Trojan.MulDrop.29287 + другие

**Yura_sk** · 08.04.2009, 10:15

вчера drweb начал ловить периодически при активном подключении к интернету:
C:\WINDOWS\system32\ZYSSGK\000.exe - инфицирован Trojan.MulDrop.29287

C:\WINDOWS\system32\ZYSSGK\001.exe\data002 - инфицирован Trojan.Siggen.2150

C:\WINDOWS\system32\ZYSSGK\X001.exe - инфицирован Trojan.Inject.5347

полное сканирование ничего не находит, но как только подключаешься к инету - через 5-10 минут ловит.

спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 08.04.2009, 10:54

Вот это -

Код:

C:\WINDOWS\system32\MyService.exe

- не ваши собственные опыты по программированию? Если нет, пофиксите с помощью Hijackthis строчки

Код:

O4 - S-1-5-18 Startup: is-NH1BH.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-NH1BH.lnk = ? (User 'Default user')
O4 - Startup: is-NH1BH.lnk = ?

Программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\myservice.exe');
 TerminateProcessByName('c:\windows\system32\dftp\smss.exe');
 SetServiceStart('svcname', 4);
 StopService('svcname');
 SetServiceStart('FuscSvc', 4);
 StopService('FuscSvc');
 SetServiceStart('bbbbbbbbbb', 4);
 StopService('bbbbbbbbbb');
QuarantineFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe','');
 QuarantineFile('c:\windows\system32\myservice.exe','');
 QuarantineFile('c:\windows\system32\dftp\smss.exe','');
 DeleteFile('c:\windows\system32\dftp\smss.exe');
 BC_DeleteFile('c:\windows\system32\dftp\smss.exe');
 DeleteFile('c:\windows\system32\myservice.exe');
 BC_DeleteFile('c:\windows\system32\myservice.exe');
DeleteFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe');
BC_DeleteFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe');
 DeleteService('svcname');
 DeleteService('FuscSvc');
 DeleteService('bbbbbbbbbb');
 BC_DeleteSvc('svcname');
 BC_DeleteSvc('FuscSvc');
 BC_DeleteSvc('bbbbbbbbbb');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=43427 , как написано в прил.3 правил, и повторите логи.

**Yura_sk** · 08.04.2009, 14:17

Большое Вам спасибо! Помогло

**Гриша** · 08.04.2009, 14:35

Логи повторите...

**Yura_sk** · 08.04.2009, 15:26

Логи

**Гриша** · 08.04.2009, 15:34

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;       
 QuarantineFile('C:\Program Files\movie makerr\movie.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
end.

Пришлите карантин...

**Yura_sk** · 08.04.2009, 16:19

отправил карантин. действительно сидит еще зараза.
только вставишь флешку - пишет autorun.inf и setup.exe на нее, DRWEB с последним обновлением баз не ловит

**Numb** · 09.04.2009, 10:10

Наверное, все же, так: программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Logical Disk Manager Administr', 4);
 SetServiceStart('BackGround switch', 4);
 QuarantineFile('C:\Program Files\movie makerr\movie.exe','');
 QuarantineFile('c:\windows\system32\sloop.dll','');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('c:\windows\system32\sloop.dll');
 BC_DeleteFile('c:\windows\system32\sloop.dll');
 DeleteFile('C:\Program Files\movie makerr\movie.exe');
 BC_DeleteFile('C:\Program Files\movie makerr\movie.exe');
 DeleteService('Logical Disk Manager Administr');
 DeleteService('BackGround switch');
 BC_DeleteSvc('Logical Disk Manager Administr');
 BC_DeleteSvc('BackGround switch');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, повторите логи.

**PavelA** · 09.04.2009, 12:56

Еще не забыть зайти в раздел "Чаво" и отключить автозапуск флешек.

**Yura_sk** · 09.04.2009, 13:12

Готово. На флешку перестало писать. А писало svсhost.exe переименованный в setup.exe.

**Numb** · 09.04.2009, 13:50

По-моему, чисто. Проблемы видимые остались какие-нибудь?
По совету PavelA, отключите автозапуск и, если система лицензионная, установите SP3 + все последующие обновления.

**Yura_sk** · 09.04.2009, 14:10

спасибо огромное, видимых проблем не осталось.
лицензия есть, срочно устанавливаю SP3 и обновления.

**CyberHelper** · 10.04.2009, 14:10

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\dftp\smss.exe - Trojan-Downloader.Win32.VB.lou ( BitDefender: Gen:Trojan.Heur.VB.1024DBEBEB )
2. c:\windows\system32\myservice.exe - Trojan.Win32.Small.bwp ( BitDefender: Trojan.Rincux.AW )
3. c:\windows\system32\regedit32.exe - Worm.Win32.AutoRun.adxr ( BitDefender: GenPack:Trojan.Spy.Agent.NZO )

Trojan.MulDrop.29287 + другие (заявка № 43427)

Опции темы

Trojan.MulDrop.29287 + другие

Итог лечения

Похожие темы

Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank

Помогите! Вирусы Win32.HLLW.Lime.18 Trojan.MulDrop.33911 Trojan.Packed.154

Trojan.DownLoader.37508, Trojan.MulDrop.8347, Trojan.Proxi.2507, Backdoor.Dozg

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516

Ваши права в разделе