Вирусный трафик

[lamauser]

Добрый день, помогите укокошить этого зверька, замучил уже.

Трафик летит, а этот гадеш и в ус не дует.

Корейт, спайбот, адавере его не видят не в сейфе, не в обычном…

Сам же веб регистрирует только при запуске сетевого подключения….

Вот для примера кусок лога

24-05-2008 18:17:59 [CL] C:\WINDOWS\System32\WinNt32.dll - инфицирован BackDoor.Bulknet.203

24-05-2008 18:17:59 [CL] C:\WINDOWS\System32\drivers\Chl83.sys - инфицирован BackDoor.Bulknet.188

24-05-2008 18:18:02 [CL] C:\WINDOWS\System32\WinNt32.dll - удален

24-05-2008 18:18:06 [CL] C:\WINDOWS\System32\drivers\Chl83.sys – удален

вот другой пример.

24-05-2008 17:59:40 [CL] C:\WINDOWS\System32\WinNt32.dll - инфицирован BackDoor.Bulknet.203

24-05-2008 17:59:40 [CL] C:\WINDOWS\System32\drivers\Oua26.sys - инфицирован BackDoor.Bulknet.188

24-05-2008 17:59:44 [CL] C:\WINDOWS\System32\WinNt32.dll - удален

24-05-2008 17:59:47 [CL] C:\WINDOWS\System32\drivers\Oua26.sys – удален

библиотека WinNt32.dll фигурирует каждый раз, остальное с рандомным именем

в хайджеке видно

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

3 скрипт авз выполнить удается только в сейфе, в обычном режиме идет перегруз.

Такчто перегружается машина при попытке запуска osam

вообщем надеюсь и жду

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf27.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\basepnr32.dll','');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('WinCtrl32.dll');BC_ImportAll;BC_DeleteSvc('Uaf27');BC_DeleteSvc('tcpsr');BC_DeleteSvc('Pvb48');BC_DeleteSvc('lrV50');BC_DeleteSvc('Mrv61');BC_DeleteSvc('Oua26');BC_DeleteSvc('Glq50');BC_DeleteSvc('Dim04');BC_DeleteSvc('Cin38');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Затем выполните в АВЗ

function _DecHex( Dc : Integer) : String;begin Result := Copy('0123456789abcdef',Dc+1,1); end;function DecHex( Dec : Integer) : String;var Di,D1,D2 : integer;beginDi := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);end;procedure ParseString (S : TStringList; SS : String; SSS : String );var i,l : integer;begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;end;var SL,SF : TStringList; SS, SSS : String; i : integer;beginSS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');ParseString (SL,SS,' ');for i := 0 to SL.Count - 1 do Begin  SS := SL[i];  If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end;end;SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false);end;SL.Free; SF.Free;End.

компьютер перезагрузится.

После этого

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. с указанием ссылку на тему в письме

Повторите логи снова.

[lamauser]

спасибо, думаю минут через 30 будут новые логи

[lamauser]

все сделал, толку 0..трафик идет....спайдер гард орет на

C:\WINDOWS\System32\WinNt32.dll

в хайджеке все так же висит

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

3 скрипт авз все так же выполнить удается только в сейфе, в обычном режиме идет перегруз.

вот новые логи

Прислать карантин

он пустой

[ТроПа]

Одного загрузика всё же прибили.

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\WinCtrl32.dll, C:\WINDOWS\System32\drivers\tcpsr.sys, C:\WINDOWS\System32\WinNt32.dll.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Затем

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\System32\WinNt32.dll');DeleteFile('WinCtrl32.dll');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Chl83.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_ImportDeletedList;BC_DeleteSvc('tcpsr');BC_DeleteSvc('Uaf27');BC_DeleteSvc('Pvb48');BC_DeleteSvc('lrV50');BC_DeleteSvc('Mrv61');BC_DeleteSvc('Oua26');BC_DeleteSvc('Glq50');BC_DeleteSvc('Chl83');BC_DeleteSvc('Cin38');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

[lamauser]

и так, снёс только C:\WINDOWS\System32\WinNt32.dll

двух других не видно :nerd:

др веб перестал орать, картинка в cports улучшилась, но все равно есть левые сессии...

3й скрипт авз опять таки не выполняется в нормальном режиме.

в хайджеке все также сидит

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

[akoK]

Скрипт выполните в безопасном режиме...не даром самый живучий зверек :nerd:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Uaf27', 4);DeleteService('Uaf27');SetServiceStart('tcpsr', 4);DeleteService('tcpsr');SetServiceStart('Sye51', 4);DeleteService('Sye51');SetServiceStart('Qvb15', 4);DeleteService('Qvb15');SetServiceStart('Pvb48', 4);DeleteService('Pvb48');SetServiceStart('Oua26', 4);DeleteService('Oua26');SetServiceStart('Mrv61', 4);DeleteService('Mrv61');SetServiceStart('lrV50', 4);DeleteService('lrV50');SetServiceStart('Glq50', 4);DeleteService('Glq50');SetServiceStart('Dim04', 4);DeleteService('Dim04');SetServiceStart('Cin38', 4);DeleteService('Cin38');SetServiceStart('Chl83', 4);DeleteService('Chl83');SetServiceStart('qyqpuifvhuqsx', 4);DeleteService('qyqpuifvhuqsx');QuarantineFile('qyqpuifvhuqsx.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\zamoxivel.sys','');DeleteFile('C:\WINDOWS\system32\drivers\zamoxivel.sys');DeleteFile('qyqpuifvhuqsx.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Chl83.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qvb15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DelAutorunByFileName('WinCtrl32.dll');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Логи повторите

Изменено 24 мая, 2008 пользователем akoK

[lamauser]

мне кажется, или одну инструкцию удалили?)

