Троян, Руткит и шпион одновременно

Здравствуйте!
28дек07 Касперский 4.5 (последнее обновление 23окт07 - закончилась лицензия) обнаружил Trojan.Win32.Agent.asu в файле ..\system32\DefLib.sys.
14янв08 После загрузки стало появляться окошоко: "Работа мастера регистрации невозможна, поскольку необходимые сведения о системе отсутствуют или недоступны."
16янв08 В Диспетчере задач увидел процессы w32sys5.exe, w32sys7exe, w32sys15.exe, aspnet_state.ex. Остановил их, удалил файлы w32sys...exe
17янв обнаружил, что "исполняемый файл" службы MDM (не запущенной) С:\WINNT\system32\w32sys7.exe
Отсортировав по дате, последние файлы проверил на сайте Касперского:
~tmp1174.exe (13.11.2007, 3 082 b) Trojan-Downloader.Win32.Small.gqc
necsort.sys (28.12.2007, 8 192 b) Rootkit.Win32.Agent.sh
winlogon.exe (28.12.2007, 32 768 b) Trojan-Proxy.Win32.Small.ig
Kaspersky Online Scanner нашёл:
Оперативная Память:
[208] WINLOGON.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
[868] IEXPLORE.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
Важные объекты:
C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe Trojan-Downloader.Win32.Agent.hhj
C:\WINNT\system32\pspv.exe not-a-virus:PSWTool.Win32.PassView.160
Мой компьютер:
в Temporary Internet Files\..\..\other-archive.narod[1] Trojan-Downloader.JS.Remora.bp
C:\sysbvkn.exe Packed.Win32.Tibs.dc

Я пытался удалять ссылки на инфицированные файлы из реестра, удалял сами файлы, но проблемы оставались.

21янв, следуя Вашей инструкции, проверил CureItом:
[FONT=Arial CYR]kdshq.exe[/FONT][FONT=Arial CYR]c:\winnt\system32[/FONT][FONT=Arial CYR]Модификация Trojan.Packed.156[/FONT][FONT=Arial CYR]Перемещен.[/FONT][FONT=Arial CYR]ntos.exe[/FONT][FONT=Arial CYR]c:\winnt\system32[/FONT][FONT=Arial CYR]Trojan.Proxy.2634[/FONT][FONT=Arial CYR]Удален.[/FONT]

Сейчас установил Kaspersky Internet Security 7, и с виду всё спокойно, но я боюсь, что установленные сверху антивирусы заразу могут не узнать, кроме того большую часть предупреждений Касперского я не понимаю - не спец :(

Судя по логам, зловредов у вас не осталось, только следы.
Да еще испорчены системные службы Alerter, MDM и RasMan.

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\system32\regwiz.exe,
O2 - BHO: Editor plugin - {5C6D29BE-AFF8-4cb9-B9F9-EA3289051E73} - drive01.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINNT\system32\svshost.dll (file missing)
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Что касается служб, то первые две вряд ли вам когда-нибудь понадобятся, а вот последняя - это Диспетчер подключений удаленного доступа. Для его восстановления следует экпортировать с такой же, но здоровой системы ключ реестра HKLM\System\CurrenControlSet\Services\RasMan и импортировать в свой реестр.

Благодарю за хорошее известие. HiJackом профиксил,
а как импортировать-экспортировать?
важно, чтобы виндоуз была точно такая же? я боюсь, что не найду такой... везде ХР
может вручную скажете, что добавить?
если не восстановить этого диспетчера, что будет?

и главное: как дальше защищаться?
чтобы не на каждое открытие браузера предупреждение выскакивало, но и чтобы не просмотреть никого?

Экспортировать из [b]regedit[/b] - выделить нужный ключ, Файл - Экспорт... Сохраняется *.reg файл. Для импорта достаточно сделать двойной клик на этом файле и согласиться с предложением добавить в реестр. Вот только не знаю, подойдет ли ключ от ХР. Попробовать-то можно, хуже от этого не станет.
Если у вас интернет сделан по локалке, то в принципе RasMan вам тоже не нужен, и можно этим не морочиться.

спасибо, всё понял.
Ещё только забыл спросить (раньше такого не было):
при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?

И на будущее всё-таки, пожалуйста, дайте совет: Касперский7, avz, AVG, Panda, ...?

[quote]при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?[/quote]
Хм... похоже, мы что-то упустили. Сделайте еще раз логи, посмотрим.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[quote]Касперский7, avz, AVG, Panda, ...?[/quote]
AVZ в этом списке лишний, т.к. не выполняет функции постоянной защиты, а предназначен для исследования и лечения зараженной системы. Лично я предпочитаю KAV/KIS, также неплохой вариант DrWeb. Панду не советую.

