Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Добрый день, помогите укокошить этого зверька, замучил уже.

Трафик летит, а этот гадеш и в ус не дует.

Корейт, спайбот, адавере его не видят не в сейфе, не в обычном…

Сам же веб регистрирует только при запуске сетевого подключения….

Вот для примера кусок лога

24-05-2008 18:17:59 [CL] C:\WINDOWS\System32\WinNt32.dll - инфицирован BackDoor.Bulknet.203

24-05-2008 18:17:59 [CL] C:\WINDOWS\System32\drivers\Chl83.sys - инфицирован BackDoor.Bulknet.188

24-05-2008 18:18:02 [CL] C:\WINDOWS\System32\WinNt32.dll - удален

24-05-2008 18:18:06 [CL] C:\WINDOWS\System32\drivers\Chl83.sys – удален

вот другой пример.

24-05-2008 17:59:40 [CL] C:\WINDOWS\System32\WinNt32.dll - инфицирован BackDoor.Bulknet.203

24-05-2008 17:59:40 [CL] C:\WINDOWS\System32\drivers\Oua26.sys - инфицирован BackDoor.Bulknet.188

24-05-2008 17:59:44 [CL] C:\WINDOWS\System32\WinNt32.dll - удален

24-05-2008 17:59:47 [CL] C:\WINDOWS\System32\drivers\Oua26.sys – удален

библиотека WinNt32.dll фигурирует каждый раз, остальное с рандомным именем

в хайджеке видно

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

3 скрипт авз выполнить удается только в сейфе, в обычном режиме идет перегруз.

Такчто перегружается машина при попытке запуска osam

вообщем надеюсь и жду :wub:

Link to comment
Share on other sites

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf27.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\basepnr32.dll','');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('WinCtrl32.dll');BC_ImportAll;BC_DeleteSvc('Uaf27');BC_DeleteSvc('tcpsr');BC_DeleteSvc('Pvb48');BC_DeleteSvc('lrV50');BC_DeleteSvc('Mrv61');BC_DeleteSvc('Oua26');BC_DeleteSvc('Glq50');BC_DeleteSvc('Dim04');BC_DeleteSvc('Cin38');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Затем выполните в АВЗ

function _DecHex( Dc : Integer) : String;begin Result := Copy('0123456789abcdef',Dc+1,1); end;function DecHex( Dec : Integer) : String;var Di,D1,D2 : integer;beginDi := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);end;procedure ParseString (S : TStringList; SS : String; SSS : String );var i,l : integer;begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;end;var SL,SF : TStringList; SS, SSS : String; i : integer;beginSS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');ParseString (SL,SS,' ');for i := 0 to SL.Count - 1 do Begin  SS := SL[i];  If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end;end;SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false);end;SL.Free; SF.Free;End.

компьютер перезагрузится.

После этого

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. с указанием ссылку на тему в письме

Повторите логи снова.

Link to comment
Share on other sites

все сделал, толку 0..трафик идет....спайдер гард орет на

C:\WINDOWS\System32\WinNt32.dll

в хайджеке все так же висит

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

3 скрипт авз все так же выполнить удается только в сейфе, в обычном режиме идет перегруз.

вот новые логи

Прислать карантин

он пустой

Link to comment
Share on other sites

Одного загрузика всё же прибили.

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\WinCtrl32.dll, C:\WINDOWS\System32\drivers\tcpsr.sys, C:\WINDOWS\System32\WinNt32.dll.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Затем

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\System32\WinNt32.dll');DeleteFile('WinCtrl32.dll');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Chl83.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_ImportDeletedList;BC_DeleteSvc('tcpsr');BC_DeleteSvc('Uaf27');BC_DeleteSvc('Pvb48');BC_DeleteSvc('lrV50');BC_DeleteSvc('Mrv61');BC_DeleteSvc('Oua26');BC_DeleteSvc('Glq50');BC_DeleteSvc('Chl83');BC_DeleteSvc('Cin38');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

Link to comment
Share on other sites

и так, снёс только C:\WINDOWS\System32\WinNt32.dll

двух других не видно :nerd:

др веб перестал орать, картинка в cports улучшилась, но все равно есть левые сессии...

3й скрипт авз опять таки не выполняется в нормальном режиме.

в хайджеке все также сидит

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Link to comment
Share on other sites

Скрипт выполните в безопасном режиме...не даром самый живучий зверек :nerd:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Uaf27', 4);DeleteService('Uaf27');SetServiceStart('tcpsr', 4);DeleteService('tcpsr');SetServiceStart('Sye51', 4);DeleteService('Sye51');SetServiceStart('Qvb15', 4);DeleteService('Qvb15');SetServiceStart('Pvb48', 4);DeleteService('Pvb48');SetServiceStart('Oua26', 4);DeleteService('Oua26');SetServiceStart('Mrv61', 4);DeleteService('Mrv61');SetServiceStart('lrV50', 4);DeleteService('lrV50');SetServiceStart('Glq50', 4);DeleteService('Glq50');SetServiceStart('Dim04', 4);DeleteService('Dim04');SetServiceStart('Cin38', 4);DeleteService('Cin38');SetServiceStart('Chl83', 4);DeleteService('Chl83');SetServiceStart('qyqpuifvhuqsx', 4);DeleteService('qyqpuifvhuqsx');QuarantineFile('qyqpuifvhuqsx.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\zamoxivel.sys','');DeleteFile('C:\WINDOWS\system32\drivers\zamoxivel.sys');DeleteFile('qyqpuifvhuqsx.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Chl83.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Cin38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dim04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Glq50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\lrV50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mrv61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oua26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pvb48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qvb15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uaf27.sys');DelAutorunByFileName('WinCtrl32.dll');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Логи повторите

Edited by akoK
Link to comment
Share on other sites

Оставшаяся немного польнее, поэтому смысла в предыдущей не было. Если не выполняли ещё рекомендации akoK, тогда выполните.

