Показано с 1 по 15 из 15.

Clever.sys, Twain16.dll, Trunk_16.dll (заявка № 26609)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31

    Thumbs up Clever.sys, Twain16.dll, Trunk_16.dll

    Доброй ночи.
    Посмотрел по тредам связанным с данными файлами
    - просят прислать данные файлы
    Высылаю вместе с папкой (лежала в system32), в которой лежали те же имена, но с другими расширениями.
    Каспер 7.0.1.325 не видит clever.sys (активный) и не может удалить dll файлы.
    procexp показал, что twain16 загружается с 99% процессов, включая системные.
    Последний раз редактировалось dime; 17.07.2008 в 01:44. Причина: Убрана неверная ссылка

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Давайте пока без самодеятельности. Внимательно прочитать, аккуратно выполнить.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    Вопрос. Все действия обязательно выполнять на зараженной машине или можно сделать на чистой, проверяя подключенный зараженный диск?
    Спрашиваю, потому что нереально сделать ни одно из действий Правил на зараженной машине - 99% загрузка. Запустить procexp удалось только через 2 часа после запуска машины.
    Последний раз редактировалось dime; 17.07.2008 в 10:50. Причина: орфография

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Пункт 2 можно на чистой. А вот логи делать - на заражённой.

    Из-под чистой системы попробуйте подозреваемых куда-нибудь переместить - авось, полегчает.

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    логи в безопасном режиме можно создать?
    Активный режим, боюсь, ничего не даст - 99% загрузка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Если другого выхода нет, то пойдёт безопасный. Хелперы потом подскажут, что ещё надо.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    делайте для началя хотя- бы в безопасном ...

  9. #8
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    В безопасном режиме. п.п. 1
    KIS нашел 10 вирусов (включая названные в теме - обновление от 17.07.08), сказал, что удалит после перезагрузки. Но после перезагрузки, все файлы остались на месте.
    Делать тоже самое с CuteIt (п.п.2) не стал, опасаясь той же реакции.
    Проверка со свежими базами (вчера вечером все те же файлы отправлял newvirus@kaspersky.com) с чистой машины удалила все 10 вирусов. Контрольная загрузка "зараженной" показала их (вирусов) отсутствие. Тормоза исчезли, но исчезли и возможность редактирования реестра (не разрешено администратором), запрещен локальных вход Администратору. "Локальная политика безопасности" - не работает (XP Home).
    Последний раз редактировалось dime; 17.07.2008 в 12:30. Причина: убраны смайлы

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи делайте ...

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    логи...
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите антивирус и интернет!

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
    O2 - BHO: myiebho - {CAEF67AA-2E7F-444C-A7D6-E552DEF460DE} - %SystemRoot%\system32\twain16.dll (file missing)
    O4 - HKLM\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\RunServices: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\RunServicesOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4386B820-176E-463D-9CC8-25461B1B4E63}: NameServer = 85.255.115.60,85.255.112.85
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.85
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4386B820-176E-463D-9CC8-25461B1B4E63}: NameServer = 85.255.115.60,85.255.112.85
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.85
    O20 - AppInit_DLLs: twain16.dll
    O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
     QuarantineFile('kdyev.exe','');
     QuarantineFile('twain16.dll','');
     QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
     QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
     DeleteService('clever');     
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
     DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
     DeleteFile('C:\WINDOWS\system32\winhelp.exe');
     DeleteFile('twain16.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe ');     
     DeleteFile('C:\WINDOWS\system32\kdyev.exe ');
     DeleteFile('C:\WINDOWS\system32\twain16.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('clever ');    
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(17 );    
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=26609

    Повторите логи...

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    Файлы clever.sys, twain16.dll и trunk_16.dll были удалены Каспером.
    У меня есть копия (включая папку, откуда, предположительно, они распаковывались).
    Если необходимо могу залить отдельно.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('kdyev.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    В логах чисто,жалобы есть?

  15. #14
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    31
    Жалоб нет.
    Огромное спасибо!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. \\clever.sys - Rootkit.Win32.Agent.bmt (DrWEB: Trojan.NtRootKit.1344)
      2. \\msdts\\clever.bkp - Rootkit.Win32.Agent.bmt (DrWEB: Trojan.NtRootKit.1344)
      3. \\msdts\\twain16.bkp - Trojan-PSW.Win32.Agent.keg (DrWEB: Trojan.PWS.Clever.2)
      4. \\msdts\\twunk_16.bkp - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)
      5. \\msdts\\twunk_16.exe - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)
      6. \\twain16.dll - Trojan-PSW.Win32.Agent.keg (DrWEB: Trojan.PWS.Clever.2)
      7. \\twunk_16.exe - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)


  • Уважаемый(ая) dime, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. twain и clever остатки после борьбы
      От xlukin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:35
    2. Доктор WEB определил вирус trojan.pws.clever.origin
      От рамиль в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.10.2008, 00:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00535 seconds with 23 queries