Подозрение на вирус!

**Максут** · 21.07.2008, 14:43

Подскажите пожалуйста, наш антивирусник ничего не нашел, поставил на проверку AVZ. Он выдал одну угрозу. У меня есть подозрение, что это вирус. На первый взгляд никакие лишние процессы не запущены но система работает как то нестабильно. До этого нашим антивирусником был найден фирус C:\Windows\System32\Twunk_16.exe. Если есть возможность помогите пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 21.07.2008, 15:13

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: myiebho - {CAEF67AA-2E7F-444C-A7D6-E552DEF460DE} - C:\WINDOWS\SYSTEM32\TWAIN16.dll
O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\syskernel.exe
O4 - HKLM\..\Run: [mssysif] C:\WINDOWS\system32\liar3.exe
O4 - HKLM\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServices: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServicesOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: TWAIN16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: twunk_16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: TWAIN16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: twunk_16.bkp (User 'Балашов')
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\system32\liar3.exe','');
 QuarantineFile('C:\WINDOWS\system32\syskernel.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\TWAIN16.dll','');
 QuarantineFile('C:\WINDOWS\twain_8.dll','');
 DeleteFile('C:\WINDOWS\twain_8.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\TWAIN16.dll');
 DeleteFile('C:\WINDOWS\system32\syskernel.exe');
 DeleteFile('C:\WINDOWS\system32\liar3.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

**Максут** · 21.07.2008, 16:54

Все сделал как было написано. Высылаю логи.

**Rene-gad** · 21.07.2008, 17:16

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: myiebho - {CAEF67AA-2E7F-444C-A7D6-E552DEF460DE} - %SystemRoot%\system32\twain16.dll (file missing)
O4 - HKLM\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServices: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServicesOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKCU\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKCU\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - HKUS\S-1-5-18\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Default user')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: clever.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: TWAIN16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: twunk_16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 Startup: twunk_16.exe (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: clever.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: TWAIN16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: twunk_16.bkp (User 'Балашов')
O4 - S-1-5-21-299502267-413027322-839522115-5130 User Startup: twunk_16.exe (User 'Балашов')
O4 - S-1-5-18 User Startup: clever.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: TWAIN16.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: twunk_16.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: twunk_16.exe (User 'SYSTEM')
O4 - .DEFAULT User Startup: clever.bkp (User 'Default user')
O4 - .DEFAULT User Startup: TWAIN16.bkp (User 'Default user')
O4 - .DEFAULT User Startup: twunk_16.bkp (User 'Default user')
O4 - .DEFAULT User Startup: twunk_16.exe (User 'Default user')
O4 - Startup: clever.bkp
O4 - Startup: TWAIN16.bkp
O4 - Startup: twunk_16.bkp
O4 - Startup: twunk_16.exe
O4 - User Startup: clever.bkp
O4 - User Startup: TWAIN16.bkp
O4 - User Startup: twunk_16.bkp
O4 - User Startup: twunk_16.exe
O4 - Global User Startup: clever.bkp
O4 - Global User Startup: TWAIN16.bkp
O4 - Global User Startup: twunk_16.bkp
O4 - Global User Startup: twunk_16.exe
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
O20 - AppInit_DLLs: twain16.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 QuarantineFile('C:\WINDOWS\twain_8.dll','');
 QuarantineFile('c:\windows\system32\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\system32\twain16.dll','');
 DeleteFile('C:\WINDOWS\system32\twain16.dll');
 DeleteFile('c:\windows\system32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\twain_8.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
 DeleteFile('C:\WINDOWS\system32\twunk_16.exe');
BC_DeleteFile('C:\WINDOWS\system32\twain16.dll');
BC_DeleteFile('c:\windows\system32\twunk_16.exe');
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
BC_DeleteFile('C:\WINDOWS\system32\twunk_16.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

**Максут** · 21.07.2008, 17:31

По каким-то причинам данные пункты не фиксятся. Выдается вот такое диалоговое окно!
"HiJackThis is about to remove a BHO adn the corresponding file from your system. Close all Internet Explprer windows AND Windows Explorer windows before continuing for the best chane of success"

**Rene-gad** · 21.07.2008, 17:48

Сообщение от Максут

"HiJackThis is about to remove a BHO adn the corresponding file from your system. Close all Internet Explprer windows AND Windows Explorer windows before continuing for the best chane of success"

А Вы закрыли все приложения кроме Hijackthis?

