Trojan.Downloader

[Steelman]

Доброго дня. Сотрудница открыла письмо с вложениями и как я понял подхватила Trojan.Downloader. После дня проведенного мной за этим компом мне удалось удалить все, кроме самого даунлоадера. NOD32 3.0 на него молчит, только когда тот опять что то скачает находит и удаляет. CureIt в безопасном режиме нашел две dll-ки и удалил, корень зла остался. Автозапуск чист от лишних програм, но этот вирус каким то образом запускает себя через rundll32. Еще на сменные носители при вставке записываются autorun.inf и папка RESTORE. Уже третий день временно возвращаю работоспособность компу. Помогите плиз.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DelBHO('{A7A4DFC1-32C7-4A3C-BFAC-21B526A00347}');
 DelBHO('{23CDFC38-D9E9-4BB0-A085-B985F8733CEB}');
 DelBHO('{18a2a4c2-eacd-48e8-8738-4b220be7270a}');
 DelBHO('{005695C9-26D4-4CBB-A7A3-62BE2721E53C}');
 QuarantineFile('C:\WINDOWS\system32\ssqrpmMc.dll','');
 QuarantineFile('taskmon.exe','');
 QuarantineFile('C:\Program Files\AV9\av2009.exe','');
 DeleteService('Clirapp');
 QuarantineFile('Clirapp.sys','');
 QuarantineFile('C:\WINDOWS\system32\wvUkHBUl.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdgwit.dll','');
 QuarantineFile('C:\WINDOWS\system32\oiuxvujs.dll','');
 QuarantineFile('C:\WINDOWS\system32\kmwjraxg.dll','');
 QuarantineFile('C:\WINDOWS\system32\khfDtRKd.dll','');
 DeleteFile('C:\WINDOWS\system32\khfDtRKd.dll');
 DeleteFile('C:\WINDOWS\system32\kmwjraxg.dll');
 DeleteFile('C:\WINDOWS\system32\oiuxvujs.dll');
 DeleteFile('C:\WINDOWS\system32\sdgwit.dll');
 DeleteFile('C:\WINDOWS\system32\wvUkHBUl.dll');
 DeleteFile('Clirapp.sys');
 DeleteFile('C:\Program Files\AV9\av2009.exe');
 DeleteFile('khfDtRKd.dll');
 DeleteFile('C:\WINDOWS\system32\ssqrpmMc.dll');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
  DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ....

[Steelman]

Высылаю повторные логи.

[Гриша]

Пофиксить

Код:

O2 - BHO: (no name) - {7AA96A0B-C597-412C-BAD2-B23F9F4503B5} - C:\WINDOWS\system32\wvUkHBUl.dll (file missing)
O2 - BHO: (no name) - {A7A4DFC1-32C7-4A3C-BFAC-21B526A00347} - C:\WINDOWS\system32\khfDtRKd.dll (file missing)
O20 - Winlogon Notify: khfDtRKd - C:\WINDOWS\

Повторите лог HJT...

[Steelman]

Пофиксил. Лог вложил.
Если на другом компе есть подозрение на такой-же вирус на нем надо выполнить другой скрипт? Ведь как я понял имена вирусных dll генерируются случайным образом?

[Гриша]

В логах чисто,да скрипты будут другие,каждый случай уникален...

[Steelman]

Спасибо огромное, мои надежды на ваш ресурс оправдались. Я могу выложить в эту же тему логи с другого компа?

[Гриша]

Для каждого компьютера-отдельная тема...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\restore\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - Trojan.Win32.Pakes.jzt (DrWEB: BackDoor.IRC.Flood.
  2. c:\\windows\\system32\\kmwjraxg.dll - Trojan.Win32.Monder.eqo (DrWEB: Trojan.Virtumod.based.23)
  3. c:\\windows\\system32\\oiuxvujs.dll - Trojan.Win32.Monder.epx (DrWEB: Trojan.Virtumod.based.23)
  4. c:\\windows\\system32\\sdgwit.dll - not-a-virus:AdWare.Win32.SuperJuan.cju (DrWEB: Trojan.Virtumod.based.23)
  5. c:\\windows\\system32\\wvukhbul.dll - Trojan.Win32.Monder.erv (DrWEB: Trojan.Virtumod.based.23)