Корейско-испанская зараза!

**gadgetoman** · 26.09.2007, 21:41

На работе попался компьютер, который два месяца стоял без защиты и, ественно, за это время там скопился рассадник вирусов, троянов и прочего адваре. С помощью АВГ, СпайСвиппера, БитДефендера, CureIT, и, под конец, Касперского 7 было изничтожено около 200 образцов зловредов.
Но не всех война убила, как говорится. Не могу избавиться от Trojan.Win32.Agent.bps и Trojan.Win32.BHO.gn - эту парочку никто не может истребить. Каспер (это выдает их название такое) определяет их и обещает удалить при перезагрузке, но, естственно, вирусы снова в системе. Он снова их ловит-блокирует, но не удаляет

Вирусы создают несколько DLL и SYS файлов в system32 в папке drivers:

cncfej68.sys
idgen.sys
mmdouf81.sys
vynk.sys

В программ файлз:
cpush.dll

Почему корейско-испанская зараза? Потому что информация об этих вирьях настолько свежа, что есть только на корейских и испано-язычных форумах.
Помогите, люди добрые

Пожалуйста.

P.S. Если как-то не так и что-то не то прикрепил, то уж извините, я ньюб.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 26.09.2007, 22:50

Закройте все программы.
Отключитесь от Интернета.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\3071.dll','');
 QuarantineFile('c:\windows\System32\DRIVERS\cncfej68.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\mmdouf81.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\idgen.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\vynk.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
 QuarantineFile('c:\windows\system32\07be1.exe','');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\vynk.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\idgen.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\mmdouf81.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\cncfej68.sys');
 BC_DeleteSvc('cncfej68');
 BC_DeleteSvc('idgen');
 BC_DeleteSvc('mmdouf81');
 BC_DeleteSvc('vynk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку.
Сделайте новые логи и приложите их к своей теме.

Добавлено через 5 минут

Когда будете карантин к отправке готовить, отключите антивирусЫ.
И, вообще, 2 запущенных антивируса могут конфликтовать.
Оставьте один из них.

**gadgetoman** · 27.09.2007, 15:59

Закачал вам из карантина эту заразу. Ну а как от нее избавиться в самом карантине? Просто удалить в корзину или использовать такие программы, как Eraser?

При загрузке перестал комп проиивно пищать и ругаться на левые файлы, но так и осталась проблема с открытием Браузера и обычных окон-папок - все время ругается на RUN DLL (Ошибка загрузки. Не найден указанный модуль), но все равно окна открывает. Видимо адварь какая-то в эксплорере осталась, которую блокирует касперский (раньше перебрасывала на какой-то китайский сайт).

Прикрепляю логи.

**drongo** · 27.09.2007, 16:19

Удалить все антивирусы и поставить один, я бы поставил последний каспера.Сейчас какой-то компот с нортоном, битдефендером и касперским. Так только больше глюков.Я не понимаю ,почему это до сих пор не сделано? вас же просил Andreyka .

Добавлено через 3 минуты

После :
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: SrchspHook Class - {22F86F33-9CBB-49a8-BB12-CDBE51B4C294} - C:\PROGRA~1\OCINS\srchsp.dll (file missing)
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\3071.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearquarantine;
 QuarantineFile('C:\WINDOWS\system32\3071.dll','');
 QuarantineFile('C:\WINDOWS\system32\07be1.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kguul2.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\z1bvdxeh.sys','');
 QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12772

**Bratez** · 27.09.2007, 16:37

07be1.exe - Trojan.Win32.Qhost.os
3071.dll и tcpip.sys - чистые.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('ms_2fax');
 BC_DeleteFile('c:\windows\system32\07be1.exe');
BC_Activate;
RebootWindows(true);
end.

**gadgetoman** · 27.09.2007, 21:40

Сделал все как вы сказали, спасибо. Оставил только КАВ7 и Комодо (фаерволл). К сожалению, забыл отключить антивирус, когда выполнял скрипт в ХайДжек и КАВ7 запрашивал разрешение на вполнение процессов. Я разрешал. Надеюсь, это не повлияет на результаты. Ну и интернет не отключал.

После установки Комодо он меня предупреждает:
Приложение: CNAB4RPK.EXE
прослышивание порта: 1027
Родитель spoolsv.exe

Если запретить его, то через минуту или две компьютер сам перезагружается. если разрешить, то при открытии Эксплорера опять начнется пресылка на китайский сайт.

Вот логи, карантин зазипил и тоже выслал. Выслал вначале старый архив и только потом сообразил, что его нужно высылать после делания логов. Так что смотрите второй пришедший архив.
Спасибо за помощь.

**gadgetoman** · 27.09.2007, 21:41

Ой, забыл ХайДжек
Вот.

**AndreyKa** · 27.09.2007, 22:41

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\DRIVERS\z1bvdxeh.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\kguul2.sys');
 BC_DeleteSvc('kguul2');
 BC_DeleteSvc('z1bvdxeh');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
Напишите, если останутся проблемы.

**CyberHelper** · 22.02.2009, 02:29

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 48
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\kguul2.sys - Trojan-Downloader.Win32.Hmir.ak (DrWEB: Trojan.Hmir)
2. c:\\windows\\system32\\drivers\\vynk.sys - Trojan-Downloader.Win32.Agent.dfc (DrWEB: Trojan.NtRootKit.409)
3. c:\\windows\\system32\\drivers\\z1bvdxeh.sys - Trojan-Downloader.Win32.Hmir.ak (DrWEB: Trojan.Hmir)
4. c:\\windows\\system32\\07be1.exe - Trojan.Win32.Qhost.os (DrWEB: Trojan.Snag.16)
5. c:\\windows\\system32\\3071.dll - not-a-virus:AdWare.Win32.BHO.jy (DrWEB: Trojan.Cinco)
6. \\2007-09-27\\bcqr00009.dta - Trojan-Downloader.Win32.Agent.dfc (DrWEB: Trojan.NtRootKit.409)
7. \\2007-09-27\\bcqr00010.dta - Trojan-Downloader.Win32.Agent.dfc (DrWEB: Trojan.NtRootKit.409)

Корейско-испанская зараза! (заявка № 12772)

Опции темы

Корейско-испанская зараза!

Итог лечения

Похожие темы

Зараза

Зараза

Зараза

Зараза

Ваши права в разделе