aadrive32.exe, msprxysvc32.exe

Printable View

14.10.2011, 00:25
4aTTb

Вложений: 3

aadrive32.exe, msprxysvc32.exe

Опять вылез червь несмотря на обновленный windows и установленный IE 8
14.10.2011, 00:25
Info_bot

Уважаемый(ая) [B]4aTTb[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.10.2011, 07:20
Nikkollo

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\docume~1\0daf~1\locals~1\temp\ctfmon.exe');
QuarantineFile('C:\Documents and Settings\Гомункул\Local Settings\Temp\ctfmon.exe',' ');
DeleteFile('C:\Documents and Settings\Гомункул\Local Settings\Temp\ctfmon.exe');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\msprxysvc32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Гомункул\Application Data\Bphahb.exe','');
QuarantineFile('c:\docume~1\0daf~1\locals~1\temp\ctfmon.exe','');
DeleteFile('c:\docume~1\0daf~1\locals~1\temp\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Гомункул\Application Data\Bphahb.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bphahb');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\msprxysvc32.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
14.10.2011, 13:52
4aTTb

Вложений: 1

Вот лог сканирования, установка обновлений указанных в логе - в процессе
14.10.2011, 14:55
Nikkollo

После обновлений:

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7541\s523lswp18.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7541\s523lswp18.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
14.10.2011, 16:57
thyrex

А также

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
14.10.2011, 17:35
4aTTb

Вложений: 1

Сканирование MBAM выполняется, вот лог сканирования AVZ.
15.10.2011, 17:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\гомункул\\application data\\bphahb.exe - [B]Trojan.Win32.Scar.ewbt[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.380634, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\documents and settings\\гомункул\\local settings\\temp\\ctfmon.exe - [B]Backdoor.Win32.Buterat.cvl[/B] ( DrWEB: BackDoor.BlackEnergy.7, BitDefender: Trojan.Generic.KDV.378335, AVAST4: Win32:SmokeLoader [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Trojan.Win32.Pincav.bnsw[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.380634, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan-Dropper.Win32.Agent.fzfu[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.380422, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\aadrive32.exe - [B]Trojan-Dropper.Win32.Agent.fzfu[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.380422, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\admdll.dll - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin.21, BitDefender: Trojan.Generic.6241961 )[*] c:\\windows\\system32\\netdv.dll - [B]Trojan-Spy.Win32.Agent.bsfl[/B] ( DrWEB: Trojan.PWS.Spy.13955, BitDefender: Gen:Trojan.Heur.GM.4400060020, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\svchost.win - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin, BitDefender: Gen:Trojan.Heur.imKfXe63!7ii )[*] c:\\windows\\system32\\16.exe - [B]Trojan.Win32.Pincav.bnsw[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.380634, AVAST4: Win32:Dropper-gen [Drp] )[*] netdv.dll - [B]Trojan-Spy.Win32.Agent.bsfl[/B] ( DrWEB: Trojan.PWS.Spy.13955, BitDefender: Gen:Trojan.Heur.GM.4400060020, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]