Win32:Trojan-Gen + Win32:Agent-VGV + Заблокированный реестр= Oh, Mine!

Printable View

28.08.2008, 13:00
MInner

Win32:Trojan-Gen + Win32:Agent-VGV + Заблокированный реестр= Oh, Mine!

Здравствуите уважаемые,
Вот в чем проблема!

Некоторое время назад застал комп на том, что svhost отправлял кучу пакетов неизвестного мне происхождения на неизвестные мне SMTP сервера... из чего можно было понять, что svhost рассылает спам... так вот... и ни SpyWareTerminator, DrWeb CureIT, AVZ, HJT, Avast:anti-rootkit ничего не нашли, только аваст руласля на Win32:Trojan-Gen и Win32:Agent-VGV... но удалить их так и не смог... попытался закрыть 25й порт через реестр, но доступ к нему был закрыт какой-то другой живностью (удалил ее пару днеи назад, но реестр так и закрыт)... сканировал авастом перед загрузкой винды... ничего... сделал репаер системы с установочного диска - безрезультатно... вот пару дней назад аваст базы обновил, посему нашел он вновь эти Win32:Trojan-Gen и Win32:Agent-VGV и с горем пополам их удалил.... но (!) кач трафика в непоределенном направлении продолжается!... и теперь уже никто из этой могучей кучки ниможет никого наити....
Логи во вложениях...
28.08.2008, 13:35
Rene-gad

[QUOTE=MInner;275692]
Логи во вложениях...[/QUOTE]Выполнить логи в строгом соответствии с правилами: [url]http://virusinfo.info/showthread.php?t=1235[/url]
Пролечиться, как написано тут: [url]http://virusinfo.info/showthread.php?t=15927[/url]
28.08.2008, 15:17
MInner

вот... а проверку именно так уже выполнил....
28.08.2008, 15:20
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Отсутствует лог Hijackthis после выполнения логов АВЗ.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.
[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\WinCtrl32.dll
C:\WINDOWS\System32\WinCtrl32.bak
C:\WINDOWS\System32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteService('WZCSVCNetman');
DeleteService('WZCSVCEventlog');
DeleteService('wuauservProtectedStorageRSVP');
DeleteService('WebClient Antivirus');
DeleteService('RDSessMgrwscsvc');
DeleteService('ProtectedStorageRSVP');
DeleteService('NtLmSspFastUserSwitchingCompatibility');
DeleteService('MSDTCERSvc');
DeleteService('mnmsrvcAddFiltr');
DeleteService('EventSystemTermService');
DeleteService('EventlogDhcpThemes');
DeleteService('dmserverBITS');
DeleteService('DhcpThemes');
DeleteService('DhcpTermService');
DeleteService('DhcpAlerter');
DeleteService('ClipSrvCOMSysAppPolicyAgent');
DeleteService('ClipSrvCOMSysApp');
DeleteService('BITSWmdmPmSN');
DeleteService('Winxw54');
DeleteService('Winwv22');
DeleteService('Winvm55');
DeleteService('Winrf81');
DeleteService('Winoh21');
DeleteService('Winlv08');
DeleteService('Winls03');
DeleteService('Winlh08');
DeleteService('Winjb32');
DeleteService('Winir10');
DeleteService('Winhl67');
DeleteService('Winfn08');
DeleteService('Winbi64');
DeleteService('Winam83');
DeleteService('Winam11');
DeleteService('Winak52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxw54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwv22.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvm55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrf81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoh21.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlv08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlh08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjb32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winir10.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winam83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winam11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winak52.sys','');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winak52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winam11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winam83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbi64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winir10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjb32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlh08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlv08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoh21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrf81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvm55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwv22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxw54.sys');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WZCSVCNetman');
BC_DeleteSvc('WZCSVCEventlog');
BC_DeleteSvc('wuauservProtectedStorageRSVP');
BC_DeleteSvc('WebClient Antivirus');
BC_DeleteSvc('RDSessMgrwscsvc');
BC_DeleteSvc('ProtectedStorageRSVP');
BC_DeleteSvc('NtLmSspFastUserSwitchingCompatibility');
BC_DeleteSvc('MSDTCERSvc');
BC_DeleteSvc('mnmsrvcAddFiltr');
BC_DeleteSvc('EventSystemTermService');
BC_DeleteSvc('EventlogDhcpThemes');
BC_DeleteSvc('dmserverBITS');
BC_DeleteSvc('DhcpThemes');
BC_DeleteSvc('DhcpTermService');
BC_DeleteSvc('DhcpAlerter');
BC_DeleteSvc('ClipSrvCOMSysAppPolicyAgent');
BC_DeleteSvc('ClipSrvCOMSysApp');
BC_DeleteSvc('BITSWmdmPmSN');
BC_DeleteSvc('Winxw54');
BC_DeleteSvc('Winwv22');
BC_DeleteSvc('Winvm55');
BC_DeleteSvc('Winrf81');
BC_DeleteSvc('Winoh21');
BC_DeleteSvc('Winlv08');
BC_DeleteSvc('Winls03');
BC_DeleteSvc('Winlh08');
BC_DeleteSvc('Winjb32');
BC_DeleteSvc('Winir10');
BC_DeleteSvc('Winhl67');
BC_DeleteSvc('Winfn08');
BC_DeleteSvc('Winbi64');
BC_DeleteSvc('Winam83');
BC_DeleteSvc('Winam11');
BC_DeleteSvc('Winak52');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
28.08.2008, 22:12
MInner

