Троян Win32/Injektor.AAU

[Rozerlef]

Троян Win32/Injektor.AAU
После входа в интернет Нод32 обнаружил троян, жму "заветшить", появляеться снова, затем несколько червей и вирусов.
Глубокий анализ Нод32 этот троян не обнаружил. А AVZ только те, что были скачаны с интернета. Самое главное, что через некоторое время (примерно 2-5 мин) происходит разьединение с интернетом, хотя в панели задач значок присутствует. Такчто даже обновление антивирусных баз данных скачать проблематично.
Вот логи AVZ и HijackThis.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\WINDOWS\ncdrive32.exe','');
 QuarantineFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe','');
 QuarantineFile('E:\WINDOWS\system32\msdtc.exe','');
 QuarantineFile('E:\WINDOWS\usb_magr.exe','');
 QuarantineFile('E:\WINDOWS\usb_drv.exe','');
 DeleteFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe');
 DeleteFile('E:\WINDOWS\ncdrive32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56987).
Повторите п.2 раздела Диагностика и сделайте лог gmer.

[Rozerlef]

Вот

[thyrex]

virus.zip удалите из вложений и загрузите согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Где лог gmer, который запрашивался дополнительно?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\usb_magr.exe');
 QuarantineFile('e:\windows\usb_magr.exe','');
 TerminateProcessByName('e:\windows\usb_drv.exe');
 QuarantineFile('e:\windows\usb_drv.exe','');
 DeleteFile('e:\windows\usb_drv.exe');
 DeleteFile('e:\windows\usb_magr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal  Bus device');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Rozerlef]

Вот Gmer и логи.

[Белый Сокол]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer:

Код:

j9c17pgw.exe -del service aczczyxj
j9c17pgw.exe -del file "E:\WINDOWS\system32\nwyzxwi.dll"
j9c17pgw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aczczyxj"
j9c17pgw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aczczyxj"
j9c17pgw.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится!

Ждем свежий лог гмер.

[Rozerlef]

вот лог.
ЗЫ: Теперь Нод32 не видет ни вирусов ни червей, а проблема осталась, интернет сеть перестает работать через некоторое время.

[Белый Сокол]

Батник запускали?

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('E:\WINDOWS\system32\nwyzxwi.dll','');
 QuarantineFile('E:\WINDOWS\innounp.exe','');
 DeleteFile('E:\WINDOWS\innounp.exe');
 DeleteFile('E:\WINDOWS\system32\nwyzxwi.dll');
 RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
 RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj\Parameters');
 RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
 RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj\Parameters');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');  
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj'); 
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.+ лог gmer

[Rozerlef]

пишет, что ошибка в скрипте (ошибка ';' extendet в позиции 15:1)

[snifer67]

поправил

[Rozerlef]

gmer будет позже. Если это трудноизлечимо, может легче снести виндоуз и установить заного?

[Bratez]

Если это трудноизлечимо, может легче снести виндоуз и установить заного?

Спокойно! Дело близится к завершению.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('e:\windows\msdriver32.exe');
 QuarantineFile('e:\windows\msdriver32.exe','');
 DeleteFile('e:\windows\msdriver32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи AVZ.

[Bratez]

+
обновите базы своего антивируса, а то не успеваем одно прибить, как вы другое подхватываете. Если не обновляется, то замените его на что-то более работающее, например триал Касперского.

[Rozerlef]

Установил Касперсого, обновил.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
 DeleteFile('J:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог virusinfo_syscheck.zip

[Rozerlef]

Все, что мешалось удалил, мегаграц!

[thyrex]

Ничего подозрительного не увидел

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 87
• В ходе лечения вредоносные программы в карантинах не обнаружены