вирус в svchost.exe

**Alex12** · 20.09.2010, 23:55

Добрый вечер!
Подцепил вирус запустив вот это приложение из МойМир на МэйлРу
(Разработчикам отписал, поэтому могли удалить)
[deleted]Игра Red Light.
Пользую Аваст, но в момент заражени он был временно отключен

(((
Включил, снова зашел по ссылке - Аваст ругается:
20.09.2010 20:25:45 user 1916 Sign of "HTML:Iframe-inf" has been found in [deleted]" file.
20.09.2010 20:25:57 user 1916 Sign of "HTML:Iframe-inf" has been found in [deleted] file.
И постоянно с компа идет рассылка почты через 25й порт. (аваст мэйл check зафиксировал). Порт я закрыл.

Комментарии по логам:
ПО логу AVZ
очевидная причина в svchost.exe, но не представляю как исправить: файл удалить не удается.
FRAPS - программа снятия скриншотов и видео из ир.

По логу HiJack
-из раздела 04-HKLM...Run всё знакомо кроме ctfmon и rundll32
-AtGuard - остатки фаервола (под XP он не работает но пользую как IP-монитор)
-что за зверь GuardMailRu - могу только догадываться. Есть от него хоть какая-то польза?
-AccessRunerDSL и CnxDSLtb - файлы для DSL-модема

Надеюсь на Вашу помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 21.09.2010, 00:10

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('D:\APPS\FRAPS\FRAPS.EXE','');
 QuarantineFile('C:\WINDOWS\system32\uiukgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\bnftfq.exe','');
 QuarantineFile('C:\WINDOWS\system32\9bd89184.exe','');
 QuarantineFile('C:\WINDOWS\system32\71362322.exe','');
 QuarantineFile('C:\WINDOWS\system32\5085c876.exe','');
 QuarantineFile('yqiaja.sys','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
 DeleteFile('yqiaja.sys');
 DeleteFile('C:\WINDOWS\system32\5085c876.exe');
 DeleteFile('C:\WINDOWS\system32\71362322.exe');
 DeleteFile('C:\WINDOWS\system32\9bd89184.exe');
 DeleteFile('C:\WINDOWS\system32\bnftfq.exe');
 DeleteFile('C:\WINDOWS\system32\uiukgr.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('yqiaja.sys');
 BC_DeleteSvc('FCI');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**Alex12** · 21.09.2010, 00:42

Спасибо за ответ!

карантин загрузил, а вот логи

**polword** · 21.09.2010, 00:52

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 DeleteFileMask('C:\Program Files\Common Files\20675e8d', '*.*', true);
 DeleteDirectory('C:\Program Files\Common Files\20675e8d');
 DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
 DeleteDirectory('C:\Program Files\Common Files\wm');
 RebootWindows(true);
end.

Что с проблемой?

**Alex12** · 21.09.2010, 23:30

Вау, у меня ещё и кейлогер сидел!!!
Веерной рассылки спама больше не идёт, но после перезагрузки Avast нашел вирус в памяти - в CnxDSLtb.exe
Так что я просканил всю систему заново и повторяю логи.

**Никита Соловьев** · 21.09.2010, 23:34

Процесс легитимный, это аваст глючит...

Выполните процедуру, описанную здесь

**Alex12** · 23.09.2010, 02:12

Сообщение от Venus Doom

Процесс легитимный, это аваст глючит...
Выполните процедуру, описанную здесь

Увы, выполнить не могу, тк этот CnxDSLtb.exe был удален как неподдающийся лечению

**Никита Соловьев** · 23.09.2010, 02:15

Сообщение от Alex12

Увы, выполнить не могу, тк этот CnxDSLtb.exe был удален как неподдающийся лечению

Причём здесь этот файл. Откройте ссылку, почитайте

**Alex12** · 28.09.2010, 14:08

Файл сохранён как 100928_140604_virusinfo_files_ACER_4ca1be0cae34e.z ip
Размер файла 7122787
MD5 cb725b7f581433d8f255e7acd5540bbf

**CyberHelper** · 29.09.2010, 14:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.avbq ( DrWEB: Trojan.Spambot.7539, BitDefender: Trojan.Generic.KD.39031, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )

вирус в svchost.exe (заявка № 88399)

Опции темы