hldrrr.exe, srosa.sys, Megadrv3, wintems.exe и понятный результат

[Иван А. Ильин]

Обстановка:

На пункте правил общения:
4. Распакуйте из архива и поместите в новую отдельную папку.
* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.

Происходит
"Ошибка в ходе автоматического обновления - Загруженный файл поврежден - neurald.avz"

Открываемый на пункте 8
8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку

напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!"

virusinfo.info".
набор возможностей — пустой

10. Тоже пустой экран без возможности выбрать скрипт.


11. Пункт
Делаю и получаю сообщение:

---------------------------
HijackThis
---------------------------
Please help us improve HijackThis by reporting this errorClick 'Yes' to submitError

Details: An unexpected error has occurred at procedure:

modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell)Error #5 - Invalid

procedure call or argumentWindows version: Windows NT 5.02.3790MSIE version:

6.0.3790.3959HijackThis version: 2.0.2
---------------------------
Yes No
---------------------------


Делаю Yes


Чере пару секунд новое сообщение:

---------------------------
HijackThis
---------------------------
Please help us improve HijackThis by reporting this errorClick 'Yes' to submitError

Details: An unexpected error has occurred at procedure:

modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)Error #5 - Invalid

procedure call or argumentWindows version: Windows NT 5.02.3790MSIE version:

6.0.3790.3959HijackThis version: 2.0.2
---------------------------
Yes No
---------------------------

Yes



финально получившийся лог прилагаю.


-----


Из незодрового на компе можно видеть:
Запущенный Megadrv3 в диспетчере среди скрытых устройств, если его попытаться остановить

кнопкой Stop - система моментально вывалится и начнёт загружаться с нуля.

При экспресс проверке переименованным CureIT в виндовой папке есть "будут залечены после

перезагрузки" файлы инфицированные Win32.HLLM.Beagle

srosa.sys
wintems.exe

Находящийся (судя по промелькивающим сообщениям в статус баре) в памяти hldrrr.exe

вирусятиной не считается и "вирусов в памяти" нет

При полной проверке CureITом во время прохождения по диску С: система в какой-то момент

вываливается и следует загрузка операционки с нуля.

Безопасного режима загрузки больше нет, либо система грузится полноценно, либо во время

безопасной загрузки вываливается в новую попытку загрузки с самого нуля.

В логе встроенного аппаратного фаервола в роутере видно, что установленная дрянь

постоянно пытается достучатся до гуглового почтового сервера.

AVZ в диспечере процессов показывает руткит hldrrr.exe

Сделать LiveCD и загрузится с него не получается, софтина для изготовления такового

pebuilder - не полностью распаковывается из своего архива, а именно убиваются exe файлы

во время распаковки. Готового загрузочного диска, к сожалению нет
И вообще дивидиром больше не хочет работать с сидюками. "Диска нет". Хотя Нирой видно что

на диске есть сессия и все дела, для проводника - диск в приводе отсутствует или в Raw

формате.

Spybot - Search & Destroy - больше не работает (не сам, не его резидент в трее TeaTimer),

так же пробовал выкачать, поставить и воспользоваться NOD32 и Каспера - не удаётся.


***

Вот такие война и манёвры.

[rubin]

Есть LiveCD или аналоги?

[Иван А. Ильин]

Есть LiveCD или аналоги?

Увы
А попытка сделать его этой софтиной http://www.nu2.nu/pebuilder/
неудачна. Распаковка архива с софтиной не проходит, вирусятина видимо убивает exe файлы во время распаковки.

[rubin]

А на другом компьютере не выйдет создать?

[Иван А. Ильин]

А на другом компьютере не выйдет создать?

Эхъ. Вечер. У соседей если - не получится. Поздновато.

[rubin]

Попробуйте это
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Не запустится - только LiveCD...

[Иван А. Ильин]

Рекомендованный setup_7.0.0.180_17.02.2008_21-08.exe скачал, как файл с неизвестным именем Касмегаубица.exe, поставил в каталог с неговорящим именем С:\VT. Запустил. Работает (в данный момент включительно)

Военные хроники.

