-
Junior Member
- Вес репутации
- 55
И снова wwwznv32.exe...
Доброго времени суток, товарищи!
Периодически посещая данный форум, заметил, что народ начал хватать нового руткита(сообщения про файл wwwznv32.exe в автозагрузке). Не обошла эта беда стороной и коллегу по офису: тоже подхватил..
KAV2010 обнаруживает в system32 sys-файл и предлагает произвести перезагрузку для проведения процедуры лечения, но после перезагрузки воз и ныне там..
Увидел изменения в userini.exe: 2 файла на запуск: первый - из system32 позже был определён, как Trojan.Win32.Jorik.Shiz.bz(Trojan.Siggen2.15 - DrWeb), а второй, из Temp-а, отсутствовал. Пофиксил это.
wwwznv32.exe из автозагрузки не удаляется(точнее, воспоявляется через некоторое время), процесс среди запущенных не виден. sys-файл из system32 удалить не получается.
Вот логи; жду указаний
Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe','');
QuarantineFile('C:\V\virusinfo.info\Антивирусная_диагностика\Лечащие утилиты\klwk.com\klwk\klwk.com','');
DeleteFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер.
-
-
Junior Member
- Вес репутации
- 55
Так быстро ответили Спасибо,Olejah!
Забыл загрузить предыдущий карантин, созданный в процессе составления логов. Загрузил на всякий случай, может что полезное захватил:
Файл сохранён как 100802_190630_2010-08-02_4c56def66ea9f.zip
Размер файла 724254
MD5 bc7536557aa87594a5ce3446f27a8867
Скрипт сейчас буду выполнять...
Заметил, что на подключенной к компьютеру "флешке" создаются файлы little.exe и соответствующий ему авторан. В Моём Компьютере меняется иконка съёмного диска на изображение папки. Образец вируса оставил. Если понадобится - вышлю.
-
Давайте тогда так - после скрипта повторите логи АВЗ с подключенной флешкой + Сделайте лог Гмер.
-
-
Junior Member
- Вес репутации
- 55
Невозможно зайти в Safe Mode - компьютер требует пароль для входа: пароль пользователя(он же локальный админ на своём компьютере) не подходит... В чём дело - ума не приложу...
Попробовал выполнить скрипт в обычном режиме(пароль для входа в систему, кстати, в обычном режиме подходит...) - что-то получилось, но не знаю, насколько хорошо...
klwk.com - многофункциональная лечеащя утилита от Лаборатории Касперского - опознаётся антивирусами, как вирус.
Gmer после запуска при экспресс-проверке выдаёт предупреждение о рутките. При попытке полного сканирования системы - BSOD:
STOP 0x00000050(0xF71C2000, 0X00000000, 0XA7FBFAFC, 0X00000000)
pfrdqpog.sys - Address A7FBFAFC bas at A7FBF000 datestamp 4b274f8d
Сейчас загружу новые логи...
-
Junior Member
- Вес репутации
- 55
Вот логи. Заметил, что wwwzvn32.exe из автозагрузки пропал, впрочем, как и сам пункт в меню Пуск... Забавно.. Зато остался Startup(родной язык этой windows - английский). В логе Хайджека его не наблюдаю... Попробую ещё повозиться с ГМЕРом..
Лог МВАМ надо?
Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.
-
Junior Member
- Вес репутации
- 55
GMER по-прежнему не может провести полную проверку компьютера: только экспресс-проверку...
При экспресс-проверке Гмер выдаёт сообщение об обнаруженном скрытом процессе [BOOT]xfwvfr. При запуске полной проверки, как только Гмер сталкивается с этим процессом - BSOD...
KAV2010 загружается, но висит мёртвым грузом в системной трее - никаких реакций при кликании по значку...
-
А если прикрепить сюда лог экспресс-проверки.
-
-
Junior Member
- Вес репутации
- 55
Добрый день!
Снял HDD с заражённого компьютера и установил на ночь в запасной системный блок, дабы проверить его там антивирусом. Воспользовался CureIt!-ом. В процессе проверки последний нашёл в Application data пользователя Trojan.DownLoader1.15292, а в System32/Drivers того самого xfwvfr.sys - Trojan.NtRootKit.9374. Копии вирусов оставил - могу выслать, если понадобится..
Установил HDD в родной системник, делаю новый комплект логов. Гмер работает без проблем.
-
Сообщение от
Hamrad
Копии вирусов оставил - могу выслать, если понадобится..
Запакуйте пожалуйста в zip архив, с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 55
Отправил:
Файл сохранён как 100803_162922_Viruses_4c580ba2ec339.zip
Размер файла 660635
MD5 6a97cadd64dd49a149e29d6b53708233
Файлы внутри архива переименованы. Downloader имел расширение exe, Руткит - sys.
Логи почти сделал - при попытке выполнения в AVZ стандартного скрипта №2 компьютер зависает намертво...
-
Junior Member
- Вес репутации
- 55
Вот новая порция логов. Вместо лога от HiJackThis прикладываю логи RSIT, но если нужен будет от Хайджека - сделаю, приложу.
KAV по-прежнему неактивен: real time-сканирование зависло на одном и том же числе проверенных файлов, плюс ко всему, было выдано сообщение о повреждении баз. Был произведён откат к предыдущей версии баз, после чего было запущено обновление, которое прошло успешно. Антивирус подаёт довольно "вялые" "признаки жизни": при подключении флешки(чистой) выдаётся предложение проверить флешку. При проверке выдаёт отчёт об одном проверенном файле и об отсутствии угроз, хотя файлов на флешке довольно много... Новые вирусы и автораны на флешке не появляются.
Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.
-
Junior Member
- Вес репутации
- 55
Товарищи, уделите, пожалуйста, пять минут внимания: ответа уже почти сутки нет...
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\golovko\Start Menu\Programs\Startup\wwwznv32.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^golovko^Start Menu^Programs^Startup^wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 55
Спасибо, polword! Сейчас всё сделаем!
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Hamrad; 21.02.2011 в 17:13.
-
подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \trojan.downloader1.15292 - Worm.Win32.AutoRun.bliz ( DrWEB: Trojan.DownLoader1.15292, BitDefender: Gen:Heur.VB.Krypt.11, AVAST4: Win32:Malware-gen )
- \trojan.ntrootkit.9374 - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )
-