**Максут** · 21.07.2008, 18:04

Да, закрыты все приложения

**Rene-gad** · 21.07.2008, 18:47

Сообщение от Максут

Да, закрыты все приложения

А если Вы это сообщение проигнорируете - получается пофиксить? Если нет - загрузитесь в безопасном режиме и пофиксите оттуда. Если и так не пойдет - запускайте скрипт. Потом будем с Хайджеком разбираться.

**Максут** · 22.07.2008, 16:40

Пробовал в безопасном режиме пофиксить. Такая же проблемма. Также
появилась интересная картиночка- при загрузке профиля трижды быстро открывается и закрывается командная строка. Далее все как обычноВыполнил скрипт. Высылаю повторные логи и запрошенный карантин.

**Rene-gad** · 22.07.2008, 16:55

Выношу тему на консилиум. Ждите ответа.
Пока ждете - скачайте отсюда: http://ftp.kaspersky.com/devbuilds/AVPTool/ и просканьте машину.

**PavelA** · 22.07.2008, 18:24

Вот что это такое:
TWAIN16.dll - Trojan-PSW.Win32.Agent.keg,
twunk_16.exe_ - Trojan-PSW.Win32.Agent.keh

По всей вероятности AVPTool должно помочь, если на серверах сборка с последними базами.

**Rene-gad** · 22.07.2008, 19:00

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол -иначе будем до второго пришествия воевать.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('clever');
 DeleteService('Schedule');
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
 QuarantineFile('C:\WINDOWS\twain_8.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\system32\twain16.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
 DeleteFile('C:\WINDOWS\system32\twain16.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
 DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]

**Максут** · 23.07.2008, 13:30

Скачал утилиту. Просканировал. Были обнаружены все трояны относящиеся к twunk_16.exe. Утилитка удалила все, за исключением двух аналогичных файлов. Удалять их он просто отказался. после удаления компьютер не загрузился. Почистил её же в безопасном режиме. Комп всеже загрузился, но hijack так проблемы и не пофиксил. Выполнил скрипт в AVZ. Высылаю получившуюся картину.

**Rene-gad** · 23.07.2008, 13:35

Выполните скрипт из моего вчерашнего сообщения и отключите в конце концов Ваш антивирус на время выполнения логов и скриптов, плиз.
После прогона скрипта - повторите логи с выключенными защитными приложениями.

**Максут** · 23.07.2008, 14:28

Все сделал. Вот результат.

**Rene-gad** · 23.07.2008, 14:39

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\twunk_16.exe');
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 BC_DeleteFile('c:\windows\system32\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\system32\twain16.dll');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.[/QUOTE]

**Максут** · 23.07.2008, 16:05

Проделал скрипт. Hijack так и не пофиксил проблемы. В реестре до сих пор висят записи о этом вирусе.Высылаю логи.

**Rene-gad** · 23.07.2008, 16:09

Продолжаем войну
Обновите базы АВЗ!!!
Попробуйте сейчас пофиксить

Код:

O2 - BHO: myiebho - {CAEF67AA-2E7F-444C-A7D6-E552DEF460DE} - %SystemRoot%\system32\twain16.dll (file missing)
O4 - HKLM\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServices: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\RunServicesOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKCU\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKCU\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\twunk_16.exe
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
O4 - HKUS\S-1-5-18\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Default user')
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\twain16.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\system32\twain16.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.

**Максут** · 23.07.2008, 16:55

Война продолжается. Вот логи после скрипта.

**Максут** · 23.07.2008, 16:58

проблемы не фиксятся. Продолжает выдавать такое же сообщение

Подозрение на вирус! (заявка № 26814)

Опции темы

Подозрение на вирус!

Похожие темы

Подозрение на вирус

Подозрение на вирус

Подозрение на вирус!

Подозрение на вирус

Подозрение на вирус

Ваши права в разделе