Вирус, рассылающий ссылки через скайп [Trojan-Dropper.Win32.Dorifel.yom, Trojan.Win32.Jorik.IRCbot.wla ]

[Nadya Krasineva]

Мамин комп поймал вирус, рассылающий ссылку с текстом "Посмотри на эту картинку ..." через скайп. При этом на диске C в папке "Documents and Settings" мелькает иконка горного пейзажа, имя файла "ffonzlya". Скачала и пролечила утилитой DrWeb, спам через скайп рассылаться перестал, но скайп при включении запрашивал файлы, удаленные при лечении и не запускался, приходилось в настройках удалять запрос и перезапускать скайп.

После выполнения исследования системы скайп запрашивать удаленное перестал, но файл в "Documents and Settings" продолжает мелькать. В нижней части окна написано, что в папке 8 нормальных объектов и 10 скрытых. Что это может быть?

Заранее благодарю за помощь!

[Info_bot]

Уважаемый(ая) Nadya Krasineva, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Никита Соловьев]

> Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
if not IsWOW64 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 TerminateProcessByName('c:\documents and settings\dina1\6438640620394286720310355\winsvc.exe');
 QuarantineFile('C:\Documents and Settings\dina1\Главное меню\Программы\Автозагрузка\bezeq012.lnk','');
 QuarantineFile('C:\Documents and Settings\dina1\ffonzlya.exe','');
 QuarantineFile('C:\Documents and Settings\dina1\6438640620394286720310355\winsvc.exe','');
 QuarantineFile('C:\DOCUME~1\dina1\0016~1\IMG054~1.SCR','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','19856');
 DeleteFile('C:\Documents and Settings\dina1\6438640620394286720310355\winsvc.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
 DeleteFile('C:\Documents and Settings\dina1\ffonzlya.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 DeleteFile('C:\Documents and Settings\dina1\Главное меню\Программы\Автозагрузка\bezeq012.lnk');
 DeleteFileMask('C:\Documents and Settings\dina1\6438640620394286720310355','*',true);
 DeleteDirectory('C:\Documents and Settings\dina1\6438640620394286720310355');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('SCU',2,2,false);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ

[Nadya Krasineva]

Здравствуйте! Спасибо большое за оперативный ответ! Заметила его только вчера, так как ждала уведомления на почту, а оно не пришло.

Выполнила скрипт, подготовила новые отчеты AVZ и hijackthis. Файлы прилагаются.

Ещё раз спасибо!

[Никита Соловьев]

> Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
if not IsWOW64 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','19856');
 DeleteFile('C:\DOCUME~1\dina1\0016~1\IMG054~1.SCR');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер будет перезагружен.


> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ

[Nadya Krasineva]

Сделано!
Скрипты прилагаю

[Никита Соловьев]

> Исправьте при помощи hijackthis:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [19856] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr
O4 - Startup: _uninst_04453502.lnk = C:\Documents and Settings\dina1\Local Settings\Temp\_uninst_04453502.bat
O4 - Startup: _uninst_33022217.lnk = C:\Documents and Settings\dina1\Local Settings\Temp\_uninst_33022217.bat
O4 - Startup: _uninst_60595125.lnk = C:\Documents and Settings\dina1\Local Settings\Temp\_uninst_60595125.bat
O24 - Desktop Component 0: (no name) - http://cs5203.vkontakte.ru/u32824349/-14/x_7f5c4343.jpg

> Сделайте новый hijackthis.log + такое: http://virusinfo.info/showthread.php?t=115256
_________________
> как исправить при помощи hijackthis

[Nadya Krasineva]

Все сделала, прикрепля. логи. Спасибо огромное за помощь!!!log.txtinfo.txthijackthis.log

[Никита Соловьев]

> Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
if not IsWOW64 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;

 QuarantineFile('C:\Documents and Settings\dina1\Application Data\f4f4f4f4f.txt','');
 QuarantineFile('C:\Documents and Settings\dina1\Application Data\1db44b5.exe','');
 QuarantineFile('C:\Documents and Settings\dina1\Application Data\nMNtfaARw2l97e30p5ev.exe','');
 QuarantineFile('C:\Documents and Settings\dina1\Application Data\jan24.exe','');
 QuarantineFile('C:\Documents and Settings\dina1\Application Data\nMNtffsdf5ev.exe','');
 QuarantineFile('C:\Documents and Settings\dina1\Application Data\winsvcns.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\f4f4f4f4f.txt');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\1db44b5.exe');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\jan24.exe');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\nMNtfaARw2l97e30p5ev.exe');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\nMNtffsdf5ev.exe');
 DeleteFile('C:\Documents and Settings\dina1\Application Data\winsvcns.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\81744307.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\61781745.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\64773990.sys');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и RSIT.
_________________
> как выполнить скрипт в AVZ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\dina1\\ffonzlya.exe - Trojan-Dropper.Win32.Dorifel.yom ( DrWEB: Trojan.Siggen4.56974, BitDefender: Trojan.Agent.AYDW, AVAST4: Win32:Trojan-gen )
  2. c:\\documents and settings\\dina1\\6438640620394286720310355\\winsvc .exe - Trojan.Win32.Jorik.IRCbot.wla ( DrWEB: Trojan.Packed.23804, BitDefender: Trojan.Generic.KD.837222 )
  3. c:\\docume~1\\alluse~1\\locals~1\\temp\\msiuwyay.s cr - Trojan-Ransom.Win32.PornoAsset.bsnt ( DrWEB: BackDoor.Andromeda.22, BitDefender: Trojan.Agent.AYFK, AVAST4: Win32:Malware-gen )