Подцепил трояна (winfilse)

Printable View

16.11.2008, 05:01
pooh-hpc

Вложений: 3

Подцепил трояна (winfilse)

Здравствуйте!

Наблюдаю проблему, очень похожую на описанную в
[URL]http://virusinfo.info/showthread.php?t=33830[/URL]

В какой-то момент винда выдала синий экран и ушла в перезагрузку. После этого:
- наблюдается постоянная загрузка процессора при отсутствии активных процессов в task manager
- службы norton antivirus не запускаются, при попытке запустить вручную выдается сообщение, что файл не является win32-приложением
- установить AVPTool и CureIt! не удается
- HiJack устанавливается только с измененным именем
- при попытке установки AVZ сам файл avz.exe модифицируется, и отслеживается попытка создания некоторых .avz файлов (они удаляются)
- в каталоге system32\drivers появились неопознанные файлы: srosa2.sys, uzmyode3.sys, utmyode3.sys, fidbox.idx, fidbox.dat

Удалось запустить AVZ с измененным именем, но он не апдейтит базу данных. Встроенный диспетчер процессов показывает наличие winfilse.exe и wintems.exe, но убить их не удается.

В приложенных файлах - логи, которые удалось снять в таком состоянии. Буду благодарен за помощь в лечении.

[ATTACH]91541[/ATTACH]

[ATTACH]91542[/ATTACH]

[ATTACH]91543[/ATTACH]
16.11.2008, 07:40
NickGolovko

uzmyode3.sys, utmyode3.sys, fidbox.idx, fidbox.dat

Первые два - драйвера AVZ, вторые два - компоненты AVPTool.

Остальными сейчас будем заниматься.

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\pooh\Application Data\Transcend\SJelite3\SJelite3Launch.exe','');
QuarantineFile('C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe','');
QuarantineFile('C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe','');
QuarantineFile('C:\Program Files\Common Files\Symantec Shared\ccApp.exe','');
QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');
QuarantineFile('C:\Program Files\Microsoft ActiveSync\Wcescomm.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe','');
QuarantineFile('C:\Program Files\Norton AntiVirus\osCheck.exe','');
QuarantineFile('C:\Program Files\OpenOffice.org 3\program\quickstart.exe','');
QuarantineFile('C:\Program Files\Picasa2\PicasaMediaDetector.exe','');
QuarantineFile('C:\Program Files\QIP Infium\infium.exe','');
QuarantineFile('C:\Program Files\QIP.Online\qiponline.exe','');
QuarantineFile('C:\Program Files\QuickTime\QTTask.exe','');
QuarantineFile('C:\Program Files\Skype\Phone\Skype.exe','');
QuarantineFile('C:\Program Files\System Control Manager\MGSysCtrl.exe','');
QuarantineFile('C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe','');
QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
QuarantineFile('C:\Program Files\\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe','');
QuarantineFile('c:\program files\system control manager\msiservice.exe','');
QuarantineFile('c:\windows\system32\mnsframework.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки пришлите карантин в соответствии с правилами.

Пока мы ничего не лечим, а просто устанавливаем, какие файлы инфицированы. Как только получим ответ из лаборатории, займемся уничтожением.
16.11.2008, 08:15
pooh-hpc

Вложений: 1

Закачано. На всякий случай прикладываю лог скана RootkitReveal - вдруг будет полезен

[ATTACH]91552[/ATTACH]

Спасибо.
16.11.2008, 12:34
pooh-hpc

Дополнительная информация: netstat показывает наличие flec006.exe, отсутствующего в списке процессов!
16.11.2008, 15:39
kps

C:\Program Files\Picasa2\PicasaMediaDetector.exe подменен червем - Ikarus детектит как Trojan-Downloader.Win32.Bagle , свежий

[B]Отключите восстановление системы[/B], как написано в правилах.

Выполните скрипт в AVZ [B]2 раза[/B], 2-ой раз после перезагрузки:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('C:\Documents and Settings\pooh\Application Data\m\flec006.exe','');
QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
DeleteFile('c:\windows\system32\drivers\winfilse.exe');
DeleteFile('C:\Program Files\Picasa2\PicasaMediaDetector.exe');
DeleteFile('C:\Documents and Settings\pooh\Application Data\m\flec006.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end. [/code]

Компьютер перезагрузится.
Пришлите карантин по правилам и сделайте новые логи.