amvo

Printable View

16.01.2008, 18:36
Lazar

Вложений: 3

amvo

Сегодня Avast! обнаружил на всех дисках (C, D, E) троян Autorun.inf

После просмотра авторана обнаружилось несколько подозрительных процесов (p2001, ntos, amvo). Первые два спокойно удалились, а вот последний - увы.

Другие "симптомы":
После запуска ОС сразу открываются "Мои документы";
Не видны скрытые файлы и невозможно их просмотреть (после смены галочки на "Показывать скрытые файлы" ничего не происходит и при попытке повторить галочка оказывается в поле "Не показывать скрытые файлы");
любой диск, открываемый через "Мой компьютер" открывается в новом окне (дальше все папки открываются в одном окне).
16.01.2008, 18:43
PavelA

Зоопарк большой накопили!!

Деинсталлировать ConnectionServices,BitAccelerator через "Установку и удаление программ".

Хорошо бы просто провериться для начала Cure-It. Она бы много чего почистила. После нее повторные логи.
16.01.2008, 18:51
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('xycifd.sys','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\avpo0.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('xycifd');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16511[/url]).
Сделайте новые логи.
16.01.2008, 19:46
Lazar

Вложений: 3

Карантин залил.
Логи обновил.
16.01.2008, 20:00
V_Bond

в карантине .....
C:\autorun.inf [B]Worm.Win32.AutoRun.bur[/B]
C:\Program Files\BitAccelerator\BitAccelerator.dll [B]not-a-virus:AdWare.Win32.BHO.ic[/B]
C:\Program Files\ConnectionServices\ConnectionServices.dll [B]not-a-virus:AdWare.Win32.BHO.kj[/B]
C:\Program Files\ConnectionServices\ConnectionServices.dll.bak [B]not-a-virus:AdWare.Win32.BHO.dh[/B]
D:\autorun.inf [B]Worm.Win32.AutoRun.bur[/B]
C:\WINDOWS\system32\amvo1.dll [B]TR/Crypt.NSPM.Gen[/B]
C:\WINDOWS\system32\amvo.exe [B]TR/Crypt.NSPM.Gen[/B]
больше не видно ничего зловредного ....
какие-то проблемі остались ?
16.01.2008, 20:10
Lazar

Почти все проблемы прошли, но всё ещё не могу включить отображение скрытых файлов.
16.01.2008, 20:13
V_Bond

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
17.01.2008, 03:12
Bratez

Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
22.02.2009, 03:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.bur[/B] (DrWEB: Win32.HLLW.Autoruner.1489)[*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll.bak - [B]Trojan.Win32.ConnectionServices.i[/B] (DrWEB: Adware.Cssearch)[*] c:\\windows\\system32\\amvo.exe - [B]Worm.Win32.AutoRun.buv[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo1.dll - [B]Worm.Win32.AutoRun.buv[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.bur[/B] (DrWEB: Win32.HLLW.Autoruner.1489)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.bur[/B] (DrWEB: Win32.HLLW.Autoruner.1489)[/LIST][/LIST]