Страные экзешники, маскируються под папки. Что за вир такой ?

**46-431** · 13.05.2008, 15:42

Доброго дня, во какая беда. Сначала комп не хотел показывать скрытые папки и файлы, после прочитки вашего форума от этого удалось избавиться, только вот загвоздка, винда показывает теперь скрытыми все копии папок которые есть на диске, и их подпапок, и так далее. Случайно открыл тотал командером, в расширении пишит exe!!!! Пробовал удалить в ручную, так через некоторое время востанавливаються, что за зверь такой ????

[moderated: карантин нужно присылать согласно приложения 3, к логам нужно добавить virusinfo_syscure.zip]

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**akok** · 13.05.2008, 16:01

Пофиксите

F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\secpol.exe,C:\WINDOWS\system32\ntos.ex e,
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_51.dll
O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('fsmgmt.dll','');
 QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
 QuarantineFile('c:\windows\system32\secpol.exe','');
 QuarantineFile('c:\windows\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\win_51.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\SVOHOST.exe','');
 QuarantineFile('C:\WINDOWS\system32\LC50A.tmp.exe/r','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\Temp\Xerox\EReg\opbreg.exe','');
 SetServiceStart('Wel41', 4);
 DeleteService('Wel41');
 SetServiceStart('Wek85', 4);
 DeleteService('Wek85');
 SetServiceStart('Tbh75', 4);
 DeleteService('Tbh75');
 SetServiceStart('Owd55', 4);
 DeleteService('Owd55');
 SetServiceStart('Lsa17', 4);
 DeleteService('Lsa17');
 SetServiceStart('Krx52', 4);
 DeleteService('Krx52');
 SetServiceStart('Jrx06', 4);
 DeleteService('Jrx06');
 SetServiceStart('Isy06', 4);
 DeleteService('Isy06');
 SetServiceStart('Ipv52', 4);
 DeleteService('Ipv52');
 SetServiceStart('Iov28', 4);
 DeleteService('Iov28');
 SetServiceStart('Hnu74', 4);
 DeleteService('Hnu74');
 SetServiceStart('grande48', 4);
 DeleteService('grande48');
 SetServiceStart('Gnu28', 4);
 DeleteService('Gnu28');
 SetServiceStart('Fms63', 4);
 DeleteService('Fms63');
 SetServiceStart('Els85', 4);
 DeleteService('Els85');
 SetServiceStart('Elr31', 4);
 DeleteService('Elr31');
 SetServiceStart('dpti2o', 4);
 DeleteService('dpti2o');
 SetServiceStart('Dkq30', 4);
 DeleteService('Dkq30');
 SetServiceStart('Ahn20', 4);
 DeleteService('Ahn20');
 SetServiceStart('SysSch', 4);
 DeleteService('SysSch');
 StopService('SysSch');
 QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
 DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ahn20.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Dkq30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Elr31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Els85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fms63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fnu41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gnu28.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hnu74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Iov28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ipv52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Isy06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jrx06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Krx52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lsa17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Owd55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tbh75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wek85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wel41.sys');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\LC50A.tmp.exe');
 DeleteFile('C:\WINDOWS\system32\SVOHOST.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\win_51.dll');
 DeleteFile('c:\windows\system32\secpol.exe');
 DeleteFile('fsmgmt.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Повторите логи

Добавлено через 2 минуты

Парочку ехе-шников запакуйте с паролем и тоже пришлите по правилам.

**46-431** · 13.05.2008, 16:55

Короче профиксил, амя все прописал, получил следующие файлы, д архивы сделал этих подозрительных папок, хочу отметить, что диск с очистился от них полность, теперь такаяже песня на диске Д, только скорость роста не померно высока...во как....

[moderated: Карантин нужно присылать согласно приложения 3 правил]

туда - http://virusinfo.info/upload_virus.php?tid=22816

**wise-wistful** · 13.05.2008, 17:06

страные экзешники, маскируються под папки.rar все 4 файла там - Trojan-PSW.Win32.LdPinch.gkx.

Scan taken on 13 May 2008 13:06:35 (GMT)
A-Squared Found nothing
AntiVir Found TR/Crypt.XPACK.Gen
ArcaVir Found nothing
Avast Found Win32:OnLineGames-DQC
AVG Antivirus Found Win32/PolyCrypt.D
BitDefender Found Packer.Pohernah.C
ClamAV Found nothing
CPsecure Found Troj.PSW.W32.LdPinch.gkx
Dr.Web Found Win32.HLLW.Booti
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-PSW.Win32.LdPinch.gkx
Fortinet Found W32/Basine.C!tr.pws
Ikarus Found Trojan-Spy.Win32.Delf.ma
Kaspersky Anti-Virus Found Trojan-PSW.Win32.LdPinch.gkx
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found Trj/Ldpinch.WE
Sophos Antivirus Found Mal/Basine-C
VirusBuster Found nothing
VBA32 Found Trojan-PSW.Win32.LdPinch.gkx

**akok** · 13.05.2008, 17:17

А Вы антивирус отключали перед выполнением скрипта?

Добавлено через 1 минуту

А cureit'ом проверялись?

