Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Downloader + Hacktool.Rootkit + Spambot = нема больше сил (заявка № 22779)

  1. #1
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36

    Thumbs up Downloader + Hacktool.Rootkit + Spambot = нема больше сил

    Подцепил 1-го мая, и так и борюсь до сих пор. Доборолся до того, что после отключения и удаления появившихся устройств в Диспетчере устройств перестал загружатся компьютер, пришлось сделать откат.
    Симптомы сейчас такие- при загрузке системы после появления приглашения на ввод пароля вываливается окно svhosts с ошибкой по адресу 0х7c918fea по обращению к памяти по адресу 0x00000010, которая не может быть written, долго грузит систему, потом Symantec радостно кричит, что обнаружил Hacktool.Rootkit в каталоге C:\WINDOWS\System32\drivers\tcpsr.sys и доблестно его удалил, после чего начинается активная закачка в системный каталог для временных файлов (установлен C:\TMP) файлов 111.dat, 222.dat и т.п. и разных *.tmp,
    вместе с этим начинается бешенная отправка писем, которые Symantec исправно проверяет и не отправляет, в общем через три минуты этих писем уже сотни, машина тормозит, приходится физически выдергивать кабель из сетевушки (подключаюсь к инету через сетевую, хаб, ADSL-модем).
    В диспетчере устройств имею кучу экзотических устройств, увеличивающуюся с каждой перезагрузкой - и
    TCPSR, WEJ51, TAF16, GRANDE48, CIN17. Когда в процессе работы включаю AZV-Guard, не могу запустить ни одну программу- отказано в доступе.
    Перед работой с AZV провел проверку DR-Web-ом, лог следующий =

    Итого- работать нельзя, убил уже кучу времени, но квалификации не хватает, прошу помочь.
    Вложения Вложения
    Последний раз редактировалось Сергей П; 13.05.2008 в 19:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} -
    O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} -
    O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} - 
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    Затем без перезагрузки

    2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\spool.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Cin17.sys','');
     DeleteService('grande48');
     QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
     QuarantineFile('FCI.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Taf16.sys','');
     QuarantineFile('C:\WINDOWS\system32\timghook.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\LBOOKPORT.DLL','');
     QuarantineFile('C:\WINDOWS\system32\LBOOKPORTPS.DLL','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Taf16.sys');
     DeleteFile('FCI.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Cin17.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\spool.exe');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportAll;
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Cin17');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22779

  4. #3
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Все сделал, компьютер долго завершал работу после отработки скрипта, после перезагрузки опять окошко с ошибкой svhost и после входа в систему новые устройства в диспетчере устройств:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr]
    "Type"=dword:00000001
    "Start"=dword:00000004
    "ErrorControl"=dword:00000000
    "ImagePath"= system32\drivers

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00 ,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01 ,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02 ,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00 ,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00 ,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00 ,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00 ,05,12,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr\Enum]
    "0"="Root\\LEGACY_TCPSR\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
    +
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Ipv28]
    +
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Qwc17]

    все файлы *.sys в каталоге system32\drivers
    Последний раз редактировалось Alex_Goodwin; 12.05.2008 в 21:59. Причина: Добавлено

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Логи повторите...

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В карантине Cin17.sys, Taf16.sys - Trojan-Dropper.Win32.Agent.rek остальные заведемо известные, что враги новьё

  7. #6
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Высылаю логи после первого скрипта. ЧУДО- при подключении сетевого соединения уже не шлю мегатонны писем, как раньше.
    Последний раз редактировалось Сергей П; 13.05.2008 в 19:02.

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    По карантину есть ответ аналитков WinNt32.dll - Trojan-Downloader.Win32.Mutant.vx LBOOKPORTPS.DLL, LBOOKPORT.DLL, timghook.dll чистые

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\834668\834668.dll','');
     DeleteFile('C:\WINDOWS\System32\drivers\Ipv28.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Qwc17.sys');
    BC_ImportAll;
    BC_DeleteSvc('Qwc17');
    BC_DeleteSvc('Ipv28');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .


    Повторите логи.
    Последний раз редактировалось wise-wistful; 12.05.2008 в 23:17. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Логи после второго скрипта.
    Последний раз редактировалось Сергей П; 13.05.2008 в 20:29.

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    не хотят в карантин. 834668.dll и tcpsr.sys поищите при помощи АВЗ-сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.

  11. #10
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Поискал 834668.dll и tcpsr.sys AVZ - не нашёл, 834668.dll + еще каких-то 2 файла я изничтожил ручками в процессе борьбы до обращения к Вам- в папке system32\drivers\834668, удалил всю папку, а tcpsr.sys найти не могу, так как его постоянно находил и удалял Symantec, определял его как Hacktool.Rootkit. Устройство tcpsr в устройствах я прибил, перегрузился - и его больше нет. Жду дальнейших указаний.

    З.Ы. Вроде жизнь наладилась, но осталось сообщение от svhost при входе в систему и пугающее меня при работе AVZ сообщение
    Kernel ntoskrnl.exe found in memory at address 804D7000
    SDT = 80559B80
    KiST = 804E2D20 (284)
    Function NtConnectPort (1F) intercepted (80598C34->E1C2342, hook not defined
    Functions checked: 284, intercepted: 1, restored: 0
    Последний раз редактировалось Сергей П; 13.05.2008 в 00:47.

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{413B556F-9483-4319-9DCA-5378529986E2}');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\834668\834668.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи начиная с п.10 правил.

  13. #12
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Выкладываю логи. При выполнении скрипта забыл отключить Symantec, и сразу после выполнения скрипта до перезагрузки Symantec выловил и удалил vdqyodyw.sys, который определил как Trojan Horse.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    vdqyodyw.sys-это драйвер AVZ,отключите Симантек он только мешает.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearHostsFile;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\834668\834668.dll');
    DelBHO('{413B556F-9483-4319-9DCA-5378529986E2}');    
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  15. #14
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Доброго времени суток! Снова у компьютера, готов продолжать и добить зверя в его (т.е. моем) логове. Отправляю логи. Кроме того, заметил интересную особенность - я работаю в интернете Maxthon Browser-ом, это надстройка над IE, и при запуске Maxthon в ТМР каталоге появляются файлы 111.dat, 222.dat, 333.dat и Perflib_Perfdata_984.dat. Кроме того в каталоге, где Maxthon установлен, я обнаружил файл p.exe. Высылаю эти файлы в архиве virus.zip.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скрипт из поста 13 выполнялся ?

  17. #16
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Да

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    отключите антивирус и выполните еще раз...
    повторите логи начиная с пункта 10 правил ....

  19. #18
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Скрипт поста 13 выполнил. Логи здесь.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    авз - сервис - менеджер расширений BHO - найдите C:\WINDOWS\system32\834668\834668.dll и удалите ...
    повторите virusinfo_syscheck.zip

  21. #20
    Junior Member Репутация
    Регистрация
    11.05.2008
    Сообщений
    11
    Вес репутации
    36
    Пост 19 выполнил. По прежднему при загрузке ошибка svhost.exe и при проверке AVZ -Function NtConnectPort (1F) intercepted (80598C34->E2707400), hook not defined.
    Вложения Вложения

  • Уважаемый(ая) Сергей П, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Hacktool.Rootkit
      От georgetray в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2009, 00:47
    2. Hacktool Rootkit - rdl.tmp
      От aragus123 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.04.2009, 09:36
    3. HackTool.Rootkit
      От Alexey в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 05:38
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 03:26
    5. Hacktool.rootkit
      От Pararoka в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00014 seconds with 17 queries