Вирус в winlogon.exe

Printable View

07.05.2008, 07:18
7tas

Вложений: 3

Вирус в winlogon.exe

Всем добрый день.
Помогите пожалуйста.
Некий [SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]vtuolevo.dll загружается вместе с winlogon.exe. Уходит трафик.[/COLOR][/SIZE][/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Avz пишет подозрение [SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]на AdvWare.Win32.Virtumonde.qne.[/COLOR][/SIZE][/COLOR][/SIZE][/COLOR][/SIZE][/COLOR][/SIZE]
[COLOR=#ff0000]Я нашел пачку [SIZE=2]Keylogger в автозагрузке. Убил. Сделал проверку, перезагрузился. После перезагрузки в систему стало ломится на установку неизвестное устройство. Трафик вроде как восстановился, но надолго ли. [/SIZE][/COLOR]

[COLOR=#ff0000][/COLOR][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][SIZE=2][/SIZE][/COLOR][/SIZE][/COLOR][/SIZE][/COLOR][/SIZE]
07.05.2008, 08:12
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nnnkLcCT.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSPX.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSPL.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSP.SYS','');
DeleteFile('C:\WINDOWS\system32\cbXQkkJA.dll');
DeleteFile('C:\WINDOWS\system32\hgGyyaxx.dll');
DeleteFile('C:\WINDOWS\system32\pmnlkhgD.dll');
DeleteFile('C:\WINDOWS\system32\rqRIbccD.dll');
DeleteFile('C:\WINDOWS\system32\tuvUlkHX.dll');
DeleteFile('C:\WINDOWS\system32\tuvVNFyX.dll');
DeleteFile('C:\WINDOWS\system32\vtUoLEVO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить ВЕСЬ карантин. Сделать повторно логи.
07.05.2008, 08:44
7tas

На счет карантина. Мне тупо в AVZ папку Quarantine зазипить, запоролить и выслать вам или что-то через AVZ сделать?
07.05.2008, 10:12
Shu_b

[QUOTE=7tas;224434]На счет карантина. Мне тупо в AVZ папку Quarantine зазипить, запоролить и выслать вам или что-то через AVZ сделать?[/QUOTE]

Приложение 3 правил
08.05.2008, 02:10
7tas

Вложений: 2

Вирус в winlogon.exe!

Хочу поблагодарить тех кто мне помог. Сегодня писал про вирус, тему видимо удалили. Вроде все в норме. Трафик не идет. Новое неизвестное устройство не вылазит.На всякий случай в твикере заблокировал установку принторов и почистил драйвера AVZ. Логи и карантин выслал.
Еще раз, СПАСИБО!
08.05.2008, 04:42
7tas

Эх! Рано я обрадовался. Вышел на Google, пишет:
но ваш запрос похож на запросы, автоматически рассылаемые компьютерным вирусом.
Стал чистить cookies, полезло сообшение рекламного характера о необходимости проверить комп на всяко разно.Лезет на сайт. Восстановились левые dll процессы под rundll32.ехе.
Что-то пропустил. Запускаю AVZ. Делаю логи заново.
08.05.2008, 09:57
wise-wistful

Отключите восстановление системы, там все законсервированные враги.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA}');
DelBHO('{03A12934-29DE-4D9E-B7FA-745A47E713CE}');
DeleteFile('C:\WINDOWS\system32\nnnkLcCT.dll');
DeleteFile('vtUoLEVO.dll');
DeleteFile('C:\WINDOWS\system32\vtUoLEVO.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP92\A0018619.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP92\A0018621.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018966.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018967.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018979.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018971.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018970.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018969.dll');
DeleteFile('C:\System Volume Information\_restore{D637267E-C56B-4E43-9E55-01A181C63BD2}\RP97\A0018968.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[b]virusinfo_cure.zip [/b] - это карантин и он загружается по ссылке вверху страницы.

Повторите логи.
09.05.2008, 14:39
7tas

Вложений: 3

Арррр!

:sos: :plach: :dash2: :pray: После долгих попыток, хоть как то самостоятельно победить [COLOR=#0000ff]vtUoLEVO.dll[/COLOR] я сдался.
Отключил восстановление системы.
При интернет подключении выдает (не сразу ) рекламу Sanitardiska.После сразу вешает в систему и автозагрузку два dll процесса [SIZE=2]Keyloggers, и все начинается по новой. [/SIZE]
Оперативно опытным путем выяснил что при удалении непосредственно самого [COLOR=#0000ff]vtUoLEVO.dll[/COLOR] в папке system32 Unlocker сначало выдает блокировку на все запущенные exe процессы в диспечере задач. После снятия блокировки, показывает на два - под System и winlogon.exe. Видимо дрянь сидить под winlogon.exe и при любых танцах с бубнами востанавливается снова.
[SIZE=2]Логи прилагаются.
[/SIZE]
09.05.2008, 14:44
Rene-gad

Попробуйте установить СП3. При этом важные системные файлы, включая winlogon, будут заменены новыми оригинальными.
09.05.2008, 15:41
7tas

Sp3 не помог.

[COLOR=#0000ff] vtUoLEVO.dll[/COLOR] [COLOR=#0000ff]spzb.sys[/COLOR] [U][COLOR=#0000ff]nnnkLcCT.dll[/COLOR][/U]

Продолжают упорно сидеть в системе. Если специалисты не помогут, в конце дня буду сносить ось.
[U][/U]
[U][/U]
[U][/U]
09.05.2008, 15:49
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nnnkLcCT.dll');
DeleteFile('vtUoLEVO.dll');
DeleteFile('C:\WINDOWS\system32\vtUoLEVO.dll');
DelBHO('{5CA129AE-7F55-4BB2-81FF-3AF1398ED708}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи.
09.05.2008, 15:51
7tas

причем после выполнения скрипта в AVZ, Symantec тут же фиксирует трояна блочит его но видимо без результатно.
09.05.2008, 15:52
Гриша

Отключите антивирус и выполните скрипт
09.05.2008, 16:34
7tas

Вложений: 3

Скрипт выполнил.
Логи выложил.
09.05.2008, 16:38
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {27B4FEAD-A250-42D6-97CD-76191C3B7949} - C:\WINDOWS\system32\nnnkLcCT.dll (file missing)
O20 - Winlogon Notify: vtUoLEVO - C:\WINDOWS\
[/CODE]

В логах чисто,жалобы есть?
09.05.2008, 16:54
7tas

AVZ жалуется на Rootkit
C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
spsp.sys
09.05.2008, 16:57
Гриша

SYMEVENT.SYS- от Симантек,spsp.sys-от эмулятора дисков
09.05.2008, 17:14
7tas

Григорий, ВЫ волшебник! :friends:
Большое вам человеческое спасибо!
09.05.2008, 17:17
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".