BackDoor.Haxdoor.440 в ovrscn.dll

[Netrat]

У меня на домашнем ПК под WinXP SP2 прочно прописался BackDoor.Haxdoor.440. Симптомы следующие:

* заблокирован запуск диспечера задач
* заблокировано открытие настроек нативного Internet Connection Firewall
* часть программ не запускается (например, ATI`шный менеджер дисплеев)
* при нажатии Ctrl+C в половине случаев вместо копирования в clipboard текст как-то странно модифицируется (явная попытка перехвата).

Подозреваю, что последние два симптома могут быть не от Haxdoor, а от кого-то из его "компаньонов". Когда после чистки системы в безопасном режиме CureIt`ом из всех вирусов и троянцев остаётся только Haxdoor, из симптомов продолжают проявляться только первые два.

От проверки CurIt`ом в Normal Mode вообще нет эффекта - после перезагрузки все инфекции обнаруживаются в тех же файлах. При проверке в Safe Mode после перезагрузки (что в Safe, что в Normal Mode) возвращается только BackDoor.Haxdoor.440 в ovrscn.dll. Его CureIt всё время обещает исцелить после рестарта системы, но инфекция всё равно остаётся. AVZ пытался файл закарантинить, но безуспешно.

Вот такая ситуация. Надеюсь на помощь профессионалов. Логи прилагаю.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\rsh.dll','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\kernel2.exe','');
 QuarantineFile('C:\Program Files\WinAble\winable.exe','');
 QuarantineFile('C:\DOCUME~1\ilia\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\DOCUME~1\ilia\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\Program Files\WinAble\winable.exe');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Добавлено через 4 минуты

После отправки карантина выполните еще скрипт:

Код:

begin
ClearQuarantine;
BC_QrSvc('FCI');
BC_QrSvc('msupdate');
BC_QrSvc('aspimgr');
BC_DeleteSvc('FCI');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('aspimgr');
BC_Activate;
RebootWindows(true);
end.

И второй карантин следом - если туда что-то попадет.

Добавлено через 1 минуту

Затем пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\rsh.dll (file missing)
O18 - Protocol: HTLFP - {03B7A5D4-96B0-4316-95F8-072D326A58F1} - (no file)
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll

и сделайте новые логи.

Добавлено через 2 часа 16 минут

Карантин получен, C:\WINDOWS\System32\DRIVERS\tcpip.sys вероятно патченный (изменен 21.09.2007), отправлен на анализ в вирлаб. Ждем новых логов после выполнения всего вышеуказанного.

[Netrat]

Файлы карантина выслал. В первый раз в карантин попало только два файла (других уже не было, видимо их удалил AVZ или CureIt), во второй раз ни одного.

Новые логи сделал, они приаттачены к этому сообщению.

[V_Bond]

C:\WINDOWS\System32\DRIVERS\tcpip.sys - пришел ответ вирлаба чистый
пофиксите

Код:

O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\kernel2.exe','');
 QuarantineFile('\??\C:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');  
 DeleteFile('C:\WINDOWS\system32\qz.dll');
 DeleteFile('C:\WINDOWS\system32\qz.sys');
 DeleteFile('C:\WINDOWS\kernel2.exe'); 
 DelWinlogonNotifyByFileName('ovrscn.dll ');    
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи..

[Netrat]

Да, совсем забыл добавить: в результатах работы HiJackThis вместо

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы

была строка

O20 - Winlogon Notify: botreg - C:\WINDOWS\

Это существенно?

[Netrat]

Свежие логи приаттачены

PS. Записи О18 и О20 в HiJackIt фикшу, но после рестарта системы они вновь появляются.

[V_Bond]

выполните скрипт в SAFE MODE ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');  
 DeleteFile('C:\WINDOWS\system32\qz.dll');
 DeleteFile('C:\WINDOWS\system32\qz.sys');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('C:\WINDOWS\kernel%32.exe');
 DeleteFile('C:\WINDOWS\kernel .exe');
 DeleteFile('c:\windows\system32\klogini.dll');
 DeleteFile('c:\windows\system32\fltr.a3d');
 DeleteFile('c:\windows\system32\i.a3d'); 
 DeleteFile('c:\windows\system32\p2.ini');
 DeleteFile('c:\windows\system32\redir.a3d');
 DeleteFile('c:\windows\system32\tnfl.a3d');
 DelWinlogonNotifyByFileName('ovrscn.dll ');    
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи..

[Netrat]

Вот новые логи.

AVZ говорит, что успешно восстанавливает перехваченные фунцикии, но после перезагрузки снова находит перехваты. :-(

[drongo]

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\system32\qy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(12);
RebootWindows(true);
end.

Прислать карантин по правилам.

2. ещё раз пофиксить

Код:

O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)

3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней

[Netrat]

3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней

Установлен Nero Image Drive, но сейчас он отключён.

Добавлено через 3 часа 7 минут

Скипт выполнил, записи пофиксил. Правда, "O18 - Protocol: vfsp - (no CLSID) - (no file)" при каждой новой проверке обнаруживает заново.

Диспетчер задач разблокирован, но Internet Connection Firewall по-прежнему не открывается - выводится сообщение о непознанной ошибке.

Карантин выслал.

[V_Bond]

tcpip.sys - судя по вирустотал чист ...
по Firewall читаем тут
повторите логи ...

[Netrat]

Свежие логи

[V_Bond]

ничего зловредного не вижу ....

что из этого вам нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[Netrat]

Спасибо за помощь!

Из перечисленного нужен разве что автозапуск программ с CDROM. Админские шары поотключал.

[V_Bond]

оставляем только запуск CD ...
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Netrat]

Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users.windows\\документы\\settings\\bot.dll - Trojan-Proxy.Win32.Xorpix.bq (DrWEB: BackDoor.Bech)