trojan.fakealert.4625

[dimanov]

здравствуйте! подцепил зловредный trojan.fakealert.4625 (win xp sp3)
симптомы:
1) pop-up сообщение "windows security alert" из трея от бутафорской Antivirus System PRO
2) при запуске любого exe вылезает сообщение типа: нельзя выполнить, данное exe инфицировано, применить антивирус? да/нет (на англ.)
3) периодически запускается IE и залазит на сайты сомнительного содержания)
надеюсь на вашу помощь!
p.s. предположительный источник трояна - программа tvuplayer, тк я слышал что якобы там могут быть трояны, а все симптомы появились на след. день после её установки

[Шапельский Александр]

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\lsp.dll','');
 QuarantineFile('C:\Program Files\oldfsi\jqmfsysguard.exe','');
 QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
 QuarantineFile('C:\WINDOWS\system32\iehelper.dll','');
 DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
 DeleteFile('C:\WINDOWS\system32\lsp.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(14);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Возможно пропадание интернета
Если невозможно будет выйти в интернет, тогда выполните такой скрипт

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(15);
RebootWindows(true);
end.

[dimanov]

пока все по-старому. virus.zip отправил, вот новые логи:

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\program files\oldfsi\jqmfsysguard.exe');
 DeleteFile('C:\Program Files\oldfsi\jqmfsysguard.exe');
 DeleteFileMask('C:\Program Files\oldfsi\','*.*',true);
 DeleteDirectory('C:\Program Files\oldfsi\');
 DeleteFile('C:\WINDOWS\system32\iehelper.dll');
 DelBHO('{C277B942-1F68-486b-8F95-6E486A13F148}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system tool');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи

[dimanov]

Venus Doom, нужно ли перед выполнением скрипта сделать:
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
(как ранее писал shapel)?

[Никита Соловьев]

Разумеется, если вы щелкните ссылку "подробнее..." то увидите там такие же указания

[dimanov]

спасибо, вроде бы все исчезло.
p.s. после выполнения вашего скрипта комп автоматически почему-то не перегрузился, сделал вручную

[PavelA]

O2 - BHO: Ask Toolbar BHO -- если не пользуйтесь, то лучше деинсталлировать.

[dimanov]

удалил. больше ничего делать не надо? на всякий случай опять логи

[PavelA]

Думается, что нет.

[dimanov]

всем кто принимал участие огромное спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\oldfsi\jqmfsysguard.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.684, BitDefender: Trojan.Generic.2613002, NOD32: Win32/Kryptik.BAK.gen trojan, AVAST4: Win32:Bredolab-AP [Trj] )
  2. c:\windows\system32\iehelper.dll - Trojan.Win32.BHO.whc ( DrWEB: Trojan.Fakealert.4625, BitDefender: Trojan.Generic.2601447, AVAST4: Win32:Spyware-gen [Spy] )
  3. c:\windows\system32\lsp.dll - Trojan.Win32.Agent2.cjya ( DrWEB: Trojan.Siggen.9595, BitDefender: Application.Generic.248984 )