install_temp_318 и прочие гадости...

[filin041170]

Добрый день!

К сожалению не могу выполнить правил, т.к. при выполнении скрипта AVZ лечению/карантину и сбору сведений возникает stop-ошибка и XP перезагружается... Сбой происходит явно на стадии мониторинга перехватчиков функций API (в окне AVZ успеваю заметить их обнаружение). Как мне собрать необходимую инфу для Вашей помощи?

История вопроса. Началось все с невозможности запуска ряда программ, которые ранее исправно выполнялись (в их числе XoftSpySE). Подозревая неладное, решил запустить AVZ - но не обнаружил exe-шника. При распаковке архива дистрибутива AVZ исполняемый файл также (как бы) не извлекается . Ну этот момент я обошел, переименовав exe на pif и запустив AVZ с внешнего носителя... А вот что делать дальше, если логи не сделать?
Ну и собственно сабж, т.е. практически в каждой папке образуется пустой подкаталог install_temp_318 и есть левый траффик инета....

[wise-wistful]

С внешнего носителя приколы и должны быть. А что переименованный с жёсткого диска не запускается или хотя бы из безопасногоо режима?

[filin041170]

Не знаю - не знаю...
В винта AVZ запустился, но XP уложил на том же самом месте...
Сейчас собираю логи в бесопасном режиме, только есть ли в этом прок?

[wise-wistful]

А хиджак тоже лог не делает?

[filin041170]

Хиджак в пакетной версии делает...
Сейчас доделаю логи AVZ в безопасном и всё вместе залью в пост на Ваш суд

[filin041170]

Посмотрите плз логи...
Хиджак из-под normal mode
AVZ из-под safe mode

[wise-wistful]

Отключите восстановление системы. Очистите планировщик задач Task Scheduler.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wupdsvc1.exe','');
 QuarantineFile('C:\WINDOWS\system32\aVmrJSTs.exe','');
 QuarantineFile('C:\WINDOWS\system32\t60O6tws.exe','');
 QuarantineFile('c:\windows\system32\mslz32.dll','');
 QuarantineFile('C:\WINDOWS\watznew.exe','');
 QuarantineFile('C:\WINDOWS\system32\undname.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 SetServiceStart('alcom', 4);
 StopService('alcom');
 QuarantineFile('Ebdl43.sys','');
 QuarantineFile('C:\WINDOWS\system32\alcomt.dll','');
 DeleteFile('C:\WINDOWS\system32\alcomt.dll');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\undname.exe');
 DeleteFile('C:\WINDOWS\system32\t60O6tws.exe');
 DeleteFile('C:\WINDOWS\system32\aVmrJSTs.exe');
 DeleteFile('C:\WINDOWS\system32\wupdsvc1.exe');
 DeleteService('alcom');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18340

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\undname.exe,
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\undname.exe,
O21 - SSODL: mslz32.dll - {582D4513-C2AF-5811-10E5-8679728F6EA7} - c:\windows\system32\mslz32.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('alcom');
 SetServiceStart('alcom', 4);
 StopService('Ebdl43');
 SetServiceStart('Ebdl43', 4);
 QuarantineFile('C:\WINDOWS\system32\wupdsvc1.exe','');
 QuarantineFile('c:\windows\system32\mspe.exe','');
 QuarantineFile('C:\WINDOWS\system32\aVmrJSTs.exe','');
 QuarantineFile('C:\WINDOWS\system32\t60O6tws.exe','');
 QuarantineFile('c:\windows\system32\mslz32.dll','');
 QuarantineFile('C:\WINDOWS\watznew.exe','');
 QuarantineFile('C:\WINDOWS\system32\undname.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\system32\alcom.sys','');
 QuarantineFile('C:\WINDOWS\system32\alcomt.dll','');
 DeleteFile('C:\WINDOWS\system32\alcomt.dll');
 DeleteFile('C:\WINDOWS\system32\alcom.sys');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\undname.exe');
 DeleteFile('c:\windows\system32\mslz32.dll');
 DeleteFile('C:\WINDOWS\system32\t60O6tws.exe');
 DeleteFile('C:\WINDOWS\system32\aVmrJSTs.exe');
 DeleteFile('c:\windows\system32\mspe.exe');
DeleteFileMask('c:\windows\tasks\', 'at*.job',true);
BC_ImportDeletedList;
BC_DeleteSvc('alcom');
BC_DeleteSvc('Ebdl43');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Ebdl43.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18340).
Сделайте новые логи.

[filin041170]

Спасибо helperам, по-моему всё чисто .
Новые логи прилагаю....

[Bratez]

Да, все прошло удачно.

Что вот это за файлики у вас нехорошие? -

C:\Documents and Settings\svi\Мои документы\Distrib\MapInfo\shkm7801.zip/{ZIP}/start.exe >>>>> Trojan-Downloader.Win32.Small.gl
C:\Documents and Settings\svi\Мои документы\MyDoc\Иванов\Архив\shkm7801.zip/{ZIP}/start.exe >>>>> Trojan-Downloader.Win32.Small.gl

Рекомендуется отключить все ненужное из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[filin041170]

Это кряк к ГИС MapInfo в двух экземплярах - снесу....
Еще раз спасибо за помощь и советы..

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 30
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\alcom.sys - Rootkit.Win32.Agent.abc (DrWEB: Trojan.PWS.GoldSpy)
  2. c:\\windows\\system32\\alcomt.dll - Trojan-Spy.Win32.Goldun.wp (DrWEB: Trojan.PWS.GoldSpy)
  3. c:\\windows\\system32\\mslz32.dll - Worm.Win32.Feebs.nj (DrWEB: Win32.HLLM.Graz)
  4. c:\\windows\\system32\\mspe.exe - Worm.Win32.Feebs.nj (DrWEB: Win32.HLLM.Graz)
  5. c:\\windows\\system32\\svshost.dll - Backdoor.Win32.Small.cvo (DrWEB: BackDoor.Dld.1179)
  6. c:\\windows\\system32\\wupdsvc1.exe - Trojan.Win32.Pakes.bml (DrWEB: BackDoor.Bulknet.83)