Трояны!!!!

Printable View

21.04.2008, 12:32
ghostil

Трояны!!!!

Посмотрите, пожалуйста, логи, на компьютере постоянно выскакивают от сообщения от Symantec, что на компьютере вирусы...:)
21.04.2008, 12:49
PavelA

Отключить антивирус. Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1MF\Cookies\0.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\alt12.exe.exe','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('qmjb544.exe','');
QuarantineFile('c:\pagefile.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать то, что попадет в карантин. Странно, но много чего в логе AVZ не видно.
21.04.2008, 13:06
ghostil

карантин закачал, сейчас логи выполняю!

[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]

действительно, странно, почему не видно!
21.04.2008, 13:20
PavelA

C:\Documents and Settings\1MF\Cookies\0.exe - Trojan.DownLoader.origin (Др.Веб)
alt.exe.exe - Trojan.Win32.Agent.juy (по Касперскому)
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.mx
Остальное тоже зверье. Скрипт напишу, будем удалять.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Чистим:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\1MF\Cookies\0.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\alt12.exe.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('qmjb544.exe');
DeleteFile('c:\pagefile.dll');
BC_ImportAll;
ExecutesysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Делаем новые логи.
21.04.2008, 13:28
ghostil

скрипт выполнил, делаю новые логи!
21.04.2008, 13:53
ghostil

вот новые логи
21.04.2008, 14:17
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [advap32] "qmjb546.exe"/r
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdexc.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\system32\kdexc.exe');
DeleteFile('C:\WINDOWS\system32\qmjb546.exe');
DeleteFile('C:\WINDOWS\qmjb546.exe');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DeleteFile('C:\WINDOWS\Temp\BN67.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21824[/url]).
Сделайте новые логи.
21.04.2008, 14:29
ghostil

карантин я закачал! Сейчас новые логи делаю!=)
21.04.2008, 14:34
Bratez

kdexc.exe - [b]Packed.Win32.Monder.gen[/b]
kavir.exe - [b]Email-Worm.Win32.Zhelatin.xv[/b]
21.04.2008, 14:46
ghostil

новые логи!
21.04.2008, 14:52
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('kdexc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Это ваш провайдер:

[CODE]UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine[/CODE]

Если нет [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{C62D0E80-EDAD-453F-9E3E-3D59DDF6494C}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{F82D6A92-CA90-475D-B479-FAB0B3668197}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113[/CODE]

Это ваше:

[QUOTE]G:\autorun.inf[/QUOTE]

Повторите лог virusinfo_syscheck
21.04.2008, 15:06
Bratez

Ссылочка в реестре осталась на kdexc.exe, а ExecuteSysClean такое не отрабатывает.
Надо выполнить скрипт:
[code]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
end.[/code]
21.04.2008, 15:07
ghostil

сейчас выполню... логи больше не делать?=)
21.04.2008, 15:08
Bratez

Сделайте начиная с п.10 правил на всякий случай.
21.04.2008, 15:09
PavelA

0.exe_ - Trojan-Downloader.Win32.Winlagons.cw (свежий)

alt12.exe.exe_ - Trojan.Win32.Agent.juy,
qmjb544.exe_ - Trojan-Downloader.Win32.Mutant.mx,
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.nb
autoex.dll - not-a-virus:AdWare.Win32.BHO.ajq
21.04.2008, 15:18
ghostil

вот новые логи
21.04.2008, 15:49
Bratez

Логи чистые.
21.04.2008, 15:50
PavelA

Я бы сказал, что чисто, но не безопасно.
Надо позакрывать все то, что не нужно из сервисов, указанных внизу лога.
Да и от греха подальше отключить автозапуск.
21.04.2008, 15:53
ghostil

будет сделано!