Паралельно нашёл в обсуждениях упомянание об
http://virusinfo.info/showthread.php?t=18202

IceSword

Скачал его, как файл с названием
АйВорт.zip
переименовал тотал коммандером непосредственно внутри архива в произвольное имя Меч.ехе. Распаковал (без файла справки, а то она IceSword называется, дабы не спугнуть названием) запустил.
Им удалось прикончить процесс hldrrr.exe. (удалил так же файл wintems.exe этой софтиной)

Процесса hldrrr.exe теперь нет ни в этом Мече ни в AVZ в его диспечере процессов, в том числе и при обновлении списка процессов

Megadrv3 в диспетчере среди скрытых устройств - сделал ему анинстал, на предложенную перезагрузку пока не уходил.

В логе аппаратного фаервола роутера видно, что исходившая от меня бомбардировка почтовых серверов в интернете больше не пытается прорваться.

Найденная на данным момент вирусятина размещается в картинках в кэше IE
и в одной из стоявших софтин.

Неработавшие до сих пор антивиры (их я ставил уже после поражения своей системы описываемой вирусятиной) - так и не заработали. Видимо требуется и перезагрузка и их переустановка. Обновление AVZ тоже пока не пошло, с ошибкой указанной в первом сообщении вываливается. Возможно тоже нужна перезагрузка ОС, которой пока не делал.


Вот что найдено на данный момент:


24% - Поиск вирусов : работает
------------------------------
Проверено: 28636
Обнаружено: 6
Не обработано: 0
Запуск: 17.02.2008 22:23:53
Длительность: 01:47:39
Завершение: 18.02.2008 5:47:25


Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\3TO4GXSC\b64_31[1].jpg
удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_1[1].jpg
удалено: троянская программа Trojan.Win32.Pakes.bwy Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_2[1].jpg
удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_1[1].jpg
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_31[1].jpg


События
-------
Время Имя Статус Причина
----- --- ------ -------
17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe не вылечен обработка отложена пользователем
17.02.2008 22:45:25 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:46:23 Объект автозапуска: HKEY_USERS\S-1-5-21-2436396261-502557554-2746150336-500\Software\Microsoft\Windows\CurrentVersion\Run\ QDictionary вылечен троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:46:33 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe удален
17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared обнаружено: новая угроза 'Hidden.Object' (модификация)
17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared не вылечен обработка отложена пользователем


Статистика
----------
Объект Проверено Опасных объектов Не обработано Удалено Помещено на карантин Архивов Упакованных файлов Защищенных паролем Поврежденных
------ --------- ---------------- ------------- ------- -------------------- ------- ------------------ ------------------ ------------
Все объекты 13176 1 0 1 0 93 35 0 0
Системная память 3277 0 0 0 0 26 7 0 0
Объекты автозапуска 548 1 0 1 0 1 21 0 0
Загрузочные секторы дисков 8 0 0 0 0 0 0 0 0
Почтовые базы 0 0 0 0 0 0 0 0 0
Tsy (C 9343 0 0 0 0 66 7 0 0
Her (X 0 0 0 0 0 0 0 0 0
Ipsilon (Y 0 0 0 0 0 0 0 0 0


Параметры
---------
Параметр Значение
-------- --------
Уровень безопасности Рекомендуемый
Действие Запросить по окончании проверки
Режим запуска Вручную
Типы файлов Проверять все файлы
Проверка только новых и измененных файлов Нет
Проверять архивы все
Проверка вложенных OLE-объектов все
Не проверять архивы размером более Нет
Пропустить файл, если его проверка длится более Нет
Проверка файлов почтовых форматов Нет
Проверка архивов, защищенных паролем Нет
Использовать технологию iChecker Нет
Использовать технологию iSwift Нет
Показывать обнаруженные опасные объекты на закладке "Обнаружено" Да
Поиск руткитов (rootkit) Да
Расширенный поиск руткитов (rootkit) Нет
Использовать эвристический анализатор Да
Уровень эвристического анализа 3