Сделал все, что Вы сказали... закачал карантин (он выдал ошибку при закачке, но как написано в правилах не стал перезагружать)....
Антивирус полностью выключить не имею возможности, но остановил все его службы (хотя возможно можно выключить avast, но я его недавно поставил)....
вот логи от AVZ и Hijackthis... (приписал в конце "1" т.к. ругалось на то, что такие фаилы уже есть)...
Зарание спасибо...
28.08.2008, 22:29
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Sergey\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
удалите задания в планировщике ....
повторите логи ...
29.08.2008, 01:03
MInner

сделал...
вообщем-то скачка прекратилась... но раз в 30-60 секунд отправляется ~60Кб в никуда... (выключены все приложения, которые могли бы эти 60Кб сьедать)... не смертельно....но не приятно....
Спасибо Вам, огромное!
29.08.2008, 10:38
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\tree.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\more.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\format.com','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
29.08.2008, 19:50
MInner

вот
29.08.2008, 20:01
Rene-gad

[QUOTE=MInner;276658]вот[/QUOTE]Я подожду, когда Вы выполните логи в точном соответствии с правилами и моими указаниями жирным красным шрифтом в предыдущем сообщении.
Как маленько облегчение задачи: Spyware Terminator можете удалить совсем.
29.08.2008, 20:27
MInner

"- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз."
Обновлены
"- Не закрыты все программы"
Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях
"- Не запущен Интернет Эксплорер"
Включен
"- Не выключен установленный антивирус"
Выклюючен
29.08.2008, 20:31
Rene-gad

[QUOTE=MInner;276682]
"- Не закрыты все программы"
Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях[/QUOTE]Работает Аутлук, Неро+Lightscribe- что Вы собираетесь писать сейчас на диск - не знаю, Спайваре Терминатор.

[B]Запуск системы в минимальной конфигурации[/B]
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
29.08.2008, 21:08
MInner

Все как Вы сказали...
29.08.2008, 22:02
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/CODE]
Больше ничего плохого не вижу.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Обновите Джаву - очень старая и дырявая.
Можно обновить Интернет Эксплорер до 7-й версии.
29.08.2008, 22:11
MInner

"Поставьте Сервис Пак 3, возможно потребуется активация системы."
упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету.... а можно через репаер c устанавленой sp2 переити имея диск с цельнои системой sp3....
"Обновите Джаву - очень старая и дырявая."
ну.... 16Мб при моем нете - не даи бог)...
"Можно обновить Интернет Эксплорер до 7-й версии."
Пользуюсь Оперой...
29.08.2008, 22:20
Rene-gad

[QUOTE=MInner;276734]
упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету...[/QUOTE]Скачайте Сетап по ссылке в моей подписи и запустите как обычное приложение. Систему переустанавливать не надо. Достаточно при установке отключить все резидентные программы, включая антивирус.
[QUOTE]ну.... 16Мб при моем нете - не даи бог)...[/QUOTE]
Пол[B]у[/B]чите пару руткитов через ее дыры, они больше скачают.8)
[QUOTE]Пользуюсь Оперой...[/QUOTE]Зловреды об этом не знают и используют дыры ИЕ, который является частью ОС.
29.08.2008, 23:31
MInner

300 Мб по цене 3р\Мб((((.... так можно ли репаем сделать?... (тоесть вообщем-то переустановить винду, на сколько я понимаю работу репая)... или поставить ее отдельно...?... если будет уставлено 2 инды, то драивера, программы и реест общие будут?...

можно яву тогда совсем удалить... черт с ней...

если ИЕ удалить, как елемент системы?....

[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]

черт возьми... все равно траффик куда-то улетает... не опнятно куда....
29.08.2008, 23:41
V_Bond

ну на вашем месте я бы отключил службу обнаружения ...
30.08.2008, 00:39
MInner

можн по подробнее....?

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

пробывал отключить
"служба обнаружения сети" и "служба обнаружения SSDP" - ничерта....

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

хм... я конечно понимаю, что это не ваша проблема но по неизвестным причинам банальным QIP начал скачивать и отправлять ка ненормальный по ~400Кб\сек...

неа... это тут не при чем... кач идет!...
30.08.2008, 18:58
Rene-gad

Будете продолжать монолог Чацкого или сделаете новые логи?
Если первое - то плиз не тут.
30.08.2008, 20:55
MInner

Вложений: 3

именно этим и был занят... (интернет отключился поэтому не мог выложить)...
30.08.2008, 22:04
Rene-gad

[QUOTE=MInner;277156]именно этим и был занят... (интернет отключился поэтому не мог выложить)...[/QUOTE]В логах ничего подозрительного.
Служба автоматических обновлений Виндовс работает?
Обновления Avast!?
Поставьте какой-нибудь траффик контроллер, что-ли.
ПС: Без рекомендованных в посте 14 обновлений Ваша система все равно , как решето:кто хочет - и зайдет и выйдет, а Вы будете искать - куда уходит трафик, в какие города...(С).
30.08.2008, 22:07
V_Bond

[code]
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
[/code]
31.08.2008, 00:43
MInner

V_Bond, не помогает.... (

обновление не работает.... т.к. (эх) траффик...
аваст и AVG всегда обновлены...
надо COMODO поставить....
насчет #14 ответте, если можите, на некоторые мои вопросы:
-можно ли имея инсталяционный (значит и с возможностью репая) диск с виндой со всеми обновлениями и SP3, заменить ею свою винду, не потеряв драиверов (вот это важно т.к. они есть прошивка и много-много гаджетов, вроде Wi-fi, Blutooth, Ir-port, и т.п., работать не будут)
-можно ли соовсем убить и ИЕ и яву...?... нет явы нет дыр)....
ЗЫ: вопрос не по теме - если не сложно - ответте - если на втором томе диска осталася recovery с висты, то с него можно сделать инсталяционный диск?...