Edited by wise-wistful
Link to comment
Share on other sites

Врагов в логах не наблюдается. Теперь остаётся подождать сообщения akoK по поводу карантина, кто туда из врагов попал, если захотел конечно.

Link to comment
Share on other sites

В карантин попался

C:\WINDOWS\system32\drivers\zamoxivel.sys который по версии www.virustotal.com есть

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.22.1 2008.05.23 -

AntiVir 7.8.0.19 2008.05.24 -

Authentium 5.1.0.4 2008.05.23 -

Avast 4.8.1195.0 2008.05.24 Win32:Rootkit-gen

AVG 7.5.0.516 2008.05.24 -

BitDefender 7.2 2008.05.24 -

CAT-QuickHeal 9.50 2008.05.24 -

ClamAV 0.92.1 2008.05.24 -

DrWeb 4.44.0.09170 2008.05.24 -

eSafe 7.0.15.0 2008.05.22 -

eTrust-Vet 31.4.5817 2008.05.23 -

Ewido 4.0 2008.05.24 -

F-Prot 4.4.4.56 2008.05.23 -

F-Secure 6.70.13260.0 2008.05.23 -

Fortinet 3.14.0.0 2008.05.24 -

GData 2.0.7306.1023 2008.05.23 Win32:Rootkit-gen

Ikarus T3.1.1.26.0 2008.05.24 Virus.Win32.Rootkit

Kaspersky 7.0.0.125 2008.05.24 -

McAfee 5302 2008.05.23 -

Microsoft 1.3520 2008.05.24 -

NOD32v2 3128 2008.05.23 -

Norman 5.80.02 2008.05.23 -

Panda 9.0.0.4 2008.05.24 -

Prevx1 V2 2008.05.24 -

Rising 20.45.42.00 2008.05.23 -

Sophos 4.29.0 2008.05.24 -

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.24 -

TheHacker 6.2.92.318 2008.05.23 -

VBA32 3.12.6.6 2008.05.24 -

VirusBuster 4.3.26:9 2008.05.24 -

Webwasher-Gateway 6.6.2 2008.05.24 -

Дополнительная информация

File size: 26814 bytes

MD5...: 39ce59c86c5ab03f80e5359934f3fccc

SHA1..: 9b0651c86107fc37cca7433a0be22211dd75b16d

SHA256: c7620b01931e7567eb2c735358044af8626026c7aa9d6faa1f3111eddec2f320

SHA512: 2005d3a424fb5d2dc39877293951dac06524d010c28e35b2c6b2972ab7bb3ce6<BR>7dc115113d7c21135a7a588ca18994468bfacb14fdf10919b687ad09878ac7ce

PEiD..: -

PEInfo: -

Link to comment
Share on other sites

В карантин попался

C:\WINDOWS\system32\drivers\zamoxivel.sys который по версии www.virustotal.com есть

сурьезный товарищ, и главное определяется антивирусами хорошо :g:

Link to comment
Share on other sites

  • 2 weeks later...

Не могу справиться с этим вирусом WinNt32.dll. Все сделал как тут написано, но после каждой перезагрузки он появляется снова. Помогите, пож-ста

Link to comment
Share on other sites

Diman22: нужно открыть отдельную тему, с описанием своей проблемы и выложите логи как написано в правилах подраздела. Выполнять скрипты написаные для других КАТЕГОРИЧЕСКИ запрещено.

Спасибо за понимание.

Edited by wise-wistful
Link to comment
Share on other sites

  • 2 months later...

Тоже столкнулся с данной проблемой! Делал перечисленные рекомендации, не помогало. Я, конечно, понимаю, что выполнял скрипты явно адресованные не мне, но все же проблема была очень схожа. Все делал в безопасном режиме. Сам совсем не разбираюсь в лечении вирусов, но что мне помогло. Я взял и откатил систему на контрольную точку восстановления предшествующая дате заражения. в hijackthis перестала появляться строка: O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll. Может кому то тоже поможет данный прием:blush2:

P.S. До этого приема сначала при помощи IceSword122en удалил winctrl32.dll и еще какой-то, не помню, но очень схожий по названию с winctrl32.dll файл имеющий расширение dll. После перезагрузки произвел откат системы. Но я думаю что не в этом дело:doh:

Link to comment
Share on other sites

Atmosphere: создайте новую тему и подготовьте логи.

Я, конечно, понимаю, что выполнял скрипты явно адресованные не мне, но все же проблема была очень схожа.

Да, скрипты пишутся под каждую машину, индивидуально.....выполнение чужих скриптов опасно....полной смерьтью системы.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...