rundll32.exe достал

Printable View

07.05.2010, 14:10
tu-104

Вложений: 1

rundll32.exe достал

Сабж. Запускается куча и не пропадает, пока руками не завершишь.

Из процесс експлорера:
Порождает их D:\WINDOWS\System32\svchost.exe -k netsvcs

Path: D:\WINDOWS\System32\rundll32.exe
CMD line: rundll32.exe zfyspqu.u,qrvnuvk (варьируется, rundll32.exe zfyspqu.u,mjynx или rundll32.exe zfyspqu.u,jbfau)

Что это такое?
Логи прилагаю.
ПС. АВЗ зачем-то убил альтернативный notepad.ехе, сказав, что это кейлоггер. Могу этот блокнот тоже приложить.
07.05.2010, 14:25
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
07.05.2010, 14:56
tu-104

[QUOTE=V_Bond;633566]выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи[/QUOTE]
s87ekhv удалил, сразу как логи запостил. Он, видимо, от какой-то заразы остался раньше. рундлл32 появляются...
07.05.2010, 16:26
polword

[QUOTE=V_Bond;633566]повторите логи[/QUOTE]
где они....
07.05.2010, 16:39
thyrex

Перед повторными логами

Пофиксите в hijack
[CODE]F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
O21 - SSODL: System - {8BFB3292-5AD6-45AD-BD91-32349C667819} - sysw.dll (file missing)[/CODE]

По симптомам похоже на то, что к Вам ломится Кидо
А вот система у Вас сплошное решето
[QUOTE]Platform: Windows [B]XP SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2[/B] (6.00.2900.2180)[/QUOTE]Обновляться нужно. И чем быстрее, тем лучше для Вас
11.05.2010, 07:51
tu-104

[QUOTE=polword;633636]где они....[/QUOTE]
сейчас будут.
[QUOTE]Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
[/QUOTE]
сделал, хотя параметр userinit просто был написан не заглавными буквам, ничего криминального...
[QUOTE]А вот система у Вас сплошное решето[/QUOTE]
заплатки MS08-068, MS09-001, MS08-067 стоят. СП3 чего нет, того нет...
[QUOTE]По симптомам похоже на то, что к Вам ломится Кидо[/QUOTE]
Как узнать откуда? и уточнить, что это он?
11.05.2010, 09:05
thyrex

Лучше не уточнять откуда ломится Кидо, а обновлять систему

Пофиксите в HiJack
[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
24.06.2010, 12:06
tu-104

[QUOTE=thyrex;635213]Лучше не уточнять откуда ломится Кидо, а обновлять систему

Пофиксите в HiJack
[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url][/QUOTE]
сделал, кроме SP3, все также.
24.06.2010, 13:05
thyrex

[QUOTE='tu-104;659835']сделал, кроме SP3[/QUOTE]Вот потому и [QUOTE='tu-104;659835']все также.[/QUOTE]
15.07.2010, 07:21
tu-104

[QUOTE=thyrex;659865]Вот потому и[/QUOTE]
накатил вчера SP3, оставил на ночь.
сегодня опять эта хрень. (по времени показывает 21:41, в сети врядли кто-то еще был)
скрин с обновлениями. может еще чего?
15.07.2010, 08:06
thyrex

Вы установили все обновления, вышедшие после SP3?
15.07.2010, 08:19
tu-104

[QUOTE=thyrex;670431]Вы установили все обновления, вышедшие после SP3?[/QUOTE]
нет. их куча:(
15.07.2010, 08:26
thyrex

[QUOTE='tu-104;670432']нет. их куча[/QUOTE]Включите автоматическое обновление и система сама все скачает
15.07.2010, 10:07
tu-104

готово.
ну вот, все обновления с сайта установлены.
ВылеЗЛО снова.
15.07.2010, 18:05
polword

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
16.07.2010, 10:38
tu-104

лог
16.07.2010, 11:09
polword

1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\clinker.clinkerbho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\clinker.clinkerbho.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c1a4652d-4cbe-485a-92a0-bdec9def0e2b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{866e38f6-b2f5-4c0e-b0b9-54b7d5bb8651} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7bcfd25-5c30-4bcf-9483-6f151a54f7c9} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные файлы:
D:\Documents and Settings\Владислав\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('D:\WINDOWS\system32\msconftb.sys','');
QuarantineFile('F:\work\Делфи\test\примеры, кнопки\FSG.EXE','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
16.07.2010, 12:58
tu-104

