Trojan.Downloader.Win32.Piker.bve (SMS K206724100 на 4460)

**YK2009** · 19.01.2010, 15:09

Здравствуйте.
Уважаемые знатоки, помогите добить гада.
Проблема, очень похожая на описанную здесь http://virusinfo.info/showthread.php?t=67596
Не работает редактор реестра, заблокировано восстановление системы, заблокирован KAV2009, при запуске программ выскакивал банер с вымогательством денег. Тоже не помогли основные средства лечения описанные на форуме. Поступил так - загрузился с другого жесткого диска, установил туда триал KAV2010 с последними базами и просканировал проблемный диск. Антивирус ничего не нашел. Далее пользуясь информацией с форума полез в папку system32 и нашел там несколько подозрительных dll одинакового размера со случайным именем файла и вчерашней датой создания. Отправил образец в Лабораторию Касперского. Они ему присвоили имя Trojan.Downloader.Win32.Piker.bve . Буквально через пару часов после обновления KAV стал его видеть - вычистил на проблемном диске несколько экземпляров. Но, вот что странно. Я поместил в карантинную папку 6 экземпляров этой dll. Но KAV признал за врага только один. А прочие, в том числе и те два экземпляра, которые я им отсылал, были признаны безопасными. Ну да ладно, ему виднее, главное систему вычистил и часть проблем ушло. Стали запускаться программы и пропал банер. Осталось разблокировать доступ к реестру, к диспетчеру задач и запуску KAV (пишет, что запрещено администратором). Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 19.01.2010, 15:32

Здравствуйте, отключите компьютер от интернета, а также антивирус и/или файрвол. Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J','');
QuarantineFile('C:\WINDOWS\tmp\oo.dll','');
QuarantineFile('C:\WINDOWS\tmp\leywgkomc.dll','');
QuarantineFile('C:\WINDOWS\tmp\ikozm.dll','');
QuarantineFile('C:\WINDOWS\tmp\dovore.dll','');
QuarantineFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll','');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153160.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153159.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153158.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153157.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153149.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153069.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153068.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll');
DeleteFile('C:\WINDOWS\tmp\oo.dll');
DeleteFile('C:\WINDOWS\tmp\leywgkomc.dll');
DeleteFile('C:\WINDOWS\tmp\ikozm.dll');
DeleteFile('C:\WINDOWS\tmp\dovore.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пофиксите в Hijackthis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J

Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам

**YK2009** · 19.01.2010, 18:06

Сделал как велено. Все прошло нормально за исключением того, что произошло зависание во время перезагрузки. Пришлось помочь кнопкой. После всех действий система внешне выздоровела! Огромное спасибо!
Логи и карантин высылаю.
Еще небольшое замечание - возможно это важно и как-то связано с трояном. Залез в статистику ожившего KAV и обнаружил, что в момент заражения орудовал некий вирус HEUR:Exploit.Script.Generic . Вроде KAV на него ругался и блокировал. Но именно после этого начались неприятности. Сохранился URL этого вируса, ведущий на некий американский сайт. Если нужно, я его предоставлю.
Знать бы еще где я эту заразу подцепил. Ходил в тот день по "обычныму маршруту" - новостные сайты, погода и по работе...

**DefesT** · 19.01.2010, 19:28

В логах ничего плохого. Обновите Internet Explorer до 8 версии. Ссылку на сайт в личку киньте.

**CyberHelper** · 20.01.2010, 19:28

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения вредоносные программы в карантинах не обнаружены

Trojan.Downloader.Win32.Piker.bve (SMS K206724100 на 4460) (заявка № 67837)

Опции темы

Trojan.Downloader.Win32.Piker.bve (SMS K206724100 на 4460)

Итог лечения

Похожие темы

Последствия вирусов: Backdoor.Win32.Shiz.vp, Packed.Win32.Krap.h, Trojan-Downloader.Win32.Agent.esao, Trojan.JS.Redirector.nf

KIS 2010 обнаружил Trojan.Win32.Swisyn.yxx, Trojan-Downloader.Win32.AutoIt.x, Trojan.Win32.VB.ahcz

поймал Trojan-Downloader.Win32.Piker.avk

Trojan-Downloader.Win32.Piker.avd просит смску

Помогите окончательно удалить следы "trojan-downloader.win32.piker.amy"

Ваши права в разделе