Trojan.MulDrop1.48452 и еще чтото [Worm.Win32.Agent.adx, Trojan.Win32.AntiAV.pqv ]

Printable View

05.03.2013, 12:02
m1950

Вложений: 1

Trojan.MulDrop1.48452 и еще чтото [Worm.Win32.Agent.adx, Trojan.Win32.AntiAV.pqv ]

ОС Win 2003 server sp1 32bit.
В диспетчере задач висят несколько процессов которые невозможно завершить. не запускается ни один из вариантов HiJackThis.Удалось сделать только один лог из AVZ.
05.03.2013, 12:03
Info_bot

Уважаемый(ая) [B]m1950[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.03.2013, 13:40
mrak74

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\shturm~1.avr\locals~1\temp\hvzzfk.exe');
TerminateProcessByName('c:\windows\azozqgyvnrzmqveds.exe');
QuarantineFile('\SystemRoot\system32\DRIVERS\redbook.sys','');
QuarantineFile('c:\docume~1\shturm~1.avr\locals~1\temp\hvzzfk.exe','');
QuarantineFile('c:\windows\azozqgyvnrzmqveds.exe','');
QuarantineFile('C:\WINDOWS\system32\trfpfulhybiuxbjh.exe','');
QuarantineFile('C:\WINDOWS\system32\wzshcwstpxjairehapkea.exe','');
QuarantineFile('C:\WINDOWS\system32\uvmzskedxdncipabsfy.exe','');
QuarantineFile('C:\WINDOWS\system32\hjbpjcxxszkahpbdvjdw.exe','');
QuarantineFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\trfpfulhybiuxbjh.exe .','');
QuarantineFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\jjzldunlejsglrbbrd.exe','');
QuarantineFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\hjbpjcxxszkahpbdvjdw.exe .','');
QuarantineFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\hjbpjcxxszkahpbdvjdw.exe','');
DeleteFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\hjbpjcxxszkahpbdvjdw.exe');
DeleteFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\hjbpjcxxszkahpbdvjdw.exe .');
DeleteFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\jjzldunlejsglrbbrd.exe');
DeleteFile('C:\DOCUME~1\SHTURM~1.AVR\LOCALS~1\Temp\trfpfulhybiuxbjh.exe .');
DeleteFile('C:\WINDOWS\system32\hjbpjcxxszkahpbdvjdw.exe');
DeleteFile('C:\WINDOWS\system32\uvmzskedxdncipabsfy.exe');
DeleteFile('C:\WINDOWS\system32\wzshcwstpxjairehapkea.exe');
DeleteFile('C:\WINDOWS\system32\trfpfulhybiuxbjh.exe');
DeleteFile('c:\windows\azozqgyvnrzmqveds.exe');
DeleteFile('c:\docume~1\shturm~1.avr\locals~1\temp\hvzzfk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','uvmzskedxdncipabsfy');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lfpvhsfxkjmu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','jjzldunlejsglrbbrd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kfqxkwkdrrvee');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','lhtbpcrlabgqrt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','lhtbpcrlabgqrt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce','azozqgyvnrzmqveds');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kfqxkwkdrrvee');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','trfpfulhybiuxbjh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','olyhwkavlntegjq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(17);
ExecuteWizard('SCU',2,2,true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(false);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
05.03.2013, 14:26
m1950

Вложений: 1

К сожалению все также наблюдаю паразитов в диспетчере, редактор реестра отключен, лог с HiJackThis сделать не представляется возможным.. на секунду появляется окошко с лицензией и пропадает..[ATTACH]407363[/ATTACH]
05.03.2013, 15:11
mrak74

[URL="http://virusinfo.info/showthread.php?t=15927"][B]Как лечить файловый вирус[/B][/URL] вариант с Live CD предпочтительнее. После лечения таким образом подготовьте комплект новых логов AVZ и HijackThis
06.03.2013, 14:53
m1950

Вложений: 2

прошел лечение через Dr.Web LiveCD. логи:
06.03.2013, 15:04
mrak74

Выполните скрипт в AVZ:
[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

Подключите к компьютеру флешки которыми пользовались и еще раз пролечитесь с помощью Live CD. Недолечили. Live CD нужен свежий с последними базами, скачивать и записывать диск необходимо на незаражённом компьютере. После лечения, повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
06.03.2013, 15:21
m1950

проверял последним из доступных на оффициальном сайте Dr.Web. Возможно с флешки залетел пока логи делал, проверю все еще раз..
06.03.2013, 15:35
mrak74

С флешкой аккуратней

[QUOTE]>>> C:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> C:\autorun.exe ЭПС: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\ShellExecute]
>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> D:\autorun.exe ЭПС: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\ShellExecute]
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> F:\autorun.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\ShellExecute]
>>> G:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> G:\autorun.exe ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\ShellExecute]
[/QUOTE]
Похоже проблема и на ней имеется.
06.03.2013, 15:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\shturm~1.avr\\locals~1\\temp\\hjbpjcxxszkahpbdvjdw.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\docume~1\\shturm~1.avr\\locals~1\\temp\\hjbpjcxxszkahpbdvjdw.exe . - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\docume~1\\shturm~1.avr\\locals~1\\temp\\hvzzfk.exe - [B]Trojan.Win32.AntiAV.pqv[/B] ( DrWEB: Trojan.Siggen.36621, BitDefender: Gen:Variant.Pykspa.1, NOD32: Win32/AutoRun.Agent.TG worm, AVAST4: Win32:Renos-KY [Trj] )[*] c:\\docume~1\\shturm~1.avr\\locals~1\\temp\\jjzldunlejsglrbbrd.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\docume~1\\shturm~1.avr\\locals~1\\temp\\trfpfulhybiuxbjh.exe . - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\windows\\azozqgyvnrzmqveds.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\windows\\system32\\hjbpjcxxszkahpbdvjdw.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\windows\\system32\\trfpfulhybiuxbjh.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\windows\\system32\\uvmzskedxdncipabsfy.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[*] c:\\windows\\system32\\wzshcwstpxjairehapkea.exe - [B]Worm.Win32.Agent.adx[/B] ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Dropped:Worm.Generic.224973, NOD32: Win32/AutoRun.Agent.TV worm, AVAST4: Win32:Chydo [Drp] )[/LIST][/LIST]