BackDoor.Bulknet и Ко - немогу добить

Printable View

19.05.2008, 16:21
wintruder

Вложений: 3

BackDoor.Bulknet и Ко - немогу добить

Локальная сеть (4 ПК) подключены ч/з АДСЛ к иннету. В одно время начал пропадать иннет, большой выходной трафик забивал весь канал.
ПК вычислили, отключили от сети и начали лечение.
были обнаружены следующие вирусы:
Trojan.NtRootKit
Trojan.Inject
Trojan.DownLoader
BackDoor.Bulknet
Trojan.PWS.Lich
в разных колличествах (более подробный отчет Dr.Web CureiT могу прислать). В ходе лечения (на 16,05,08) удалось избавиться почти от всех, кроме:
apcsvra.dll - Trojan.Inject
qwc51.sys - BackDoor.Bulknet.188
tcpsr.sys - Trojan.NtRootKit.1070
сегодняшний скан CureiT-ом показал только один: vch05.sys - BackDoor.Bulknet.188 и ошибку BN3.tmp - ошибка приложения.
после каждой перезагрузки, зараженный файл востанавливается, хотя Восстановление системы отключено...
как можно добить заразу и восстановить работоспособность ПК...
Заранее всем спасибо...
19.05.2008, 16:33
kps

Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Vch05.sys
и если есть - скопируйте сначала с помощью Copy to.. , а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\StartPortableApps.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('monln.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\TEMP\load.exe/r','');
QuarantineFile('C:\WINDOWS\TEMP\load.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djp05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cin17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agl40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vch05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vch05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agl40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhn51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cin17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Djp05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekp38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flq84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmr38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvc74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxd05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxd84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubg62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch84.sys');
DeleteFile('C:\WINDOWS\TEMP\load.exe/r');
DeleteFile('C:\WINDOWS\TEMP\load.exe');
DeleteFile('WinNt32.dll');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\System32\sysfldr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Agl40');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Vch05');
BC_DeleteSvc('Flq84');
BC_DeleteSvc('Ekp38');
BC_DeleteSvc('Djp05');
BC_DeleteSvc('Vch84');
BC_DeleteSvc('Vch52');
BC_DeleteSvc('Vch51');
BC_DeleteSvc('Vch27');
BC_DeleteSvc('Ubg62');
BC_DeleteSvc('Rxd84');
BC_DeleteSvc('Rxd05');
BC_DeleteSvc('Qwc51');
BC_DeleteSvc('Pvc74');
BC_DeleteSvc('Gms63');
BC_DeleteSvc('Gmr38');
BC_DeleteSvc('Cin17');
BC_DeleteSvc('Bhn51');
BC_DeleteSvc('Bhm27');
BC_DeleteSvc('Oua27');
BC_DeleteSvc('Oua06');
BC_DeleteSvc('Nsx27');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и скопированный файл (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=23076[/url] ).

Сделайте новые логи.
Лечить надо все компьютеры из сети. Для каждого - отдельная тема.
23.05.2008, 16:36
wintruder

Вложений: 3

Извиняюсь, что не ответил сразу, ПК удален и только сегодня смог к нему подобраться...
Вот результаты...
файл C:\WINDOWS\system32\Drivers\Vch05.sys найти не смог... его нету, но это еще не все. Dr.Web CureiT теперь вообще не запускается, а Аvast или COMODO никаких вирусов вообще не видят...
при этом сильно настораживает процес SPOOLS, который запускается во время каждого запуска Dr.Web CureiT/Аvast/COMODO в разных колличествах. При этом машина на долго уходит в раздумъя...
ПК отключил от сети и забрал к себе, теперь могу доделать оперативно...
заранее спасибо...
23.05.2008, 16:49
Bratez

1. С помощью Ice Sword, как описано выше, сделайте Force Delete для:
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Wdi63.sys

2. Пофиксите в HijackThis:
[code]
O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\user\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\system32\swin32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wdi63.sys');
DeleteFile('C:\Documents and Settings\user\cftmon.exe');
BC_ImportALL;
BC_DeleteSvc('apcsvra32');
BC_DeleteSvc('Wdi63');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Пришлите новый карантин по правилам.

5. Сделайте новые логи.
23.05.2008, 17:38
wintruder

Вложений: 3

карантин отправил...
в операции 1. сделайте Force Delete для:
C:\WINDOWS\SYSTEM32\WinNt32.dll
был еще
C:\WINDOWS\SYSTEM32\WinNt32.dl_ такой же по размеру...
ему я тоже сделал Force Delete (предварительно скопировав...)
все остальное четко по пунктах...
заранее спасибо...
кстати... файлы
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\SYSTEM32\WinNt32.dl_
C:\WINDOWS\system32\Drivers\Wdi63.sys
для карантина нужны???
23.05.2008, 17:43
Bratez

[quote]для карантина нужны???[/quote]
Да, пришлите по правилам на всякий случай.

Логи сейчас гляну...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

В логах чисто.
Какие-нибудь проблемы остались?
23.05.2008, 17:52
wintruder

с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
карантин отсылаю...
а можно поподробней в чем была проблема??? и какой зловред???

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
карантин отсылаю...
а можно поподробней в чем была проблема??? и какой зловред???
огромное спасибо за помощь...
23.05.2008, 18:00
Bratez

Вот такой букет:
[b]Trojan-Dropper.Win32.Agent.rek
Trojan-Downloader.Win32.Mutant.yq
Trojan-Downloader.Win32.Small.wby
Trojan-Downloader.Win32.Small.vrw
Trojan-Downloader.Win32.BHO.gv[/b]

[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]

Это не считая первого карантина ;)
23.05.2008, 18:09
wintruder

спасибо... теперь поищу в иннете их описания... оч интересно так они попали...
а их имена в кодировке касперского???
23.05.2008, 18:10
Гриша

Да все по классификации ЛК
22.02.2009, 05:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\cftmon.exe - [B]Trojan-Downloader.Win32.Small.wby[/B] (DrWEB: BackDoor.Siggen.7)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Trojan-Downloader.Win32.Small.wby[/B] (DrWEB: BackDoor.Siggen.7)[*] c:\\windows\\system32\\ftp34.dll - [B]Trojan-Downloader.Win32.Small.vrw[/B] (DrWEB: Trojan.DownLoader.61196)[*] c:\\windows\\system32\\swin32.dll - [B]Trojan-Downloader.Win32.BHO.gv[/B] (DrWEB: Trojan.Siggen.41)[*] \\wdi63sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.188)[*] \\winnt32dl - [B]Trojan-Downloader.Win32.Mutant.yq[/B] (DrWEB: BackDoor.Bulknet.203)[*] \\winnt32dll - [B]Trojan-Downloader.Win32.Mutant.yq[/B] (DrWEB: BackDoor.Bulknet.203)[/LIST][/LIST]