**46-431** · 13.05.2008, 17:19

Прошу прощения за свою безалаберность, просто пока в ссылку носом не ткнули, не понял как виры отправлять, теперь быду знать...
Мог ли данный вир увеличить расход трафика в инете или дайтеплиз ссылку где о нем можно прочитать....

**Shu_b** · 13.05.2008, 17:19

Сообщение от akoK

А Вы антивирус отключали перед выполнением скрипта?

А чего там отключать... там вероятно базы не обновлялись с момента сборки дистрибутива...

**46-431** · 13.05.2008, 17:20

Сообщение от akoK

А Вы антивирус отключали перед выполнением скрипта?

Добавлено через 1 минуту

А cureit'ом проверялись?

да отключал, стоит доктор веб, проверяемся каждыйдень, он ни чего не находил...

**wise-wistful** · 13.05.2008, 17:21

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\system32\SVOHOST.exe
O4 - HKLM\..\Run: [Winrun] "C:\WINDOWS\svchost.exe"
O4 - HKLM\..\Run: [advap32] C:\WINDOWS\system32\LC50A.tmp.exe/r
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Без перезагрузки

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
 DeleteFile('C:\WINDOWS\RavMon.exe');
 DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ahn20.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Dkq30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Elr31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Els85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fms63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fnu41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gnu28.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hnu74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Iov28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ipv52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Isy06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jrx06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Krx52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lsa17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Owd55.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tbh75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wek85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wel41.sys');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\LC50A.tmp.exe');
 DeleteFile('C:\WINDOWS\system32\SVOHOST.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Tbh75');
BC_DeleteSvc('Wel41');
BC_DeleteSvc('Wek85');
BC_DeleteSvc('riode32');
BC_DeleteSvc('Owd55');
BC_DeleteSvc('Lsa17');
BC_DeleteSvc('Krx52');
BC_DeleteSvc('Jrx06');
BC_DeleteSvc('Ipv52');
BC_DeleteSvc('Iov28');
BC_DeleteSvc('grande48');
BC_DeleteSvc('Hnu74');
BC_DeleteSvc('Gnu28');
BC_DeleteSvc('Fnu41');
BC_DeleteSvc('Fms63');
BC_DeleteSvc('Els85');
BC_DeleteSvc('Elr31');
BC_DeleteSvc('Dkq30');
BC_DeleteSvc('Ahn20');
BC_DeleteSvc('SysSch');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .

Повторите логи.

**46-431** · 13.05.2008, 17:21

Сообщение от akoK

А Вы антивирус отключали перед выполнением скрипта?

Добавлено через 1 минуту

А cureit'ом проверялись?

да отключал, стоит доктор веб, проверяемся каждыйдень, он ни чего не находил...

**Shu_b** · 13.05.2008, 17:26

Сообщение от 46-431

да отключал, стоит доктор веб, проверяемся каждыйдень, он ни чего не находил...

качайте по ссылке из правил, всё найденное лечить, неизлечимое удалять!

Добавлено через 4 минуты

ps пожалуйста не надо редактировать сообщения, я уже пятый раз чишу ссылки на дропер...

**46-431** · 13.05.2008, 17:40

=)Будем стараться, правда все познаеться в.....
А базы постоянно обновлялись, комп постоянно проверяеться и тестируеться....

**Гриша** · 13.05.2008, 17:44

Вам же уже говорили по поводу ссылки?

**46-431** · 13.05.2008, 17:48

=)Проделал данные операции, высылаю логи....

**46-431** · 13.05.2008, 17:49

=)Чесно не понял по поводу какой ссылки идет речь....

**Гриша** · 13.05.2008, 17:50

Которая есть в каждом вашем сообщении,вы ее не видете?

**drongo** · 13.05.2008, 17:58

а так видно? hXXp://periyalala.com/info.exe

**46-431** · 14.05.2008, 10:27

Нет я на нее не обращал внимания, а что это такое ????

Добавлено через 1 минуту

Да действительно, а что это или как от этого избавиться??? пока через просмотр еее попробовал удалить

**wise-wistful** · 14.05.2008, 10:33

Мы же просили выслать карантины согласно приложения 3 правил. rsvp32_2.dll поищите при помощи АВЗ--сервис--поиск файлов на диске. И вышлите согласно приложения 2 правил.
При подключении к сети проблемы есть?

**46-431** · 14.05.2008, 10:54

нет при подключении к сети проблемм нет...

Добавлено через 13 минут

Выслал запрашиваемый файл вот ... еще что то нужно ???
Файл сохранён как080514_015131_virus_482a8bf34bc78.zipРазмер файла147422MD5106f09a7196d9a3d37abb95fce35323f

Страные экзешники, маскируються под папки. Что за вир такой ? (заявка № 22816)

Опции темы

Страные экзешники, маскируються под папки. Что за вир такой ?

отчет о проделаном

приношу свои извенения

после проделанного

по поводу ссылки

ответ

Похожие темы

Страные сообщения выдает авира

страные процессы в дисп.задач и перезагрузка компьютера на некоторых сайтах

Страные траблы

Не запускаются экзешники

Найден ответ на вопрос "Если ты такой умный, почему такой бедный?"

Ваши права в разделе