Backdoor.Win32.Agent.ahqw

**grass_snake2** · 18.06.2009, 08:37

Одноранговая локальная сеть с линейкой Винды от 98.
Заражены почти все компы начиная от Win 2000.
Вирусняк КАВ7 определяется как Backdoor.Win32.Agent.ahqw,
NOD32 и NOD4 - как WIN32/injector.QA
Симптомы:
в "C:\Documents and Settings\<имя пользователя>\Local Settings\Temporary Internet Files\Content.IE5\<хэш>\x[1].exe"
в system32 появляются <nn>.scr (nn = цифры)
Сетка "забита" широковещательными сообщениями, часто выпадают ошибки "Generic Host Process for Win32 Servicess".
Антивири с последними базами, AVZ молчит. HijackThis на загрузках ничего критичного не нашел.
Выловлено тело вируса, есть в запароленном архиве.
Описание вируса не нашел, есть подозрение на внедрение своей библиотеки в svchost или в services.
В диспетчере лишних процессов нет, службы в порядке, подозрительных драйверов в скрытых устройствах не обнаружено.
Какие логи мне выложить?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 18.06.2009, 08:46

Те, которые указаны в правилах.

похоже, что распространяется оно через уязвимости.
Т.е. для лечения надо отключать машины от сети, а подключать только тогда, когда все будут пролечены...

**grass_snake2** · 18.06.2009, 10:11

Скачаны
KAV Removal Tool
avz4
HiJackThis
Отключил восстановление
KAV проверил систему при физическом отключении от сети в Safe Mode – нет вирусов
Прогнал avz4 скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
Прогнал "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"

**логи удалил

**Rene-gad** · 18.06.2009, 10:14

Логи в Safe Mode не пойдут. Переделать в нормальном режиме, предварительно отключить/выгрузить все защитные аппликации, запустить ИЕ.

**grass_snake2** · 18.06.2009, 10:34

Поправил.

**Rene-gad** · 18.06.2009, 10:40

- Выполните скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS','');
end.

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**grass_snake2** · 18.06.2009, 10:48

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
Карантин с использованием прямого чтения - ошибка

**Rene-gad** · 18.06.2009, 10:59

Плиз, найдите файл, скопируйте его на рабочий стол, переименуйте в

Код:

SophosMEMSWEEP.SYS_

запакуйте в ZIP-архив с паролем virus и закачайте тут по правилам. Имя архива - только цифры или латинские буквы.

**grass_snake2** · 18.06.2009, 11:01

Поиск в FAR по диску C: файл не найден

**Rene-gad** · 18.06.2009, 11:07

- Выполните скрипт

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

**grass_snake2** · 18.06.2009, 11:40

В процессе проверки скриптом NOD ругался на avz-овские tmp. В 2-х случаях - на RAdmin, третий раз - на Win32/HackTool.Patcher.A

**Rene-gad** · 18.06.2009, 12:06

Сообщение от grass_snake2

В процессе проверки скриптом NOD ругался на avz-овские tmp.

Антивирус отключать надо - в правилах же написано. И АВГ Антируткит тоже. И Файрвол, если есть.
Вы от Sophos что-нибудь ставили? Или в АВГ Антирукит есть компонента от Sophos?

**grass_snake2** · 18.06.2009, 12:33

Отключил файрвол и NOD, антируткиты снес.

**Rene-gad** · 18.06.2009, 12:44

Но очень хочется на файлик взглянуть.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('MEMSWEEP2');
 QuarantineFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS','');
 DeleteFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS');
 DeleteService('MEMSWEEP2');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MEMSWEEP2');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин - если что поадет - по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите логи.

**grass_snake2** · 18.06.2009, 13:57

Карантин выслал, при попытке отключить AMON НОДа система виснет вглухую..

Отключил НОД как сервис, вот логи.

**Wild Spirit** · 18.06.2009, 18:16

Сделайте лог GMER.

**grass_snake2** · 19.06.2009, 08:02

Сделал скан всех дисков

Лаборатория Касперского в ответ на запрос обнародовать описание действия вируса выслала рекомендацию "обновить базы - вирус известен".. Известен-то известен, только с последними базами он как раз и "цапанулся"

Проведен опыт с офф-лайн лечением машины. Вирус был удален и за 3 часа активности не проявлял. При подключении в сетку - опять подцепился. Файрвол не спасает - вирус его автоматом переводит в "обучающийся режим" и разрешает себе проход.
Вылавливаются ошибки от svchost с руганью, что "память не может быть read" и ошибки services. На сайт Касперского не пускает (в hosts - только 127.0.0.1).

Так понимаю, что предложений по лечению нет

Гугл по названию вируса начал выдавать какие-то ссылки (что уже радует), может повезет на англоязычных форумах.