W32.Pagipef.I

Printable View

14.08.2008, 22:09
wowsel

Вложений: 3

W32.Pagipef.I

словил вирус, очень походит на описание [URL="http://safe.cnews.ru/bugtrack/entry/index.shtml?malicious/2007/12/05/104774"]W32.Pagipef.I[/URL]
14.08.2008, 22:54
wowsel

да, это он, сворачиваются все 3-d приложения и запускается IE скрытно, лезет на сайт js потом перегружает комп, фаервол спасает от перегрузки..

помогите вылечиться
14.08.2008, 23:01
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\windows\system32\com\lsass.exe','');
QuarantineFile('e:\windows\system32\com\smss.exe','');
QuarantineFile('E:\pagefile.pif','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('e:\windows\system32\com\smss.exe');
DeleteFile('e:\windows\system32\com\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
14.08.2008, 23:21
wowsel

Вложений: 2

Результат загрузкиФайл сохранён как 080814_141940_virus_48a4854c9c301.zip
Размер файла 155623
MD5 7bdeb1f343f62347c4f39dc0d87467e9

Файл закачан, спасибо!

это не помогает, вирус опять ломиться, он при каждой загрузке самопроизводиться...попробую удалить его ключи с реестра как описано в описании в ссылке выше.
14.08.2008, 23:28
V_Bond

E:\pagefile.pif TrojanDropper:Win32/Jevafus.A
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\pagefile.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи все три ...
14.08.2008, 23:33
wowsel

этот троян создаётся чем то, его сколько не удаляй он появляеться.
После удаления ключей реестра вируса замечено не было, однако после перезагрузки он опять появился вместе с ключами..мне кажется надо "убить" разом и ключи и файлы pagefile , lsass, smss

прошу помощи в виде скрипта для AVZ т.к. сам не разобрался как работать с реестром из него.
14.08.2008, 23:35
V_Bond

уважаемый , выполняйте указания ....
14.08.2008, 23:47
wowsel

Вложений: 3

приношу извинения, хотел помочь следствию.
логи
15.08.2008, 00:09
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\pagefile.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\pagefile.pif');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\pagefile.pif');
DeleteFile('e:\windows\system32\com\netcfg.000');
DeleteFile('e:\windows\system32\com\netcfg.dll');
DelCLSID('{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}');
DelCLSID('{D9901239-34A2-448D-A000-3705544ECE9D}');
DelCLSID('{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}');
DelCLSID('{AAC17985-187F-4457-A841-E60BAE6359C2}');
DelCLSID('{814293BA-8708-42E9-A6B7-1BD3172B9DDF}');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
15.08.2008, 00:25
wowsel

Вложений: 3

повтор логов
15.08.2008, 00:32
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\pagefile.pif');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\pagefile.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\pagefile.pif');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\pagefile.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил
15.08.2008, 00:40
wowsel

Вложений: 2

повтор
15.08.2008, 00:44
V_Bond

в логах ничего плохого ....
15.08.2008, 00:53
wowsel

спасибо за помощь, буду наблюдать за поведением компьютера и "зверинца" из вирусов в нём :)
15.08.2008, 10:54
V_Bond

пришел ответ из вирлаба ....
pagefile.pif_ - Virus.Win32.Xorer.cy,
smss.exe_ - Virus.Win32.Xorer.bp
[url]http://dnl-us9.kaspersky-labs.com/devbuilds/AVPTool/[/url] - этим полную проверку сделайте
29.08.2008, 03:00
wowsel

вирус повторяется..делаю проверку антивирусом что в ссылке
22.02.2009, 07:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\pagefile.pif - [B]Virus.Win32.Xorer.cy[/B] (DrWEB: Trojan.MulDrop.16165)[*] e:\\windows\\system32\\com\\lsass.exe - [B]Virus.Win32.Xorer.cy[/B] (DrWEB: Trojan.MulDrop.16165)[*] e:\\windows\\system32\\com\\smss.exe - [B]Virus.Win32.Xorer.bp[/B] (DrWEB: Trojan.Hunder.23)[/LIST][/LIST]