готово.
:\work\Делфи\test\примеры, кнопки\FSG.EXE' - это упаковщик ЕХЕшников
16.07.2010, 13:29
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('D:\WINDOWS\system32\msconftb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
19.07.2010, 08:00
tu-104

стандартные логи.
[QUOTE]- Сделайте лог MBAM[/QUOTE]
это на целый день. к вечеру будет готово :)
+снова скрин rundll
+лог мвам
19.07.2010, 13:29
polword

1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\clinker.clinkerbho (Trojan.BHO) -> No action taken.
[/CODE]
2. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
[/CODE]

3.- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.34[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip
19.07.2010, 14:02
tu-104

[QUOTE=polword;672579]
3.- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.34[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip[/QUOTE]
они ею и сделаны.
спасибо, сейчас все проделаю
19.07.2010, 15:13
tu-104

логи
20.07.2010, 13:11
tu-104

а может быть просто винда за собой не чистит?
23.07.2010, 07:44
tu-104

актуально...
25.07.2010, 11:07
AndreyKa

Установите надежные пароли на учетные записи пользователей с правами администратора.
26.07.2010, 07:28
tu-104

О! на встроенной учетке "администратор" неизвестно какой пароль был...
остальные вроде норм.

не помогло.
26.07.2010, 12:11
AndreyKa

Отключите службу [B]Удаленный реестр[/B].
26.07.2010, 13:36
tu-104

отключена уже. запуск: вручную
27.07.2010, 12:09
tu-104

теперь стартуют ровно раз в час 12:00, 13:00, 14:00... по 3-4 штуки разом. может на это кто что подскажет.
строка запуска rundll32.exe zfyspqu.u,jazgtw
rundll32.exe zfyspqu.u,gudlpvdh
rundll32.exe zfyspqu.u,ddvpxa
rundll32.exe zfyspqu.u,yhcrfavg
27.07.2010, 13:20
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\zfyspqu.u','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Скачайте [URL="http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215"]такую[/URL] утилиу и провертесь ей
27.07.2010, 14:22
tu-104

Файл сохранён как 100727_142209_quarantine_4c4eb3511f760.zip
Размер файла 590
MD5 86fc9de58f15e07c7fe41715141c3d6f

[QUOTE]C:\>KK.exe
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.14 Mar 19 2010 10:17:17
scanning jobs ...
Infected job (JobFile D:\WINDOWS\Tasks\At1.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At10.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At11.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At12.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At13.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At14.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At15.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At16.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At17.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At18.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At19.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At2.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At20.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At21.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At22.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At23.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At24.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At25.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At26.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At27.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At28.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At29.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At3.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At30.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At31.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At32.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At33.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At34.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At35.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At36.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At37.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At4.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At5.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At6.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At7.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At8.job) was deleted
Infected job (JobFile D:\WINDOWS\Tasks\At9.job) was deleted

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

scanning D:\WINDOWS\system32 ...
scanning D:\Program Files\Internet Explorer\ ...
scanning D:\Program Files\Movie Maker\ ...
scanning D:\Program Files\Windows Media Player\ ...
scanning D:\Program Files\Windows NT\ ...
scanning D:\Documents and Settings\Владислав\Application Data ...
scanning d:\temp\ ...
scanning Flash drives ...

completed
Infected jobs: 37
Infected files: 0
Infected threads: 0
Spliced functions: 0
Cured files: 0
Fixed registry keys: 0
[/QUOTE]
28.07.2010, 08:42
tu-104

пока все стабильно...
28.07.2010, 11:48
AndreyKa

Состояние стабильно тяжёлое, как говорят врачи, или же всё хорошо?
28.07.2010, 12:23
tu-104

:) все гут. до обеда ни одного рундлл32. Спасибо всем.
29.07.2010, 12:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\msconftb.sys - [B]Trojan-Clicker.Win32.Agent.yo[/B][/LIST][/LIST]