непонятный Троян на SBS Win2003, файлы E001, j001

[Slavyan]

SBS Win2003 сервер, AD,DC,Isa,Exchange в процессах появляются приложения e001 J002 и прочие, в сервисах появилась куча непонятных служб, в сэйв моде не грузится , уходит на перезагрузку. Антивир -Симантек Сервер. Что сделал удалил из windows\system32\ много папок со странными названиями и фалами e001.exe и j002.exe, отключил все службы с кривыми названиями, пытался запустить Cure IT, и AVP - не запускается, для Web просто подвисает, для AVP тоже ругается и не дает запустить.
При загрузке не запускается служба BITS - фоновая интеллектуальная служба. По симптомам очень похоже на вот это http://virusinfo.info/showthread.php?t=58036

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('acpi24Drv', 4);
 DeleteService('acpi24Drv');
 QuarantineFile('C:\WINDOWS\system32\s.exe','');
 DeleteService('sdewe DDOS Service');
 QuarantineFile('C:\WINDOWS\system32\YLG9TANBNW\J002.exe','');
 DeleteService('nhf');
 QuarantineFile('C:\WINDOWS\Atic.exe','');
 QuarantineFile('C:\WINDOWS\Ati2ezz.exe','');
 DeleteService('Ati2ezz');
 DeleteService('Atic');
 QuarantineFile('C:\WINDOWS\system32\iSql\E001.exe','');
 DeleteService('bd');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
 QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
 DeleteFile('C:\WINDOWS\system32\acpi24.sys');
 DeleteFile('C:\WINDOWS\system32\iSql\E001.exe');
 DeleteFile('C:\WINDOWS\Ati2ezz.exe');
 DeleteFile('C:\WINDOWS\Atic.exe');
 DeleteFile('C:\WINDOWS\system32\YLG9TANBNW\J002.exe');
 DeleteFile('C:\WINDOWS\system32\s.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Slavyan]

Сделал, карантин тоже отправил.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
DeleteFile('C:\WINDOWS\system32\acpi24.dll');
 DeleteService('ndg');
 QuarantineFile('C:\WINDOWS\system32\dvmk.exe','');
 QuarantineFile('C:\WINDOWS\system32\I2RP4CVI24\J002.exe','');
 DeleteService('gsrg');
 QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
 DeleteService('acpi24');
 DeleteFile('C:\WINDOWS\system32\acpi24.exe');
 DeleteFile('C:\WINDOWS\system32\I2RP4CVI24\J002.exe');
 DeleteFile('C:\WINDOWS\system32\dvmk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Slavyan]

Спасибо , что быстро реагируете, файлы приложу чуть позже. Забыл обозначить еще проблемы , может быть будут полезны. В диспетчере устройств все чисто,нет ни одной записи, также чисто и в сетевых подключениях. Хотя сеть работает.

[Slavyan]

Здравствуйте, продолжаю выкладывать. Карантин отправил.

[Slavyan]

Есть новости, запустился AVP, нашел Trojan.downloader - в \windows\system32\userrunsrv.dll, удалил его , сервер перегрузил.

[thyrex]

Что сейчас с проблемой?

