Трояны LdPinch.ynf , PWS.QQSpy, Trojan.generic

[Dmitry2]

Я поймал 2 трояна:
1 ТРОЯН) непростительно глупо открыл файл который пришел по аське (я его проверял NOD32):
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\Program Files\QIP\For My Friends.rar/For My Friends.exe

После этого у меня на моем сайте на индексную страницу добавился script. Похоже этот троян украл пароль через total commander на ftp

Обновленный KIS 7 нашел и удалил:
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP417\A0148875.exe
not-virus:Hoax.Win32.VB.x Файл: D:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP430\A0153801.exe

Drweb CUREIT в безопасном режиме нашел эти файлы зараженными Trojan.PWS.QQSpy.origin:
mtrans.exe C:\Documents and Settings\1\Рабочий стол\mtrans.exe
A0154267.exe C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP433\A0154267.exe

Он их отправил в карантин \Quarantine\ они там и лежат по сей день.

================================================== ======
2 ТРОЯН) Нашел крэк для befaster, проверил KIS 7 (все было ок) и запустил. Kis стал ругаться, первое действие я разрешил, а остальные 2 отменил.

После перезагрузки :
Только сообщение что-то типа: "Окно личные настройки . Службы services". Рабочий стол пустой, винт время от времени что-то подгружает, но в итоге все так и остается.

В безопасном режиме обнаружил этот service тут:
C:\Program Files\Services.exe
Нашел в реестре такую запись:
-------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
stubpath=C:\Program Files\Services.exe
-------------------------------------------------------------
ЗАМЕНИЛ: stubpath=%SystemRoot%\system32\services.exe
А 2 файла Services.exe и Mswinsck.ocx (они были рядом) сжал и спрятал.
В обычном режиме комп загрузился. КиСом проверил папки:
Windows, Documents and Settings, Program Files, System Volume Information, Temp

Обнаружил:
Trojan.generic Процесс: C:\Program Files\BeFaster\Crack.exe (befaster анинсталировал)
Я его удалил.

В автозагрузке было: KB_963491.exe в папке c:\windows\system32\
Похоже это тоже был вирус , но я его в этой папке не нашел, в автозагрузке я его отключил.

Самое обидное что после отключения в реестре
C:\Program Files\Services.exe, о котором я писал выше , исчезли все СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ, если открываю папку СЕТЕЫЕ ПОДКЛЮЧЕНИЯ , выводится:
"Не удается поместить список сетевых устройств компьютера в папку "сетевые подключения",проверьте что служба сетевых подключений включена и выполняется".

В обычном режиме загрузки XP, в реестре нашел еще ссылки
на C:\Program Files\Services.exe, переименовал их на C:\WINDOWS\system32\Services.exe
----------------------------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
параметр C:\Program Files\Services.exe значение Services
HKEY_USERS\S-1-5-21-4105050024-325968112-3228587436-1006\Software\Microsoft\Windows\ShellNoRoam\MUICac he
параметр C:\Program Files\Services.exe значение Services
----------------------------------------------
Сетевых подключений как не было так и нет.
Логи ниже. Заранее благодарю за помощь.

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не выключено системное восстановление.


Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
 DeleteFile('C:\WINDOWS\system32\wlinject.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Dmitry2]

Сделал первый этап как Вы написали.
После перезагрузки, комп опять перезагружается и так до бесконечности. В безопасном режиме тоже самое.

Что делать ?

[Rene-gad]

Моя ошибка... У Вас есть этот файл wlinject.exe где-нибудь? Его нужно восстановить через консоль восстановления.
Если Вы закачали карантин - я дам Вам файл.

[Dmitry2]

Честно говоря, я его не сохранял, не успел.
А по идее он же должен быть в карантине у AVZ ?
Попытаюсь его найти в папке через консоль восстановления.

[Rene-gad]

Попытаюсь его найти в папке через консоль восстановления.

Он там под комичным именем avz00001.dta. Его нужно переименовать в wlinject.exe и скопировать обратно в C:\WINDOWS\system32\wlinject.exe.
Еще раз извините

[Dmitry2]

Ну. надеюсь все закончится хорошо, без форматирования диска :-)

Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.

Я попытался через команду set снять ограничения, но он пишет, что это команда сейчас недоступна и она доступна только во время использования интегрированной надстройки анализа и настройки безопасности .

Как бы этот доступ разрешить ?

[Rene-gad]

АВЗ лучше было бы в корне сохранить.
А возможность, сделать BartPE у Вас есть? : http://nu2.nu/pebuilder/
На худой конец можно Линухом: www.knoppix.com

[Dmitry2]

Ура, у меня получилось вернуть этот файл на место .
Я тут осознал, что не отключил тогда восстановление.

Я его прочитывал вместо слова "отключить", как включить
и галку не ставил. Может из-за этого вирус остался ?

А что сейчас делать, подскажите пожалуйста ?

Могу ли я сейчас AVZ в корень положить ? Или уж не надо ?

[V_Bond]

сделайте еще раз логи ...

[Dmitry2]

Вообщем-то этим сейчас и занимался :-)

Я сделал все что просил Rene-gad , только не запускал скрипт который он мне выслал ибо из-за него виндоус перезагружался без остановки.

Ниже логи и вирус wlinject.exe

[V_Bond]

файлик чистый ....
плохого ничего не увидел ...

[Dmitry2]

В папке Quranteen был еще один файл, я его приатачил.

Подкажите, пожалуйста, а что мне сделать, чтобы Сетевое подключение стало работать ?
Я вначале первого поста описал суть вопроса.

[Dmitry2]

На данном этапе уже совсем хорошо.
Оказывается вирус отключил все службы, пришлось их все заново настраивать.

Проверил крэк файл из-за которого весь сыр быр, на сайте
http://www.virustotal.com/ru/

Из всего списка только 4 антивируса определили, что это вирус.
Ни drweb ни kis с ним не справились.

В течении недели надеюсь все проверю и можете еще раз контрольные логи вышлю . Все спасибо за помощь

[V_Bond]

файл чистый ....

[Rene-gad]

Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.

Знаете почему? В консоли восстановления допустимы только имена в формате DOS8.3 (8 символов имя+3 символа расширение), т.е. путь C:\Program Files\ должен задаваться как C:\progra~1\...

[Dmitry2]

Ок, учту.

Кстати, BartPE для меня было открытием , никогда не думал что такое возможно :-)

[Rene-gad]

Кстати, BartPE для меня было открытием , никогда не думал что такое возможно :-)

Вот видите - нет худа без добра Кроме того - в Барт можно встроить нужные плагины. Почитайте там на страничке

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены