warning!Potential Spyware Operation!

**svmarcha** · 18.10.2007, 11:38

Добрый день! Подхватил вирусы. После сканирования NOD32 нашло 3 трояна. Система переодически выдает warning!Potential Spyware Operation! И при входе в настройку системы - права закрыты администратором. При перезагрузке в эксплорере посоянно устанавливается стартовой google. Логи прилагаются. Заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 18.10.2007, 12:03

На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор
Пофиксите с помощью hijackthis строки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe
O4 - HKLM\..\Run: [Winmplayer] "C:\WINNT\system32\KB_963491.exe"
O4 - HKLM\..\Run: [winptr] C:\WINNT\winptr.exe
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
O4 - HKLM\..\Run: [Project1] C:\windows\system32\winload
O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: msn_0710_upd152301.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINNT\system32\sulimo.dat
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll (file missing)
O23 - Service: Windows Network Serialize - Unknown owner - C:\WINNT\system32\mswns32.exe (file missing)

Обратите внимание, одна строчка - сервис, фиксится через отдельное меню
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\app.exe','');
 QuarantineFile('C:\windows\system32\winload','');
 QuarantineFile('C:\WINNT\winptr.exe','');
 QuarantineFile('C:\WINNT\system32\sulimo.dat','');
 QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
 QuarantineFile('C:\WINNT\system32\KB_963491.exe','');
 QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe','');
 QuarantineFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll','');
 QuarantineFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe','');
 QuarantineFile('C:\WINNT\system32\printer.exe','');
 QuarantineFile('c:\winnt\system32\printer.exe','');
 DeleteFile('c:\winnt\system32\printer.exe');
 BC_DeleteFile('c:\winnt\system32\printer.exe');
 DeleteFile('C:\WINNT\system32\printer.exe');
 BC_DeleteFile('C:\WINNT\system32\printer.exe');
 DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
 BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
 DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
 BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
 DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
 BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
 DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
 BC_DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
 DeleteFile('C:\WINNT\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
 DeleteFile('C:\WINNT\system32\KB_963491.exe');
 BC_DeleteFile('C:\WINNT\system32\KB_963491.exe');
 DeleteFile('C:\WINNT\system32\WinAvXX.exe');
 BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
 DeleteFile('C:\WINNT\system32\sulimo.dat');
 BC_DeleteFile('C:\WINNT\system32\sulimo.dat');
 DeleteFile('C:\WINNT\winptr.exe');
 BC_DeleteFile('C:\WINNT\winptr.exe');
 DeleteFile('C:\windows\system32\winload');
 BC_DeleteFile('C:\windows\system32\winload');
DeleteFile('C:\WINNT\app.exe');
BC_DeleteFile('C:\WINNT\app.exe');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13320 , как написано в прил. 3 правил, и сделайте новые логи, начиная с п. 10 правил.

**svmarcha** · 18.10.2007, 14:09

Ошибка перестала выскакивать. Доступ к свойствам системы остался закрыт.

**PavelA** · 18.10.2007, 14:47

C:\WINNT\system32\iegksgk.dll - Trojan Horse(по Симантеку), будем удалять.
Выполнить скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('app.exe','');
DeleteFile('C:\WINNT\system32\iegksgk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин, если туда что-то попадет.

**Numb** · 18.10.2007, 15:02

В дополнение, по результатам проверки на Virustotal:
C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
(по классификации Касперского)
C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb).
В дополнение к тому, что написал Павел, выполните еще один скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\system32\mstscax.dll','');
 QuarantineFile('c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe','');
 QuarantineFile('c:\winnt\system32\mstsc.exe','');
// DeleteFile('C:\WINNT\system32\iegksgk.dll');
// BC_DeleteFile('C:\WINNT\system32\iegksgk.dll');
Executerepair(6);
BC_ImportQuarantineList;
BC_Activate;
// ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скриптов, пришлите карантин, если туда что-нибудь попадет, пофиксите с помощью Hijackthis строку:

Код:

O4 - HKLM\..\Run: [App.exe] app.exe

и повторите логи, начиная с п. 10 правил.

