Неизвестный вирус загружает трояны и боты

[Aleksander Golmakov]

Здраствуйте.
В систему, судя по всему, пробрался некий незамечаемый антивирусами загрузчик, который при появлении интернета загружает целую обойму вредоносов.

Замеченные проявления:

• Заражает флешки: создает файл автозапуска, делает папки системными, а рядом ярлыки на запуск вируса с именем скрытых файлов.
• Создает файлы вида "xx.exe" где x – цифра в папке system32
• в Documents and Settings/NetworkService/ раскидывает ддосеры
• в D&S/User тоже создает экзешник

Создал логи по инструкции и высылаю вам, спасибо за помошь

[Info_bot]

Уважаемый(ая) Aleksander Golmakov, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

сделайте поиск на компьютере файла -init.exe если найдёте загрузите в карантин согласно правилам.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('-init.exe','');
 QuarantineFile('C:\WINDOWS\system32\-init.exe','');
 QuarantineFile('C:\WINDOWS\system32\03.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\system32\13.exe','');
 QuarantineFile('C:\WINDOWS\system32\23.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\33.exe','');
 QuarantineFile('C:\WINDOWS\system32\50.exe','');
 QuarantineFile('C:\WINDOWS\system32\67.exe','');
 QuarantineFile('C:\WINDOWS\system32\87.exe','');
 DeleteFile('-init.exe');
 DeleteFile('C:\WINDOWS\system32\03.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\13.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\33.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\67.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте лог полного сканирования МВАМ

[Aleksander Golmakov]

Прошу прощения, что долго не отвечал, был далеко от пострадавшего компа.

Выполнил все, что вы просили.

Еще меня смущает куча файлов вида:

Код:

C:\Documents and Settings\User\Local Settings\Application Data\4132921.exe
C:\Documents and Settings\User\Local Settings\Application Data\2817718.exe
C:\Documents and Settings\User\Local Settings\Application Data\2818593.exe
C:\Documents and Settings\User\Local Settings\Application Data\2818890.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\057453.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\0715.exe
C:\Documents and Settings\User\Application Data\vpdya.exe
C:\Documents and Settings\User\Application Data\yccfj.exe
C:\Documents and Settings\User\dhdh.exe

Это только часть, там таких полно.

И есть подозрительный файл, на который ссылается ярлык из папки автозапуска:

Код:

C:\Documents and Settings\User\Local Settings\Temp\_uninst_19537355.bat

virusinfo_syscheck.zip
hijackthis.log
mbam-log-2012-01-31 (21-14-39).txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Добавлено через 9 минут

+ выполните такой скрипт

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);    
 QuarantineFile('C:\WINDOWS\notepad.exe',' '); 
 QuarantineFile('C:\Обмен\Обмен.exe',' ');          
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Удалите в MBAM всё кроме

Код:

C:\Documents and Settings\User\Мои документы\Дистрибутивы\Adobe CS5\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Дистрибутивы\Photoshop Lightroom 3.4.1\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Обмен\Обмен.exe (Trojan.Chydo) -> Действие не было предпринято.

Заново просканируйте и прикрепите новый лог сканирования MBAM.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 33
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.fgg ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.698252, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CKO [Trj] )
  2. c:\\windows\\system32\\06.exe - Backdoor.Win32.Floder.fdq ( DrWEB: Trojan.Inject.57625, BitDefender: Trojan.Generic.KDV.424693, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Flooder-HI [Trj] )
  3. c:\\windows\\system32\\23.exe - Backdoor.Win32.Floder.fgg ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.698252, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CKO [Trj] )
  4. c:\\windows\\system32\\27.exe - Backdoor.Win32.Floder.fdq ( DrWEB: Trojan.Inject.57625, BitDefender: Trojan.Generic.KDV.424693, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Flooder-HI [Trj] )
  5. c:\\windows\\system32\\33.exe - Trojan.Win32.Inject.bwnh ( DrWEB: Trojan.DownLoader5.18446, BitDefender: Trojan.Generic.KDV.437624, AVAST4: Win32:Malware-gen )
  6. c:\\windows\\system32\\50.exe - Backdoor.Win32.Floder.fbd ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6905580, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Kolab-OW [Trj] )
  7. c:\\windows\\system32\\67.exe - Backdoor.Win32.Floder.fbd ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6905580, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Kolab-OW [Trj] )
  8. c:\\windows\\system32\\87.exe - Trojan.Win32.Inject.bwnh ( DrWEB: Trojan.DownLoader5.18446, BitDefender: Trojan.Generic.KDV.437624, AVAST4: Win32:Malware-gen )