Заражена сеть. превратилась в ботнет. никто не знает как лечить. [Backdoor.Win32.Tiny.dc ]

[norlest]

В системной папке нет такого файла. Может антивирус удалил.
папка ZOO пуста. Подобный файл я уже присылал в карантин.
образ автозапуска сделал. тут скриншот: http://rghost.ru/download/6PHknf4Qk/...843/screen.jpg
Обвел красным что меня напрягло. у меня нет clear.cmd и никогда не было, папки такой нет. у меня не может быть ярлыка для удаления тулзы активация. у меня лицензия везде. Ссылка на какие-то подозрительные екзешники, которых тоже не должно быть в системе.
И что за не стандартные свойства связи DCOM. Подозрительно.
тут лог образ автозапуска: http://rghost.ru/download/8dMyFf7Vl/...3_01-07-37.zip с паролем virus

З.Ы. К сожалению скрипт не выполнил, устал, не так прочел. Но т.к. файла такого нет, есть ли смысл его выполнять?
Помоему прибавилось служб со странными именами (случайный набор символов), все не запущены, все ссылаются на %SystemRoot%\F1DA5145.EXE, но такого файла нет.
З.Ы.-2 Если этот файл нужен могу попробовать поискать его в бэкапе и оттуда вытащить.

[Vvvyg]

З.Ы. К сожалению скрипт не выполнил, устал, не так прочел. Но т.к. файла такого нет, есть ли смысл его выполнять?
Помоему прибавилось служб со странными именами (случайный набор символов), все не запущены, все ссылаются на %SystemRoot%\F1DA5145.EXE, но такого файла нет.

Лучше скрипт выполнить, если бэкдора нет - зачистит хвосты за ним. А последующий образ показал бы результат - если бы ссылки на вирус не стало - ок, он удалён.
Меня смутило вот ещё что. В первом образе автозапуска (как и в последующих) видим: файла C:\WINDOWS\F1DA5145.EXE как бы нет:

Полное имя C:\WINDOWS\F1DA5145.EXE
Имя файла F1DA5145.EXE
Тек. статус сервис в автозапуске

Сохраненная информация на момент создания образа
Статус сервис в автозапуске
Инф. о файле Не удается найти указанный файл.

Только куча сервисов, относящихся к нему. Но далее, в логе TDSSKiller видим:

13:47:04.0828 0x1210 [ 47E4C7BBA2C1DF20D857677C7AB077AB, F40AE18FE824AE3F66A27F84B54125E1C490FC171367539FFD 328B7134B8E5D2 ] C:\Windows\F1DA5145.exe
13:47:04.0828 0x1210 C:\Windows\F1DA5145.exe - ok

Т. е. файл существует, его хэши MD5 и SHA256 отражены в логе. При этом путаница такая: образ автозапуска UVS создан в 17:16 (запуск программы в 17:06), а лог TDSSKiller - в 13:47, хотя был запрошен позже
Если реально он выполнялся позже - очень похоже на то, что этот троян хорошо скрывает себя, и не виден даже в безопасном режиме.

З.Ы.-2 Если этот файл нужен могу попробовать поискать его в бэкапе и оттуда вытащить.

Да, смысл есть, судя по хэшам, файл отличается от того, что Вы загрузили в карантин.

[norlest]

Скрипт выполнил. Лог приложил.
Сейчас уже не вспомню в какой последовательности их запускал. Но делал строго что просили и именно в такой последовательности. По сообщениям можно проследить.
В бэкапе этого файла нет, просмотрел с 22,10 по 16,10, больше просто не храню. Сейчас увеличу глубину бэкапа и поищу по другим серверам эти подозрительные файлы (clear.cmd dump_dickdump.sys и т.д.).
Заметил одну интересную вещь: у всех профилей заблокирован ntuser.dat причем заблокирован системой. Даже в профилях людей. которые уволились и не логинились несколько лет (за это время было много перезагрузок сервера).

[Vvvyg]

Судя по логу, службы удалены. Вирус себя проявляет?

[norlest]

да.
Лог из циски
Oct 23 15:48:47: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(56410) -> 85.93.5.88(80), 1 packet

З.Ы. личные сообщения кончились

[Vvvyg]

Упс...
Отпишу позже дальнейшие шаги.

- - - - -Добавлено - - - - -

Тут сложно понять, то ли по сети уже снова заразили, то ли всё же остался зловред...
Сделайте TDSSKiller ещё раз.

[norlest]

сделал с максимальными выставленными параметрами
лог тут:http://rghost.ru/download/6GjK6WZpk/...3.10-19.55.zip
Пароль как всегда: virus
прикрепить не могу, место кончилось

скриншот службы тут: http://rghost.ru/download/7xDNJhFHN/...60/service.jpg
достаточно много служб исчезло. эта вот толи осталась толи появилась

[Vvvyg]

Похоже, новая.

Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO. Можно сделать загрузочную флэшку, например, с помощью Rufus.

[norlest]

сделал
http://rghost.ru/download/6YzBpgYsm/...5_21-47-54.zip
пароль как обычно

[Vvvyg]

К сожалению, это образ автозапуска самой LiveCD и полезной информации он не содержит. Надо было кликнуть пункт "Выбрать каталог Windows" и указать на расположение каталога системы на HDD.

[norlest]

вот http://rghost.ru/download/8ndK8Y7lj/...6_00-31-44.zip

[Vvvyg]

А нет тела вируса на компьютере, только службы. Посмотрите с помощью TCPView, какой процесс лезет по адресу 85.93.5.88.

[norlest]

насколько я проверял процессы:
svchost.exe ломится в инет на этот адрес (проверял, процесс не подменный, а родной, просто инфицированный, пытался его восстанавливать из дистрибутива командой SFC) и распространяет его по сети

лог тут
http://rghost.ru/download/6sZH9dWPd/...a0/tcp_log.zip

циска:
Oct 26 14:31:55: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(51715) -> 85.93.5.102(80), 1 packet

снял логи через process monitor
рекомендую посмотреть
тут: http://rghost.ru/download/8dsvLP94Q/...0/proc_mon.zip

[Vvvyg]

Да, есть обращения к hosted-by.emgoldexnet.com в логе. Но, тем не менее, по образу автозапуска, сделанному с LiveCD, можно утверждать, что, по крайней мере, в автозапуске трояна точно нет. То ли по сети что-то лезет, то ли ещё что.

Выполните от администратора команду BITSADMIN /RESET /ALLUSERS
Если есть возможность, выведите компьютер из домена, зайдите под локальным администратором и последите за его поведением.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. \3825889043a.exe - Backdoor.Win32.Tiny.dc
  2. \852f1a1d.exe - Backdoor.Win32.Tiny.dc