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\system32\yxxst.dll','');
 QuarantineFile('C:\WINDOWS\system32\ywkvu.dll','');
 QuarantineFile('C:\WINDOWS\system32\yutqq.dll','');
 QuarantineFile('C:\WINDOWS\system32\yuprb.dll','');
 QuarantineFile('C:\WINDOWS\system32\yuccg.dll','');
 QuarantineFile('C:\WINDOWS\system32\ypwby.dll','');
 QuarantineFile('C:\WINDOWS\system32\yjpen.dll','');
 QuarantineFile('C:\WINDOWS\system32\yglun.dll','');
 QuarantineFile('C:\WINDOWS\system32\ydlji.dll','');
 QuarantineFile('C:\WINDOWS\system32\xyqay.dll','');
 QuarantineFile('C:\WINDOWS\system32\xymtr.dll','');
 QuarantineFile('C:\WINDOWS\system32\xwdcc.dll','');
 QuarantineFile('C:\WINDOWS\system32\xvamu.dll','');
 QuarantineFile('C:\WINDOWS\system32\xouoq.dll','');
 QuarantineFile('C:\WINDOWS\system32\xlrjr.dll','');
 QuarantineFile('C:\WINDOWS\system32\xloxo.dll','');
 QuarantineFile('C:\WINDOWS\system32\xjnvb.dll','');
 QuarantineFile('C:\WINDOWS\system32\xikbt.dll','');
 QuarantineFile('C:\WINDOWS\system32\xenob.dll','');
 QuarantineFile('C:\WINDOWS\system32\xefoa.dll','');
 QuarantineFile('C:\WINDOWS\system32\wyqjd.dll','');
 QuarantineFile('C:\WINDOWS\system32\wxura.dll','');
 QuarantineFile('C:\WINDOWS\system32\wovcw.dll','');
 QuarantineFile('C:\WINDOWS\system32\wnqho.dll','');
 QuarantineFile('C:\WINDOWS\system32\wleqj.dll','');
 QuarantineFile('C:\WINDOWS\system32\wcogy.dll','');
 QuarantineFile('C:\WINDOWS\system32\vuahq.dll','');
 QuarantineFile('C:\WINDOWS\system32\vlrxr.dll','');
 QuarantineFile('C:\WINDOWS\system32\vieoa.dll','');
 QuarantineFile('C:\WINDOWS\system32\vhass.dll','');
 QuarantineFile('C:\WINDOWS\system32\vbhwn.dll','');
 QuarantineFile('C:\WINDOWS\system32\uyjqt.bmp','');
 QuarantineFile('C:\WINDOWS\system32\uxgdy.dll','');
 QuarantineFile('C:\WINDOWS\system32\utahy.dll','');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Slavyan]

Сделал, карантин отправил. По-проблемам: при старте сервера служба BITS не запускается, в диспетчере устройств и в сетевых подключениях пусто. Сервер работает стабильнее намного, сетевые диски не отваливаются. Хоть как-то можно жить. В ISе открыл только 80 порт, пока не видно стартующих процессов E001 и прочих, как было раньше. т.е доступ в интернет есть.

[thyrex]

C:\WINDOWS\system32\DWEWEServer.dll - новый зловред Rootkit.Win32.TDSS.qtu

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\WINDOWS\system32\DWEWEServer.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверьте, что восстановление системы у Вас включено и пробуйте сделать лог gmer

[Slavyan]

Скрипт выполнил, Гмер не может выполнить до конца скан, подвисает намертво . Или подвисает или вообще пропадает.

[thyrex]

Защитное ПО отключаете? Если не помогает, попробуйте сделать лог в безопасном режиме

[thyrex]

Дополнительно проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926

[Slavyan]

TDSSkiller, ничего не нашел, прикладываю ЛОГ Гмера

[thyrex]

В логе чисто. Подозрение на руткит ложное

Что с проблемой на данный момент?

[Slavyan]

Проблема такая, при перезагрузке не запускается служба BITS и вручную тоже не стартует, в сетевых подключениях чисто, в диспетчере устройств тоже чисто. В остальном все более менее стабильно. Осталось много мусора в службах.

[Slavyan]

Службу BITS запустил, остались 2 проблемки, пустые диспетчер устройств и сетевые подrлючения

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 42
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\acpi24.dll - Trojan-Downloader.Win32.Agent.cyhc ( BitDefender: Trojan.Generic.2943212 )
  2. c:\windows\system32\acpi24.exe - Trojan.Win32.Mepaow.keh ( DrWEB: DDoS.5665, BitDefender: Trojan.Generic.2898041, AVAST4: Win32:Malware-gen )
  3. c:\windows\system32\dweweserver.dll - Rootkit.Win32.TDSS.qtu ( DrWEB: Trojan.DownLoad.49092, BitDefender: Trojan.Generic.2932653, AVAST4: Win32:Malware-gen )
  4. c:\windows\system32\uyjqt.bmp - Trojan-PSW.Win32.Bjlog.dwm ( DrWEB: Trojan.Siggen.39568, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !