BackDoor.Bulknet и Ко - немогу добить

[wintruder]

Локальная сеть (4 ПК) подключены ч/з АДСЛ к иннету. В одно время начал пропадать иннет, большой выходной трафик забивал весь канал.
ПК вычислили, отключили от сети и начали лечение.
были обнаружены следующие вирусы:
Trojan.NtRootKit
Trojan.Inject
Trojan.DownLoader
BackDoor.Bulknet
Trojan.PWS.Lich
в разных колличествах (более подробный отчет Dr.Web CureiT могу прислать). В ходе лечения (на 16,05,0 удалось избавиться почти от всех, кроме:
apcsvra.dll - Trojan.Inject
qwc51.sys - BackDoor.Bulknet.188
tcpsr.sys - Trojan.NtRootKit.1070
сегодняшний скан CureiT-ом показал только один: vch05.sys - BackDoor.Bulknet.188 и ошибку BN3.tmp - ошибка приложения.
после каждой перезагрузки, зараженный файл востанавливается, хотя Восстановление системы отключено...
как можно добить заразу и восстановить работоспособность ПК...
Заранее всем спасибо...

[kps]

Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Vch05.sys
и если есть - скопируйте сначала с помощью Copy to.. , а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Затем выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\StartPortableApps.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('monln.dll','');
 QuarantineFile('sysfldr.dll','');
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\load.exe/r','');
 QuarantineFile('C:\WINDOWS\TEMP\load.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vch84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vch52.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vch51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vch27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oua27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oua06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Flq84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Djp05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Cin17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Agl40.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Vch05.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Vch05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Agl40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bhm27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bhn51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Cin17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Djp05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ekp38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Flq84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gmr38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lrw27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lrw63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pvc74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qwc51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxd05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxd84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ubg62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vch27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vch52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vch84.sys');
 DeleteFile('C:\WINDOWS\TEMP\load.exe/r');
 DeleteFile('C:\WINDOWS\TEMP\load.exe');
 DeleteFile('WinNt32.dll');
 DeleteFile('sysfldr.dll');
 DeleteFile('C:\WINDOWS\System32\sysfldr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Agl40');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Vch05');
BC_DeleteSvc('Flq84');
BC_DeleteSvc('Ekp38');
BC_DeleteSvc('Djp05');
BC_DeleteSvc('Vch84');
BC_DeleteSvc('Vch52');
BC_DeleteSvc('Vch51');
BC_DeleteSvc('Vch27');
BC_DeleteSvc('Ubg62');
BC_DeleteSvc('Rxd84');
BC_DeleteSvc('Rxd05');
BC_DeleteSvc('Qwc51');
BC_DeleteSvc('Pvc74');
BC_DeleteSvc('Gms63');
BC_DeleteSvc('Gmr38');
BC_DeleteSvc('Cin17');
BC_DeleteSvc('Bhn51');
BC_DeleteSvc('Bhm27');
BC_DeleteSvc('Oua27');
BC_DeleteSvc('Oua06');
BC_DeleteSvc('Nsx27');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил и скопированный файл (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23076 ).

Сделайте новые логи.
Лечить надо все компьютеры из сети. Для каждого - отдельная тема.

[wintruder]

Извиняюсь, что не ответил сразу, ПК удален и только сегодня смог к нему подобраться...
Вот результаты...
файл C:\WINDOWS\system32\Drivers\Vch05.sys найти не смог... его нету, но это еще не все. Dr.Web CureiT теперь вообще не запускается, а Аvast или COMODO никаких вирусов вообще не видят...
при этом сильно настораживает процес SPOOLS, который запускается во время каждого запуска Dr.Web CureiT/Аvast/COMODO в разных колличествах. При этом машина на долго уходит в раздумъя...
ПК отключил от сети и забрал к себе, теперь могу доделать оперативно...
заранее спасибо...

[Bratez]

1. С помощью Ice Sword, как описано выше, сделайте Force Delete для:
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Wdi63.sys

2. Пофиксите в HijackThis:

Код:

O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll

3. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\user\cftmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
 QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\system32\ftp34.dll');
 DeleteFile('C:\WINDOWS\system32\swin32.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Wdi63.sys');
 DeleteFile('C:\Documents and Settings\user\cftmon.exe');
BC_ImportALL;
 BC_DeleteSvc('apcsvra32');
 BC_DeleteSvc('Wdi63');
 BC_DeleteSvc('Schedule');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Пришлите новый карантин по правилам.

5. Сделайте новые логи.

[wintruder]

карантин отправил...
в операции 1. сделайте Force Delete для:
C:\WINDOWS\SYSTEM32\WinNt32.dll
был еще
C:\WINDOWS\SYSTEM32\WinNt32.dl_ такой же по размеру...
ему я тоже сделал Force Delete (предварительно скопировав...)
все остальное четко по пунктах...
заранее спасибо...
кстати... файлы
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\SYSTEM32\WinNt32.dl_
C:\WINDOWS\system32\Drivers\Wdi63.sys
для карантина нужны???

[Bratez]

для карантина нужны???

Да, пришлите по правилам на всякий случай.

Логи сейчас гляну...

Добавлено через 2 минуты

В логах чисто.
Какие-нибудь проблемы остались?

[wintruder]

с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
карантин отсылаю...
а можно поподробней в чем была проблема??? и какой зловред???

Добавлено через 2 минуты

с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
карантин отсылаю...
а можно поподробней в чем была проблема??? и какой зловред???
огромное спасибо за помощь...

[Bratez]

Вот такой букет:
Trojan-Dropper.Win32.Agent.rek
Trojan-Downloader.Win32.Mutant.yq
Trojan-Downloader.Win32.Small.wby
Trojan-Downloader.Win32.Small.vrw
Trojan-Downloader.Win32.BHO.gv

Добавлено через 45 секунд

Это не считая первого карантина

[wintruder]

спасибо... теперь поищу в иннете их описания... оч интересно так они попали...
а их имена в кодировке касперского???

[Гриша]

Да все по классификации ЛК

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\user\\cftmon.exe - Trojan-Downloader.Win32.Small.wby (DrWEB: BackDoor.Siggen.7)
  2. c:\\windows\\system32\\drivers\\spools.exe - Trojan-Downloader.Win32.Small.wby (DrWEB: BackDoor.Siggen.7)
  3. c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Small.vrw (DrWEB: Trojan.DownLoader.61196)
  4. c:\\windows\\system32\\swin32.dll - Trojan-Downloader.Win32.BHO.gv (DrWEB: Trojan.Siggen.41)
  5. \\wdi63sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18
  6. \\winnt32dl - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)
  7. \\winnt32dll - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)