Quarantine
----------
Статус Объект Размер Добавлен
------ ------ ------ --------


Backup
------
Статус Объект Размер
------ ------ ------
Заражен: троянская программа Trojan-Downloader.Win32.Bagle.jv f:\software\word processors\qdictionary\1.6\qdictionary.exe 698.8 КБ

[Bratez]

Выполните в AVPtool такой скрипт:

Код:

begin
BC_DeleteFile('c:\windows\system32\drivers\srosa.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\mdelk.exe');
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте лог AVPTool.

[Иван А. Ильин]

А всё ещё идёт проверка этим setup_7.0.0.180_17.02.2008_21-08.exe
Скоро закончится, как я понимаю. 95 % сейчас.

Пока ждал завершения проверки убил Мечом (IceSword)

файлы
system32\drivers\srosa.sys
system32\drivers\hldrrr.exe
system32\mdelk.exe


Ключи реестра
в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Name german.exe Value C:\WIN_2003\system32\wintems.exe
и hldrrr.exe

Утилита autoruns (из Sysinternals Suite) показывает srosa в drivers для всех зарегистрированных на машине пользователей. Прибил её для всех "кроме себя", из под активного пользователя она не выбивается. Надеюсь после перезагрузки её может и не будет уже.

Пока так.


*****

Завершилось сканирование.
В дополнении к найденному ранее нашлось:

"удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: X:\User Temp\_tc\Windows XP Video Decoder Checkup Utility 1.0.0.1.exe"
Вот отсюда видимо все мои беды и выросли, из этого файла, запускал такой днями, был грех…

Ухожу на перезагрузку.

[Иван А. Ильин]

Вот лог.

[V_Bond]

похоже чисто ...
но на всякий случай выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\program files\punto switcher\ps.exe','');
 QuarantineFile('c:\program files\magictune premium\magictuneengine.exe','');
 QuarantineFile('c:\program files\google\google desktop search\googledesktop.exe','');
 QuarantineFile('F:\Work\open.txt','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Иван А. Ильин]

Вот карантин.

Open - это мой всегда намеренно открывающийся документ "походу дела", куда всё текущее записывается. Все урлы и айпи в нём - это всё моё, не вирус писал.


***

Не вижу что-то настройки, а как сделать что бы Касперский Вирус Ремовал Тул перестал запускаться каждую перезагрузку?

[V_Bond]

что -то не помню что бы в приложении 3 правил ... было написано прикреплять файлы к сообщениям ...

[Иван А. Ильин]

Точно.
Загрузил по верхней ссылке.


Результат загрузки
Файл сохранён как 080218_044759_avptool_syscheck_47b9625f82650.zip
Размер файла 159111
MD5 a1466662e2f715a85585c5e38a0871ec
Файл закачан, спасибо!

[V_Bond]

в карантине ничего зловредного ....

[Иван А. Ильин]

Возможность загрузиться в Safe Mode так и не вернулась

[V_Bond]

выполните скрипт ...

Код:

begin
ExecuteRepair(1);
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

[Иван А. Ильин]

Ура!
Вернулся Safe Mode!

Тут правда случилось неудобство, не знаю, сильно страшное?
После этого скрипта — вдруг взяла и пропала вся сетевая деятельность. Вплоть до невозможности пинговать внутренние адреса типа 192.168.1.1 и выше.

Однако вернул сетевую деятельность.

При загрузке система показала что один из драйверов (или сервисов? не помню) — не загрузился, смотрите, мол, журнал событий.

В котором, соответственно в одной из крайних записей я прочёл:

The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer. For detailed troubleshooting information, review the events in the Security event log.

Ну так и сделал. Выставил сервису IPSec - Disabled и перезагрузился.
Сеть вернулась.

Единственное — это не опасно, что я его выключил?

[V_Bond]

все нормально ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены