Куча троянов

Printable View

31.01.2008, 18:45
AndreyM16

Куча троянов

Здравствуйте.
На компьютере за долгое время накопилось куча вирусов. Симтомы: все время чем то загружается трафик через SpDer Mail, часто вылезает ошибка svhost, идет обращение к диску, не показывает скрытые файлы.

Мои логи

Еще хочу добавить, что при проверке AVZ он два раза выдовал ошибку и закрывался, вдруг в логах чего-то нибудет.
31.01.2008, 19:15
Numb

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Igor\Local Settings\Temp\temp.00495.tmp','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\hpfsched.exe','');
QuarantineFile('C:\Program Files\ASWPro\SSS.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\HPFECP20.SYS','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\WINDOWS\system32\HPFMLC20.dll','');
QuarantineFile('C:\WINDOWS\system32\HPFMEM20.dll','');
QuarantineFile('C:\WINDOWS\system32\HPFlpm20.dll','');
QuarantineFile('C:\WINDOWS\system32\HPFIOP20.DLL','');
QuarantineFile('C:\WINDOWS\system32\HPFCOM20.DLL','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('c:\docume~1\igor\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\igor\locals~1\temp\winlogon.exe');
BC_DeleteFile('c:\docume~1\igor\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
DeleteFile('C:\Documents and Settings\Igor\Local Settings\Temp\temp.00495.tmp');
BC_DeleteFile('C:\Documents and Settings\Igor\Local Settings\Temp\temp.00495.tmp');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\autorun.inf');
DeleteFile('c:\program files\connectionservices\connectionservices.dll');
BC_DeleteFile('c:\program files\connectionservices\connectionservices.dll');
DeleteFile('c:\program files\bitaccelerator\bitaccelerator.dll');
BC_DeleteFile('c:\program files\bitaccelerator\bitaccelerator.dll');
BC_DeleteSvc('protect');
BC_DeleteSvc('FCI');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=17315[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и повторите логи, начиная с п. 10 правил. Перед повторными логами, крайне рекомендуется провести полную проверку машины утилитой [url=ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe]Cureit![/url]. Внимание! Утилита при старте проводит экспресс-проверку, по окончании которой вы должны сами отметить пункт "Полная проверка" и нажать кнопку "старт". В дополнение: на машине был пинч - срочно меняйте все пароли ( к учетным записям пользователей, записям электронной почты, интернет-пейджерам, итд.)
31.01.2008, 19:50
AndreyM16

Карантин отослал, логи высылаю все 3 т.к. не знаю какие нужно. CureIt не проверял.
31.01.2008, 21:30
AndreyM16

Спасибо вроде глюков не наблюдается сейчас. Хочу еще спросить а менять все пароли в том числе и на вход в нет, и к почтовым ящиком.
31.01.2008, 23:12
Numb

Выполните еще один скрипт, пожалуйста: [code]begin
BC_Deletesvc('protect');
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.
31.01.2008, 23:22
AndreyM16

Извините, сейчас не смогу выслать логи, вышлю их завтра.
01.02.2008, 14:41
AndreyM16

Высылаю логи. Глюков стало меньше, но вылезала ошибка svhost при работе в Интернете.
01.02.2008, 16:19
Numb

Вы лог лечения системы каждый раз заново старый прикрепляете? Еще одного я просмотрел :( Программа AVZ - файл - выполнить скрипт - выполните еще один скрипт:[code]begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ASWPro\SSS.sys');
BC_DeleteFile('C:\Program Files\ASWPro\SSS.sys');
BC_DeleteSvc('AntiSpyWareProFilter');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]После перезагрузки, карантин AVZ, если будет не пустой, загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=17315[/url] .Какая ошибка вылезала, можно чуть-чуть поподробнее?
01.02.2008, 17:41
AndreyM16

[SIZE=1][B][SIZE=1]По поводу ошибки: при работе в Интернете появляется ошибка:

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
[/B][/SIZE]Подпись ошибки
EventType : BEX P1 : svchost.exe P2 : 5.1.2600.2180 P3 : 41107ed6
P4 : netapi32.dll P5 : 5.1.2600.2180 P6 : 411096ac P7 : 0000a3c0
P8 : c0000409 P9 : 00000000
В отчет будут включены файлы
C:\DOCUME~1\Igor\LOCALS~1\Temp\WER8b4d.dir00\svchost.exe.mdmp
C:\DOCUME~1\Igor\LOCALS~1\Temp\WER8b4d.dir00\appcompat.txt
[/SIZE]
01.02.2008, 17:51
Bratez

Систему регулярно обновляете? Если у вас русская (не MUI-шная) версия Windows, то рекомендую установить это: [url]http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454[/url]. С большой вероятностью избавит от ошибки svchost, и в любом случае очень полезно.
01.02.2008, 18:01
AndreyM16

Логи лечения прикреплял старые, т.к. рекомендовано было с п. 10, а не 8. Карантин отправил по ссылке.
До этого проверял антивирусом, который удалял файлы из карантина. И после скрипта - опять 54 трояна в карантине.
02.02.2008, 14:16
Alex_Goodwin

Сделайте логи заново.
Из присланных
$DATA - Trojan.Win32.Obfuscated.nw
winlogon.exe_, winlogon.exe_1 - Trojan-Proxy.Win32.Agent.xp
02.02.2008, 18:10
Макcим

Включите Windows Firewall - не будет появляться ошибка svhost'а.
02.02.2008, 18:36
AndreyM16

Вложений: 3

Высылаю логи
02.02.2008, 20:06
akok

Ничего зловредного больше не вижу...
Какие проблемы отались?
22.02.2009, 03:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]108[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.pqm[/B] (DrWEB: Win32.HLLW.Autoruner.1236)[*] c:\\documents and settings\\igor\\local settings\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.xp[/B] (DrWEB: Trojan.Packed.573)[*] c:\\docume~1\\igor\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.xp[/B] (DrWEB: Trojan.Packed.573)[*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\bitaccelerator\\bitaccelerator.exe - [B]Trojan.Win32.ConnectionServices.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.pnz[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.nw[/B] (DrWEB: Trojan.MulDrop.10870)[/LIST][/LIST]