Win32.Spy.Ursnif заражен termsrv.dll

[Vlan]

Приветствую всех участников форума. Попросили меня пролечить комп от заразы, которая периодически выводит на пол экрана предложение купить всякие секс игрушки и просит смс отправить чтобы ее удалить, а на нем оказался целый рассадник заразы. Сначала я отловил CureIT-ом Backdoor.Blackhole, Trojan.PSW.Panda, Trojan.AdSubscribe, Trojan.MulDrop, Trojan.PSW.LDPinch и еще ряд всякой вирусни. Потом AVZ удалил ntos, тоже там обитал. Установил Eset четверку он еще парочку зверьков прибил, а вот на одном застопорился. Периодически находит файл termsrv.dll и говорит, что он заражен Win32/Spy.Ursnif.A, но удалить его не может И комп ужасно тормозит при загрузке. Помогите, пожалуйста, прибить оставшуюся заразу.

[Kuzz]

Сделайте лог этой версией AVZ, предварительно установив AVZPM

[Vlan]

что то эта ссылка ведет на какой-то game.pif

[Kuzz]

Правильно ведет

[Vlan]

Правильно ведет

А то, что детектируется этот файл как вероятно неизвестный NewHeur_PE вирус удален - изолирован Событие произошло в файле модифицированном приложением: C:\Program Files\Mozilla Firefox\firefox.exe. это тоже правильно?

[Kuzz]

Это спецверсия, она модифицирована так, чтоб ее трояны не узнавали..
Соответственно антивирусы ее тоже не узнают

[Vlan]

Это спецверсия, она модифицирована так, чтоб ее трояны не узнавали..
Соответственно антивирусы ее тоже не узнают

Спасибо за пояснения Просто боязно было качать, после того как антивирь заругался . Запустил скрипт, логи будут минут ч-з 10.

[Vlan]

тыыыкс, готово. Логи прикрепил.

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\jar_cache2192.tmp','');
 QuarantineFile('C:\WINDOWS\system32\DLLINFO.DLL','');
 QuarantineFile('C:\WINDOWS\system32\ACDV.dll','');
 QuarantineFile('C:\WINDOWS\system32\kbd101a.dll','');
 QuarantineFile('C:\WINDOWS\system32\kbd101.dll','');
 QuarantineFile('ACDV.dll','');
 QuarantineFile('kbd101a.dll','');
 QuarantineFile('kbd101.dll','');
 QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
 QuarantineFile('C:\WINDOWS\System32\termsrv.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}\QTPlayer.ico','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\rspndr.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('c:\windows\system32\wuauserv.dll','');
 QuarantineFile('C:\WINDOWS\system32\wups2.dll','');
 QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

Подождем вердикт аналитиков

[Vlan]

Благодарю за помощь! А в какой версии AVZ выполнять? В той, что Вы дали, или разницы нет?

[Kuzz]

Без разницы

[Vlan]

Карантин выслал. Ждем вердикта. Файл сохранён как090708_104552_virus_4a5440a0743f6.zip

Добавлено через 1 час 53 минуты

Как там карантин? Все плохо, или вердикт еще не готов?

[Kuzz]

В присланных Вами файла не найдено ничего вредоносного.

Периодически находит файл termsrv.dll и говорит, что он заражен Win32/Spy.Ursnif.A

А скопировать в карантин он может этот файл?

Добавлено через 52 минуты

Пользователь заменил файл "чистым" с другой системы.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены