Backdoor.Win32.KeyStart.bz и другие

[efimov.sergey]

Насколько я понял, достаточно отчета Kaspersky Tool (могу добавить и отчеты AVZ).

Симптомы: спам рассылка через порт 25. Не запускается regedit (доступ к реестру есть через сторонние утилиты). Устанавливаются, но не запускаются антивирусы (Касперский, НОД).

То, что нашел касперский:

Заражен: троянская программа Packed.JS.Agent.ab c:\documents and settings\leila\local settings\temporary internet files\content.ie5\epjktobm\index[7].htm 36,2 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\documents and settings\leila\local settings\temporary internet files\content.ie5\re0i9cet\731l3[1].exe 71 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc122.tmp 71 КБ
Заражен: троянская программа Packed.JS.Agent.ab c:\documents and settings\leila\local settings\temporary internet files\content.ie5\1tkgp94v\index[1].htm 36,2 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc120.tmp 71 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\windows\temp\d476.tmp 71 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\documents and settings\leila\local settings\temporary internet files\content.ie5\vvtjnxsk\731l3[1].exe 71 КБ
Заражен: троянская программа Trojan-Dropper.Win32.Agent.akhm c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc245.exe 26,5 КБ
Заражен: троянская программа Trojan-Dropper.Win32.Agent.akhm c:\documents and settings\leila\local settings\temporary internet files\content.ie5\1tkgp94v\load[1].exe 26,5 КБ
Заражен: троянская программа Trojan-Dropper.Win32.Agent.akhm c:\documents and settings\leila\local settings\temporary internet files\content.ie5\re0i9cet\load[1].exe 26,5 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc121.tmp 71 КБ
Заражен: троянская программа Trojan.Win32.Inject.qxy c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc109.exe 81,5 КБ
Заражен: троянская программа Trojan-Dropper.Win32.Agent.akhm c:\documents and settings\leila\file.exe 26,5 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\documents and settings\leila\local settings\temporary internet files\content.ie5\re0i9cet\731l3[2].exe 71 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\documents and settings\leila\local settings\temporary internet files\content.ie5\vvtjnxsk\731l3[2].exe 71 КБ
Заражен: троянская программа Trojan.Win32.Inject.qxy c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc110.exe 81,5 КБ
Заражен: троянская программа Backdoor.Win32.KeyStart.bz c:\recycler\s-1-5-21-725345543-813497703-682003330-1004\dc119.tmp 71 КБ

Замечен подозрительный файл init.exe в папке %TEMP%, не удаляется (в том числе через скрипт отчета). Он же прописался в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.ex e,"

Спасибо за помощь.

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
 QuarantineFile('c:\windows\temp\5e52.tmp','');
 QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
 QuarantineFile('C:\DOCUME~1\leila\LOCALS~1\Temp\init.exe','');
 DeleteFile('C:\DOCUME~1\leila\LOCALS~1\Temp\init.exe');
 DeleteFile('C:\WINDOWS\system32\crypts.dll');
 DeleteFile('c:\windows\temp\5e52.tmp');
 DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=42466).

Очистите корзину, временные файлы IE и temp-папки.

Сделайте логи AVZ и HijackThis, как описано в разделе "Диагностика" правил.

[efimov.sergey]

Карантин загрузил.
Логи прикрепил.

Снйчас реестр незапускается, антивирусы тоже.

[efimov.sergey]

Также наблюдается похожая ситуация, как в http://virusinfo.info/showthread.php...421#post377421
Программы не запускаются, была ошибка с digeste.dll (решил с ним через отключение в автозагрузке).
Из видимых проблем только невозможность запускать некоторые программы (реестр, NOD).
Нужна помощь...

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\\Windows\\system32\\userinit.exe,
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\1042g.exe','');
 DeleteFile('C:\WINDOWS\system32\1042g.exe');
 DeleteFile('crypts.dll');
 DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('srserviceClipSrv');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[efimov.sergey]

Все, что написали, сделал. По внешним признакам все в норме.
Спасибо большое, сам не справился бы (смог найти только crypts.dll и digeste.dll, включая их записи в реестре).
Карантин отправил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\docume~1\leila\locals~1\temp\init.exe - Email-Worm.Win32.Joleee.jx ( BitDefender: Trojan.Waledac.Gen.1 )
  2. c:\windows\system32\crypts.dll - Trojan-Downloader.Win32.Small.jls ( DrWEB: Trojan.DownLoad.32163 )
  3. c:\windows\system32\digeste.dll - Backdoor.Win32.Zdoogu.bh
  4. c:\windows\system32\1042g.exe - Email-Worm.Win32.Iksmas.akl ( BitDefender: Trojan.Waledac.Gen.1 )
  5. c:\windows\temp\5e52.tmp - Backdoor.Win32.KeyStart.bz ( DrWEB: Trojan.DownLoad.31797, BitDefender: Trojan.Generic.1545891 )