После вчерашних манипуляций стало ещё появляться окно установки нового оборудования (неизвестного, никаких драйверов для него нет) - я выбрал "отключить оборудование".

Логи в приложении.

Я предложу убрать вот этот мусор:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111157}');
StopService('MDM');
DeleteService('MDM');
StopService('Fax');
DeleteService('Fax');
StopService('Alerter');
DeleteService('Alerter');
RebootWindows(true);
end.[/CODE]

мусор убрал, но всё остальное по-прежнему,
разве что при загрузке не появляется ошибка Мастера регистрации...

на всякий случай логи...

прошу, скажите, как дальше жить :)
интернет-банком, например, можно пользоваться?

Мусор не убрался. Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('MDM');
BC_DeleteSvc('Fax');
BC_DeleteSvc('Alerter');
BC_Activate;
RebootWindows(true);
end.[/code]
Посмотрите, что из этого нужно:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (mnmsrvc)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.

Пользоваться можно всем, только смените все пароли.

Alerter - это вы зря на системную службу наезжаете, IMHO. Не нравится - поставьте в отключение.

@[b]pig[/b]:
[quote]O23 - Service: Alerter - Unknown owner - C:\WINNT\system32\w32sys7.exe (file missing)[/quote]
"Системное" тут только название осталось...

я только не знаю, что такое mnmsrvc, а без остального точно смогу обойтись
мне вобще не надо ничего удалённого или автоматического.
мне доступ в интернет лишь бы был, оффлайновые приложения чтобы работали, и чтобы из вне при этом доступа не было...

Если локальной сети, то можно выполнить (оставил автозапуск с CD):
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

У меня доступ в инет организован через маршрутизатор.
Некое подобие локальной сети тоже при этом присутствует -
я вижу расшэреные папки соседней машины...

И, возвращаясь, к главному:
[QUOTE]
при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
[/QUOTE]

Скажите адрес открываемой страницы.
Это Ваши адреса?[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7D78AF-347A-4BE8-818F-5849400181EA}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = company.abi.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
O17 - HKLM\System\CS2\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
O17 - HKLM\System\CS3\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105[/CODE]

[URL]http://sedoparking.com/parking.php4?domain=www.domdel.ru[/URL]
[URL]http://unavailablepage.com/?prvtof=8b2VkUqfXDCVzkFPugJuOcYtoPi%2F9A%3D%3D[/URL]
[URL]http://www.clckm.com/?dn=ybbsu.com&pid=3PO158M27&prvtof=8b2VkUqfXD6A2xxe%2BwxlMd0%3D[/URL]

company.abi.ru - это домен, в котором когда-то работала машина в локальной сети - он уже никогда не понадобится,
а в остальных адресах я не уверен - скажите, как проверить?

[QUOTE=АнтонМГ;179243]а в остальных адресах я не уверен - скажите, как проверить?[/QUOTE]Узнайте у провайдера.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

AVZ => Сервис => Поиск данных в реестре. На странице "Параметры поиска" поставьте все галочки. По очереди ищите следующие слова[CODE]sedoparking.com
domdel.ru
unavailablepage.com
prvtof
clckm.com
ybbsu.com[/CODE]Прикрепите протоколы поиска по каждому результату.

Эти адреса, о которых вы спрашивали, привели меня сюда:
[URL]http://www.domainserror.com/index.php[/URL]
Добрые ребята говорят, что гораздо лучше, если вместо ошибки при неправильном наборе адреса будет открываться страница, похожая на ту, которую вы неправильно набрали, - короче просто увеличивают трафик на сайты, которые им надо!
Причём предлагают специально установить эту "утилиту". Правда иногда, говорят, она и без Вашего ведома оказывается установленной :)
Вобщем, они поменяли мне DNS адреса. Теперь, когда я восстановил такой же, как на соседней машине, переадресация исчезла!

1) Посмотрите, пожалуйста, удалился ли на этот раз "мусор".

2) Я хочу отключить лишние службы, но чтобы не потерять сеть и оставить возможность для работы программ типа RegCleaner, чтобы можно было всякие лишние Автозапуски удалять.

В логах всё нормально.

[URL="http://virusinfo.info/showpost.php?p=157432&postcount=2"]Отключите автозапуск[/URL] ([B]не путать с автозагрузкой!!![/B]) на всех дисках.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!