[ТроПа]

Оставшаяся немного польнее, поэтому смысла в предыдущей не было. Если не выполняли ещё рекомендации akoK, тогда выполните.

Изменено 24 мая, 2008 пользователем wise-wistful

[lamauser]

выполнил рекомендации akoK

карантин ушел, и он даже не пустой :nerd:

сейчас будут логи

[lamauser]

вроде чистенько :nerd:

[ТроПа]

Врагов в логах не наблюдается. Теперь остаётся подождать сообщения akoK по поводу карантина, кто туда из врагов попал, если захотел конечно.

[akoK]

В карантин попался

C:\WINDOWS\system32\drivers\zamoxivel.sys который по версии www.virustotal.com есть

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.22.1 2008.05.23 -

AntiVir 7.8.0.19 2008.05.24 -

Authentium 5.1.0.4 2008.05.23 -

Avast 4.8.1195.0 2008.05.24 Win32:Rootkit-gen

AVG 7.5.0.516 2008.05.24 -

BitDefender 7.2 2008.05.24 -

CAT-QuickHeal 9.50 2008.05.24 -

ClamAV 0.92.1 2008.05.24 -

DrWeb 4.44.0.09170 2008.05.24 -

eSafe 7.0.15.0 2008.05.22 -

eTrust-Vet 31.4.5817 2008.05.23 -

Ewido 4.0 2008.05.24 -

F-Prot 4.4.4.56 2008.05.23 -

F-Secure 6.70.13260.0 2008.05.23 -

Fortinet 3.14.0.0 2008.05.24 -

GData 2.0.7306.1023 2008.05.23 Win32:Rootkit-gen

Ikarus T3.1.1.26.0 2008.05.24 Virus.Win32.Rootkit

Kaspersky 7.0.0.125 2008.05.24 -

McAfee 5302 2008.05.23 -

Microsoft 1.3520 2008.05.24 -

NOD32v2 3128 2008.05.23 -

Norman 5.80.02 2008.05.23 -

Panda 9.0.0.4 2008.05.24 -

Prevx1 V2 2008.05.24 -

Rising 20.45.42.00 2008.05.23 -

Sophos 4.29.0 2008.05.24 -

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.24 -

TheHacker 6.2.92.318 2008.05.23 -

VBA32 3.12.6.6 2008.05.24 -

VirusBuster 4.3.26:9 2008.05.24 -

Webwasher-Gateway 6.6.2 2008.05.24 -

Дополнительная информация

File size: 26814 bytes

MD5...: 39ce59c86c5ab03f80e5359934f3fccc

SHA1..: 9b0651c86107fc37cca7433a0be22211dd75b16d

SHA256: c7620b01931e7567eb2c735358044af8626026c7aa9d6faa1f3111eddec2f320

SHA512: 2005d3a424fb5d2dc39877293951dac06524d010c28e35b2c6b2972ab7bb3ce6<BR>7dc115113d7c21135a7a588ca18994468bfacb14fdf10919b687ad09878ac7ce

PEiD..: -

PEInfo: -

[lamauser]

В карантин попался

C:\WINDOWS\system32\drivers\zamoxivel.sys который по версии www.virustotal.com есть

сурьезный товарищ, и главное определяется антивирусами хорошо :g:

[Diman22]

Не могу справиться с этим вирусом WinNt32.dll. Все сделал как тут написано, но после каждой перезагрузки он появляется снова. Помогите, пож-ста

[ТроПа]

Diman22: нужно открыть отдельную тему, с описанием своей проблемы и выложите логи как написано в правилах подраздела. Выполнять скрипты написаные для других КАТЕГОРИЧЕСКИ запрещено.

Спасибо за понимание.

Изменено 6 июня, 2008 пользователем wise-wistful

[Atmosphere]

Тоже столкнулся с данной проблемой! Делал перечисленные рекомендации, не помогало. Я, конечно, понимаю, что выполнял скрипты явно адресованные не мне, но все же проблема была очень схожа. Все делал в безопасном режиме. Сам совсем не разбираюсь в лечении вирусов, но что мне помогло. Я взял и откатил систему на контрольную точку восстановления предшествующая дате заражения. в hijackthis перестала появляться строка: O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll. Может кому то тоже поможет данный прием:blush2:

P.S. До этого приема сначала при помощи IceSword122en удалил winctrl32.dll и еще какой-то, не помню, но очень схожий по названию с winctrl32.dll файл имеющий расширение dll. После перезагрузки произвел откат системы. Но я думаю что не в этом дело:doh:

[akoK]

Atmosphere: создайте новую тему и подготовьте логи.

Я, конечно, понимаю, что выполнял скрипты явно адресованные не мне, но все же проблема была очень схожа.

Да, скрипты пишутся под каждую машину, индивидуально.....выполнение чужих скриптов опасно....полной смерьтью системы.