DLOADER.Trojan

Printable View

04.07.2009, 16:23
golovin

Вложений: 3

DLOADER.Trojan

Уезжаю завтра в командировку, взял в конторе "разъездной" ноутбук. На нем оказались вирусы. Впервые не смог вычистить комп с помощью одного AVZ.

Операционка - WinXP SP2 русская.
AVPTool при установке выдает сообщение об ошибке в приложении и закрывается.
CureIt выполняет сканирование, выдает подозрения на
comctl32.dll:_rc_db_5.1.2600 Возможно DLOADER.Trojan
Удаление файла ни к чему не приводит, при следующем сканировании диагностика та же.
AVZ не запускается как avz.exe. Переименовал его в 123.pif, чтобы получить логи.
HijackThis.exe запустился без проблем. В логе HijackThis присутствует "нечто"
C:\DOCUME~1\admi\LOCALS~1\Temp\Rar$EX00.682\Christmas.exe
хотя с точки зрения Far этот каталог пуст.
Буду крайне признателен за рекомендации.
04.07.2009, 16:49
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8090
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [Deluxe Tree] C:\DOCUME~1\admi\LOCALS~1\Temp\Rar$EX00.682\Christmas.exe
O15 - Trusted Zone: http://*.rpappsrv
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600','');
QuarantineFile('C:\WINDOWS\System32\Drivers\kdrc.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\System32\Drivers\kdrc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49289[/url]).
Сделайте новые логи.
04.07.2009, 17:45
golovin

Вложений: 3

Отослал карантин 090704_171627_virus_4a4f562bcc7dd.zip
Прикладываю новые логи
04.07.2009, 18:01
Bratez

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
04.07.2009, 20:21
golovin

Вложений: 1

Gmer также не запустился под своим именем. Пришлось переименовать его в 456.pif

В конце сканирования было выдано сообщение
WARNING!!!
GMER has found system modification caused by ROOTKIT activity
04.07.2009, 20:37
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('ice_time.dll','');
QuarantineFile('C:\WINDOWS\system32\ice_time.dll','');
QuarantineFile('C:\WINDOWS\ice_time.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\USBPORT.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\KSecDD.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\kbdclass.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\kdrc.dll','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600','');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
DeleteFile('C:\WINDOWS\System32\Drivers\kdrc.dll');
DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (точнее 456.pif)
[CODE]456.pif -del file c:\windows\system32\comctl32.dll:_rc_db_5.1.2600
456.pif -del file C:\WINDOWS\System32\Drivers\kdrc.dll
456.pif -reboot[/CODE]

И запустите cleanup.bat. Компьютер перезагрузится. После перезагрузки повторите лог GMER и AVZ
04.07.2009, 20:53
golovin

Карантин послал
090704_205223_virus_4a4f88c7e57c2.zip
Сейчас запущу сканирование
05.07.2009, 06:00
golovin

Вложений: 4

Скачал из Интернета WinXP PE образ, сделал загрузочный диск и загрузился с него на ноутбуке.
Удалось запустить AVPTool, предварительно установленный на флешку. При сканировании диска С: был найден и удален один файл:
deleted: virus Worm.Win32.Viking.hk File: C:\Documents and Settings\All Users\Документы\mhgpec.exe

К сожалению AVZ 4.30 не заработал под WinXP PE. При попытке запустить сканирование он выдал ошибку записи в ListBox и остановился. На самом диске с WinXP PE есть AVZ 4.23. Он работает, но у него устаревшие базы.

Я удалил с ноутбука все данные и деинсталировал практически все программы, чтобы уменьшить время сканирования.
Прилагаю последние логи.

С виду ситуация не изменилась. Есть ли шансы вылечить заразу?
Мне надо принимать решение о том, чтобы искать другой ноутбук.
05.07.2009, 08:06
Bratez

Под Windows PE запустите тот AVZ 4.23 и выполните такой скрипт:
[CODE]begin
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
end.[/CODE]
Потом перезагрузитесь в свою систему и повторите лог по п.1 Диагностики
(стандартный скрипт #3).

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пришлите по правилам файл
[B]C:\WINDOWS\System32\drivers\btserial2.sys[/B].
05.07.2009, 11:50
golovin

Вложений: 1

Выгрузить btserial2.sys не получается
AVZ выдает диагностику:

Ошибка карантина файла, попытка прямого чтения (c:\windows\System32\drivers\btserial2.sys)
Карантин с использованием прямого чтения - ошибка

Выполнил скрипт из под WinPE
Перегрузился сделал проверку. Лог прилагаю.

Если надо я могу из под WinPE скопировать btserial2.sys зазиповать и прислать

P.S. Не могу.... В режиме WinPE файла btserial2.sys в каталоге c:\windows\System32\drivers\ нет. Такие дела.
05.07.2009, 13:53
golovin

я скопировал под WinPE все содержимое диска С на флешку. Теперь могу ковыряться в нем на своем домашнем компе.
Подцепил hives к своему реестру. Посмотрел ключ
HKEY_USERS\s111\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit=C:\WINDOWS\SYSTEM32\Userinit.exe,

В ключах
В HKEY_USERS\s111\Microsoft\Windows\CurrentVersion\Run
тоже ничего подозрительного.
btserial2.sys в реестре не нашлось, что логично. Такого файла на диске нет. Видимо ROOTKIT динамически его как-то подсовывает.

Как же эта дрянь может запускаться?

Сейчас проверю содержимое диска С на своем компе с помощью AVPTool и AVZ с последними обновлениями.

[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]

Проверил скопированные данные с диска С ноутбука.
AVPTool и AVZ показали 0 подозрений.
На ноутбуке все без изменений.
И при обычной загрузке и в SafeMode:
- AVPTool не устанавливается, выдает ошибку приложения в конце инсталляции
- avz.exe запускается только переименованным
- gmer.exe запускается только переименованным. В конце скана выдает сообщение о налиичии ROOTKIT.

Времени не осталось. Принято решение переставлять Винду.
Спасибо всем принявшим участие.

Дней через 15 вернусь, проверю сохраненный диск С обновленными версиями антивирусов. Если найду что-нибудь интересное - отпишусь.

Еще раз спасибо за помощь.
05.07.2009, 20:41
Alex_Goodwin

Сделайте лог рутрепила [url]http://virusinfo.info/showthread.php?t=40120[/url]
Пришлите по правилам explorer.exe он у вас пропатчен.
06.07.2009, 20:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\comctl32.dll:_rc_db_5.1.2600 - [B]Backdoor.Win32.Agent.aifu[/B] ( BitDefender: Gen:Trojan.Heur.300C6DECEC )[*] c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$data - [B]Backdoor.Win32.Agent.aifu[/B] ( BitDefender: Gen:Trojan.Heur.300C6DECEC )[*] c:\windows\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$data - [B]Backdoor.Win32.Agent.aifu[/B] ( BitDefender: Gen:Trojan.Heur.300C6DECEC )[*] c:\windows\system32\drivers\kdrc.dll - [B]Rootkit.Win32.Agent.mau[/B] ( DrWEB: Trojan.Proxy.3908, BitDefender: Trojan.Generic.787288 )[/LIST][/LIST]