dll - [B]Rootkit.Win32.Agent.adj[/B] (DrWEB: Trojan.NtRootKit.847)[*] \\winmgt32k.dll - [B]Rootkit.Win32.Agent.adj[/B] (DrWEB: Trojan.NtRootKit.847)[/LIST][/LIST]