Видимо, вирус

**voron73** · 05.08.2007, 21:39

вирус

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**voron73** · 05.08.2007, 21:52

Подозреваю Trojan-Spy:W32/Banker.CPV , т.к. служба "Generic Host Process for Win32 Services" лезет на skytrip.org

**V_Bond** · 05.08.2007, 23:07

профиксите

Код:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

выполните скрипт

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('\SystemRoot\System32\drivers\nvemu.SYS','');
  QuarantineFile('D:\WINDOWS\system32\adsldpcn.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

**voron73** · 06.08.2007, 01:53

Прислал...

**V_Bond** · 06.08.2007, 13:35

adsldpcn.exe - Backdoor.Win32.IRCBot.acx
выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('D:\WINDOWS\system32\adsldpcn.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ...

**voron73** · 06.08.2007, 18:05

Добавил новые вложения

**PavelA** · 06.08.2007, 18:23

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('msupdate');
QuarantineFile('d:\windows\system32\mssrv32.exe' ,'');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки загрузить карантин. Ссылка вверху темы.

**voron73** · 06.08.2007, 19:42

отослал...

**PavelA** · 06.08.2007, 20:04

Из-за плохой работы сайта могу только посоветовать закинуть файл из карантина на virustotal.com, а о результатах сообщить здесь.
Надеюсь, к завтрашнему вечеру работа наладится.

**voron73** · 06.08.2007, 21:06

все стихло, кроме того, что что-то лезет на 203.121.79.218

Добавлено через 14 минут

AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 HEUR/Crypted
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.06 -
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 -
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5037 2007.08.06 -
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.06 -
NOD32v2 2439 2007.08.06 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.06 Suspicious file
Prevx1 V2 2007.08.06 -
Rising 19.35.02.00 2007.08.06 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.06 -
Webwasher-Gateway 6.0.1 2007.08.06 Heuristic.Crypted

**V_Bond** · 06.08.2007, 21:16

AntiVir 7.4.0.57 2007.08.06 HEUR/Crypted
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
Panda 9.0.0.4 2007.08.06 Suspicious file
Webwasher-Gateway 6.0.1 2007.08.06 Heuristic.Crypted

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('D:\WINDOWS\system32\mssrv32.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи .....

**voron73** · 06.08.2007, 22:48

добавил...

После последней перезагрузки фаер молчит и никто никуда не лезет...
Хотя я эти 3 адреса отрубил в настройках намертво.

**voron73** · 06.08.2007, 23:21

после последней перезагрузки вроде тишина (Sygate firewall молчит).

**voron73** · 07.08.2007, 18:25

И что теперь делать? Все кончилось? Всех врагов убили?

**PavelA** · 07.08.2007, 18:45

Профиксить в HijackThis

Код:

O23 - Service: ERMLicSrv_ATL71 ERMLicSrv_ATL71ProtectedStorage 
(ERMLicSrv_ATL71ProtectedStorage) - Unknown owner - D:\WINDOWS\system32\adsldpcn.exe (file missing)

Если не получится, то в AVZ -- Сервис -- Диспетчер служб -- найти эту строчку и нажать крестик.

**voron73** · 07.08.2007, 21:25

Сделал в AVZ (в HijackThis - не получилось).
Что дальше?

**V_Bond** · 07.08.2007, 22:23

для контроля повторите лог HijackThis ....

**voron73** · 07.08.2007, 23:30

Повторил...

**drongo** · 07.08.2007, 23:42

D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe - ? похоже гадость, да ещё и сервисом весит.
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://216.32.89.203/activex/vogweb29.cab -знакомо ?

**voron73** · 08.08.2007, 00:21

Сообщение от drongo

D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe - ? похоже гадость, да ещё и сервисом весит.

это не гадость. Это для работы программы Ermapper.exe

O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://216.32.89.203/activex/vogweb29.cab -знакомо ?

Знакомо, это видимо к проге VOGclub.exe

Добавлено через 9 минут

Так оно и есть....
по-поводу D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.07 -
Authentium 4.93.8 2007.08.07 -
Avast 4.7.1029.0 2007.08.07 -
AVG 7.5.0.476 2007.08.07 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.07 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5040 2007.08.07 -
Ewido 4.0 2007.08.07 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.07 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.12 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5092 2007.08.07 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2442 2007.08.07 -
Norman 5.80.02 2007.08.07 -
Panda 9.0.0.4 2007.08.07 -
Prevx1 V2 2007.08.07 -
Rising 19.35.12.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.07 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
VirusBuster 4.3.26:9 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
-------
По поводу http://216.32.89.203/activex/vogweb29.cab
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.07 -
Authentium 4.93.8 2007.08.07 -
Avast 4.7.1029.0 2007.08.07 -
AVG 7.5.0.476 2007.08.07 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.07 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5040 2007.08.07 -
Ewido 4.0 2007.08.07 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.07 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.12 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5092 2007.08.07 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2442 2007.08.07 -
Norman 5.80.02 2007.08.07 -
Panda 9.0.0.4 2007.08.07 -
Prevx1 V2 2007.08.07 -
Rising 19.35.12.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.07 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
VirusBuster 4.3.26:9 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
--------
Не надо меня пугать!!!