Trojan.Winlock чистка системы

Printable View

01.02.2010, 22:09
s1lver

Trojan.Winlock чистка системы

После заражения Winlock'ом был подобран ключик, система разблокирована. Теперь надо её почистить. Логи прилагаются.
01.02.2010, 22:38
Шапельский Александр

Пофиксить в Hijack
[CODE]F2 - REG:system.ini: Shell=explorer.exe,user32.exe[/CODE]
выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\user32.exe','');
QuarantineFile('c:\temp\UED552.tmp','');
DeleteService('GarenaPEngine');
QuarantineFile('C:\Documents and Settings\Dmitry\Desktop\r.exe','');
DelCLSID('99C6D1BB-7555-474C-91DA-D8FB62A9CC75');
QuarantineFile('C:\WINDOWS\system32\DQfE6R6V.dll','');
QuarantineFile('E:\rfo2\killrf.bat','');
QuarantineFile('Z:\!BACKUP\wake2.m3u','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\md.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('H:\md.exe','');
DeleteFile('H:\md.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('E:\md.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('Z:\!BACKUP\wake2.m3u');
DeleteFile('E:\rfo2\killrf.bat');
DeleteFile('C:\WINDOWS\Tasks\ACDSee Pro.job');
DeleteFile('C:\WINDOWS\Tasks\wake2.job');
DeleteFile('C:\WINDOWS\system32\DQfE6R6V.dll');
DeleteFile('c:\temp\UED552.tmp');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(13);
Executerepair(16);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
02.02.2010, 09:26
s1lver

Карантин, который создал AVZ закачал (он был без пароля 'virus').
Файлы прикладываю.
02.02.2010, 12:55
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\CCRFG.SYS','');
DeleteService('CCRFG');
DeleteFile('C:\WINDOWS\system32\CCRFG.SYS');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
03.02.2010, 00:32
s1lver

Скрипт выполнил, но файла карантина нет, да и самого CCRFG.SYS нет больше.
syscheck и mbam логи прикладываю.
03.02.2010, 13:00
Шапельский Александр

Удалите в MBAM
[CODE]Memory Modules Infected:
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> No action taken.
C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken.
c:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.

Registry Keys Infected:
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Files Infected:
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> No action taken.
C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken.
C:\Program Files\&RQ1107\Historylib.dll (Trojan.KillAV) -> No action taken.
C:\Program Files\WarRun\tfwc3\warcraft3 keygen.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Radmin\AdmDll.dll (PUP.RemoteAdmin) -> No action taken.
C:\Program Files\Radmin\raddrv.dll (PUP.RemoteAdmin) -> No action taken.
C:\WINDOWS\system32\raddrv.dll (PUP.RemoteAdmin) -> No action taken.
C:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\BOdC0P0T.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\G40O871d.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\user32.exe (Trojan.Ransom) -> No action taken.
[/CODE]
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

Сделайте лог MBAM
04.02.2010, 15:19
s1lver

Карантин прислал. Лог прикладываю.
В MBAM не стал удалять radmin, т.к. он нужен.
04.02.2010, 15:33
Шапельский Александр

В логе чисто. что с проблемой?
Рекомендую обновить:
- Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v6.00 до Internet Explorer v8.00;
- установить последние обновления на ОС.
04.02.2010, 16:34
s1lver

-
05.02.2010, 16:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\dmitry\desktop\r.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.30[/B] ( DrWEB: Program.RemoteAdmin.205 )[*] c:\windows\system32\user32.exe - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )[*] e:\autorun.inf - [B]Worm.Win32.AutoRun.gvb[/B] ( NOD32: Win32/LockScreen.AX trojan )[*] e:\md.exe - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )[*] h:\autorun.inf - [B]Worm.Win32.AutoRun.gvb[/B] ( NOD32: Win32/LockScreen.AX trojan )[*] h:\md.exe - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )[/LIST][/LIST]