TDSSserv [Trojan-Mailfinder.Win32.Small.y, Trojan.Win32.Agent.aqfk ]

Printable View

29.12.2008, 11:27
av dm

Вложений: 3

TDSSserv [Trojan-Mailfinder.Win32.Small.y, Trojan.Win32.Agent.aqfk ]

Здравствуйте!
При загрузке как в безопасном так и в обычном режиме windows XP в большинстве случаев выскакивает синий экран.
При сканировании системы с помощью gmer появилось сообщение об инфекции TDSSserv.sys

В папке C:\Settings arm80.dll, arm arm86.dll, arm64.dll
В папке C:\Windows\Temp плодятся *.sys и *.tmp (например 1.sys, 1.tmp и т.д.). На эти файлы, кстати, ссылаются сообщения с синего экрана.
В списке uPNP устройств TDSSserv.sys

Удалил с помощью avenger TDSSserv (описано в [URL]http://www.myantispyware.com/2008/08/27/how-to-remove-antivirus-xp-2008/[/URL])
Сканирую с помощью MalwareBytes Anti-malware (MBAM) - результат: система чиста. Перезагружаюсь - синий экран.
Файлы в C:\Windows\Temp продолжают появляться.

Проверил с помощью CureIt: удалил файлы *.sys и *.tmp из C:\Windows\Temp (при чем не все). Перезагрузка - синий экран, удаленные файлы + новые в каталоге C:\Windows\Temp

Нод32, Каспер ничего не видят. Базы - сегодняшние.
29.12.2008, 11:36
PavelA

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
BC_DeleteSvc('Yjt63');
BC_DeleteSvc('Xis28');
BC_DeleteSvc('Uuu85');
BC_DeleteSvc('Upu06');
BC_DeleteSvc('Uka28');
BC_DeleteSvc('Qql03');
BC_DeleteSvc('Pfu77');
BC_DeleteSvc('Nxi14');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
BC_DeleteSvc('Nss06');
BC_DeleteSvc('Mwh63');
BC_DeleteSvc('Mmm44');
BC_DeleteSvc('Lvl58');
BC_DeleteSvc('Kpf44');
BC_DeleteSvc('Jyy25');
BC_DeleteSvc('Inx33');
BC_DeleteSvc('Gqb63');
BC_DeleteSvc('Fuu47');
BC_DeleteSvc('Ffu66');
BC_DeleteSvc('Ccc11');
BC_DeleteSvc('Bgv63');
DeleteFile('C:\WINDOWS\System32\Drivers\Bgv63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ccc11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ffu66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gqb63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gbv88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fuu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Inx33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jyy25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpf44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lvl58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mmm44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mwh63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nss06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nxi14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Otj22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pfu77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qql03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uka28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Upu06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uuu85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xis28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yjt63.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать новые логи.
Загрузить если что-то попадет в карантин.

Вот эту парочку добавить в карантин и прислать.
C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel.exe
??\C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel.dat

Папку Temp почистить.
29.12.2008, 12:26
av dm

Вложений: 3

Скрипт выполнил.

<Вот эту парочку добавить в карантин и прислать.
<C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel.ex e
<??\C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel .dat
нет на диске

В папке Temp удаляются все файлы кроме двух (при последней загрузке это были 5e.tmp, 5f.tmp)
29.12.2008, 12:44
PavelA

Карантин грузить через красную ссылку [url]http://virusinfo.info/upload_virus.php?tid=36491[/url] Отсюда удалить срочно!!

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Да, и еще карантин сделать по Правилам через AVZ. Зайти в промотр карантина, отметить все, нажать кнопочку вверху.
virus.zip прислать через красную ссылку.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
BC_DeleteSvc('nsysaudm');
QuarantineFile('C:\WINDOWS\system32\drivers\fyldm.sys','');
BC_DeleteSvc('ippwg');
DeleteFile('C:\WINDOWS\TEMP\5B.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\fyldm.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
29.12.2008, 13:29
av dm

Вложений: 3

Извиняюсь, страничка правил до конца не загрузилась. Каким образом удалить файл из вложений?
29.12.2008, 15:37
Rene-gad

Выполните скрипт:
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите логи.
29.12.2008, 16:08
PavelA

@Rene-gad это уже сделано.
29.12.2008, 17:01
av dm

Вложений: 3

после выполнения скрипта

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
29.12.2008, 17:49
Rene-gad

Давайте лог МБАМ - только ничего сами не удаляйте!!! - в студию. Базы обновите.

@PavelA
Сорри, не увидел...
29.12.2008, 18:20
av dm

Вложений: 2

00-24-54 - первое сканирование
20-16-01 - проверка выполнена сейчас
29.12.2008, 18:44
PavelA

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uti0ote5 (Worm.Bagel) - вот это порадовало.
Это драйвер от AVZ. ;)
Да и название малваре.
29.12.2008, 18:51
vaber

Напишите сюда полные названия всех файлов, находящихся в каталоге:
C:\Settings\
29.12.2008, 19:03
av dm

arm64.dll
arm86.dll
desktop.ini
Был еще arm80.dll, его убил КурИт
29.12.2008, 19:10
vaber

Выполните скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Settings\arm86.dll','');
QuarantineFile('C:\Settings\arm64.dll','');
DeleteFile('C:\Settings\arm64.dll');
DeleteFile('C:\Settings\arm86.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
После карантин прислать согласно правилам и сделать virusinfo_syscheck лог. Останутся ли проблемы?
29.12.2008, 19:49
av dm

Вложений: 1

Ребут прошел без экрана смерти, после загрузки системы в папке C:\Windows\Temp\ не появилось новых файлов. Все файлы *.sys и *.tmp, находящиеся до этого в папке C:\Windows\Temp\ удалось удалить, что обнадеживает. Появилось новое устройство (раньше в диспетчере устройств все устройства были опознаны). Лог и карантин высланы.
29.12.2008, 20:21
vaber

В логах чисто. По-удаляйте все тулзы, что использовались - Gmer, MBAm. Удалите AVZ PM (в меню AVZ). Будут проблемы - обращайтесь, поможем :)
29.12.2008, 20:27
av dm

Спасибо!
22.02.2009, 09:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]120[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc10.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc102.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc109.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc11.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc116.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc12.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc122.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc138.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc14.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc144.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc17.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc22.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc26.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc28.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc30.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc32.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc36.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc37.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc41.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc43.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc44.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc45.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc5.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc52.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc58.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc59.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc6.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc62.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc63.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc67.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc69.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc70.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc75.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc84.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc90.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc95.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\settings\\arm64.dll - [B]Trojan.Win32.Agent.aqfk[/B] (DrWEB: Trojan.MulDrop.29551)[*] c:\\settings\\arm86.dll - [B]Trojan-GameThief.Win32.Agent.r[/B] (DrWEB: Trojan.MulDrop.29550)[*] c:\\windows\\temp\\a.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\c.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\e.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\1c.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\1f.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\1.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\10.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\12.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\13.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\16.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\17.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\19.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\2b.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\2c.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\2.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\21.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\23.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\25.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\28.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\3b.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\3e.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\33.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\36.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\4a.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\4f.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\43.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\47.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\5b.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\5e.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\52.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\57.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[*] c:\\windows\\temp\\6.tmp - [B]SpamTool.Win32.Small.y[/B] (DrWEB: Trojan.EmailSpy.182)[/LIST][/LIST]