**svmarcha** · 18.10.2007, 15:09

Карантин выслал. После перезагрузки доступ к системе все еще ограничен.

**PavelA** · 18.10.2007, 15:12

Выполняйте скрипт Numb

**Bratez** · 18.10.2007, 15:17

И еще такой скрипт:

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

**svmarcha** · 18.10.2007, 16:39

Сообщение от Numb

В дополнение, по результатам проверки на Virustotal:
C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
(по классификации Касперского)
C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb).
В дополнение к тому, что написал Павел, выполните еще один скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\system32\mstscax.dll','');
 QuarantineFile('c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe','');
 QuarantineFile('c:\winnt\system32\mstsc.exe','');
// DeleteFile('C:\WINNT\system32\iegksgk.dll');
// BC_DeleteFile('C:\WINNT\system32\iegksgk.dll');
Executerepair(6);
BC_ImportQuarantineList;
BC_Activate;
// ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скриптов, пришлите карантин, если туда что-нибудь попадет, пофиксите с помощью Hijackthis строку:

Код:

O4 - HKLM\..\Run: [App.exe] app.exe

и повторите логи, начиная с п. 10 правил.

Все это проделал, доступ к системе появился. Васлал карантин, вылаживаю логи.

**V_Bond** · 18.10.2007, 17:15

C:\WINNT\system32\mstscax.dll - чистый
c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe чистый
c:\winnt\system32\mstsc.exe -- остается под подозрением ... подождем реакцию вирлаба

app.exe - поищите через AVZ-сервис-поиск файлов на диске ... если найдется пришлите по правилам

**svmarcha** · 18.10.2007, 17:31

Сообщение от V_Bond

C:\WINNT\system32\mstscax.dll - чистый
c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe чистый
c:\winnt\system32\mstsc.exe -- остается под подозрением ... подождем реакцию вирлаба

app.exe - поищите через AVZ-сервис-поиск файлов на диске ... если найдется пришлите по правилам

app.exe не нашло
Огромное всем спасибо, будем наблюдать за работой машины.

**PavelA** · 18.10.2007, 17:32

Сообщение от svmarcha

app.exe не нашло
Огромное всем спасибо, будем наблюдать за работой машины.

Значит надо профиксить строчку с app.exe в Hijackthis.

**Numb** · 18.10.2007, 17:57

Попутно, еще два вопроса: вы утилиты удаленного управления от Dameware сами ставили? И еще, логи делались не через терминальную сессию?

**svmarcha** · 18.10.2007, 18:20

Сообщение от Numb

Попутно, еще два вопроса: вы утилиты удаленного управления от Dameware сами ставили? И еще, логи делались не через терминальную сессию?

Да сам. Логи делались напрямую с машишы.

**CyberHelper** · 22.02.2009, 02:42

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 65
В ходе лечения обнаружены вредоносные программы:
1. c:\\winnt\\system32\\iegksgk.dll - Trojan-Banker.Win32.Banker.ckj (DrWEB: Trojan.DownLoader.26754)
2. c:\\winnt\\system32\\printer.exe - Trojan.Win32.Qhost.qd (DrWEB: Trojan.Fakealert.357)
3. c:\\winnt\\system32\\sulimo.dat - Hoax.Win32.Renos.lq (DrWEB: Trojan.Fakealert.357)
4. c:\\winnt\\system32\\winavxx.exe - Trojan.Win32.Qhost.qd (DrWEB: Trojan.Fakealert.357)

warning!Potential Spyware Operation! (заявка № 13320)

Опции темы

warning!Potential Spyware Operation!

Итог лечения

Похожие темы

Warning! Potential Spyware Operation! - 3й день

Warning! Potential Spyware Operation

Warning! Potential Spyware Operation! Очень страшно :( Ищу совет мастеров.

Warning! Potential Spyware Operation!2

Warning! Potential Spyware Operation!

Ваши права в разделе