Trojan:Win32/Vundo

[Reuser]

Короче, обнаруживаю у себя в диспетчере задач подозрительный и чрезвычайно активный процесс:
rundll32.exe
Вначале мне неохота было разбираться и я просто завершил его. Посидел полчасика в инете и у меня исчезла панель задач и рабочий стол. Я перезагрузил комп и вновь увидел этот процесс, но уже вместе с "напарником близнецом":
rundll32.exe
rundll32.exe
Затем убрал все галочки из автозагрузки и пошёл "по горячим следам" в реестр.
Нашёл параметр: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvid er\Path Со значением: D:\WINDOWS\system32\crtemvpd.dll
И следующие разделы с данными:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\349d30fb4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BM93463b64
Ничего не стал с ними делать - для начала решил просканировать весь диск D, особенно D:\WINDOWS\system32
Пытался убрать различными антивирусами, но они или вообще не находили вирусов или же находили, удаляли и он появлялся вновь.
Троян вроде бы называется Trojan:Win32/Vundo.gen!N (Trojan.Virtumod.based.16)
Вот отчёт с virustotal.com
Решил попробовать удалить вручную. Для начала удалил всю фигню, которая подселилась в реестр. Затем удалил одноимённых подселенцев из D:\WINDOWS\system32 (правда для этого пришлось заходить из другой ОС, т.к. писалось, что файлы используются и потому не подлежат удалению). Перезагрузил комп... и что я вижу? Проклятый вирь сгенерировал всё снова, но изменил их наименования (и в автозагрузке, и в регистре, и в D:\WINDOWS\system32):
gmatyqcd
xtduqcjm
Тогда я просто стал менять значения строковых параметров и их наименования... а вирь создавал новые параметры при изменении наименований и изменял значения при изменении значений параметров).
Короче просто вместо:
gmatyqcd
xtduqcjm
Я получал:
nbamsxma
crtemvpd
или другую подобную абракадабру...
Зашёл и удалил всякую фигню из HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
Просканировал AVZ - он находит и удаляет, но затем всё происходит сначала. Заметил схожесть своего вируса с вирусом в теме. Выполнил скрипт, кое-что удалилось, но вирус определяется опять.

[AndreyKa]

Уберите ссылку из сообщения и файл virus.zip тоже.
snommrff.dll - AdWare.Win32.Virtumonde.zij, Trojan.Virtumod.based.16

файл virus2.zip загрузите по ссылке Прислать запрошенный карантин

Логи надо делать по Правилам: http://virusinfo.info/showthread.php?t=1235
И отключить службу восстановления системы не забудьте.

[Reuser]

Убрал. Файл загрузил:

Файл сохранён как 080629_151237_virus2_4867ecb5c1364.zip
Размер файла 487298
MD5 027a80868a2b20e87c79c3ab85cba5b3

Сделал ещё один лог, вроде по правилам. Службу отключил.

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('c:\DriverLoad\windrv0.exe','');
 QuarantineFile('D:\WINDOWS\system32\imlog.sys','');
 QuarantineFile('D:\WINDOWS\SYSTEM32\msdirect.sys','');
 SetServiceStart('dnlsvc', 4);
 DeleteService('dnlsvc');
 QuarantineFile('D:\WINDOWS\system32\awtrOiHy.dll','');
 QuarantineFile('D:\WINDOWS\system32\khfDvtsR.dll','');
 DeleteFile('D:\WINDOWS\system32\khfDvtsR.dll');
 DeleteFile('D:\WINDOWS\system32\awtrOiHy.dll');
 DeleteFile('D:\WINDOWS\system32\nkegwygg.dll');
 DeleteFile('c:\DriverLoad\windrv0.exe');
 DeleteFile('khfDvtsR.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку "Прислать запрошенный карантин".
Сделайте логи начиная с 10-го пункта Правил и приложите их к своей теме.

[Reuser]

Скрипт выполнил. После каждого действия перезагружал компьютер. Просканил несколько раз, но на этот раз в диске D ничего найдено не было. На всякий случай просканил диск C и антивирус нашёл мне BitAccelerator + загруженные, но не запущенные мною вирусы.
Файлы из карантина отослал:

Файл сохранён как 080629_192943_virus_486828f73aaf8.zip
Размер файла 6557132
MD5 4f9d980ff519b328e1fe28c5ae90ef21

P.S. Большое спасибо за помощь

[AndreyKa]

Пофиксте в HijackThis следующие строки:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - D:\WINDOWS\system32\khfDvtsR.dll (file missing)
O2 - BHO: (no name) - {4314FDB5-F2C3-4A09-AE3D-1081DC71B083} - (no file)
O2 - BHO: (no name) - {DD63EE74-865A-4109-84D4-93C6896EFD03} - D:\WINDOWS\system32\awtrOiHy.dll (file missing)
O2 - BHO: (no name) - {E9C86534-CE0B-419A-A408-85BB84CA5ED5} - (no file)
O2 - BHO: (no name) - {EBEED44D-F761-4842-AC77-110BA1F03046} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] (User 'SYSTEM')
O15 - Trusted Zone: *.p0rt2.com
O20 - Winlogon Notify: khfDvtsR - D:\WINDOWS\
O20 - Winlogon Notify: khfDvtsR- - D:\WINDOWS\

Сделайте новый лог HijackThis.

[Reuser]

Всё сделано.

[AndreyKa]

Проблем больше нет?

[Reuser]

Да - спасибо большое

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\downloads\\архивы\\getad.zip - Exploit.Win32.Getad (DrWEB: archive: Exploit.Getad)
  2. c:\\downloads\\архивы\\goolagscanner_1.0.0.41.rar - HackTool.Win32.Scanner.j
  3. c:\\downloads\\архивы\\viruses_3732_for_anti-virus_testing.rar - Virus.DOS.IVP-based (DrWEB: archive: archive: Trivial.44)
  4. c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.c (DrWEB: Trojan.BitAcc)
  5. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)
  6. c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)
  7. d:\\system volume information\\_restore{b012564e-fbb7-4afc-9ef4-0bc947cf984d}\\rp236\\a0133299.dll - Trojan.Win32.Monder.zq (DrWEB: Trojan.Virtumod.based.21)
  8. d:\\system volume information\\_restore{b012564e-fbb7-4afc-9ef4-0bc947cf984d}\\rp236\\a0133300.dll - not-a-virus:AdWare.Win32.Virtumonde.yyr (DrWEB: Trojan.Virtumod.based.16)
  9. d:\\system volume information\\_restore{b012564e-fbb7-4afc-9ef4-0bc947cf984d}\\rp236\\a0133301.dll - not-a-virus:AdWare.Win32.Virtumonde.zde (DrWEB: Trojan.Virtumod.based.21)
  10. d:\\system volume information\\_restore{b012564e-fbb7-4afc-9ef4-0bc947cf984d}\\rp236\\a0133302.dll - Trojan.Win32.Monder.aen (DrWEB: Trojan.Virtumod.based.21)
  11. d:\\system volume information\\_restore{b012564e-fbb7-4afc-9ef4-0bc947cf984d}\\rp236\\a0133303.dll - Trojan.Win32.Monder.aen (DrWEB: Trojan.Virtumod.based.21)
  12. d:\\windows\\system32\\ruefvmmx.dll - Trojan.Win32.Monder.wj (DrWEB: Trojan.Virtumod.based.21)