Трояны LdPinch.ynf , PWS.QQSpy, Trojan.generic

Я поймал 2 трояна:
1 ТРОЯН) непростительно глупо открыл файл который пришел по аське (я его проверял NOD32):
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\Program Files\QIP\For My Friends.rar/For My Friends.exe

После этого у меня на моем сайте на индексную страницу добавился script. Похоже этот троян украл пароль через total commander на ftp

Обновленный KIS 7 нашел и удалил:
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP417\A0148875.exe
not-virus:Hoax.Win32.VB.x Файл: D:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP430\A0153801.exe

Drweb CUREIT в безопасном режиме нашел эти файлы зараженными Trojan.PWS.QQSpy.origin:
mtrans.exe C:\Documents and Settings\1\Рабочий стол\mtrans.exe
A0154267.exe C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP433\A0154267.exe

Он их отправил в карантин \Quarantine\ они там и лежат по сей день.

========================================================
2 ТРОЯН) Нашел крэк для befaster, проверил KIS 7 (все было ок) и запустил. Kis стал ругаться, первое действие я разрешил, а остальные 2 отменил.

После перезагрузки :
Только сообщение что-то типа: "Окно личные настройки . Службы services". Рабочий стол пустой, винт время от времени что-то подгружает, но в итоге все так и остается.

В безопасном режиме обнаружил этот service тут:
C:\Program Files\Services.exe
Нашел в реестре такую запись:
-------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
stubpath=C:\Program Files\Services.exe
-------------------------------------------------------------
ЗАМЕНИЛ: stubpath=%SystemRoot%\system32\services.exe
А 2 файла Services.exe и Mswinsck.ocx (они были рядом) сжал и спрятал.
В обычном режиме комп загрузился. КиСом проверил папки:
Windows, Documents and Settings, Program Files, System Volume Information, Temp

Обнаружил:
Trojan.generic Процесс: C:\Program Files\BeFaster\Crack.exe (befaster анинсталировал)
Я его удалил.

В автозагрузке было: KB_963491.exe в папке c:\windows\system32\
Похоже это тоже был вирус , но я его в этой папке не нашел, в автозагрузке я его отключил.

Самое обидное что после отключения в реестре
C:\Program Files\Services.exe, о котором я писал выше , исчезли все СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ, если открываю папку СЕТЕЫЕ ПОДКЛЮЧЕНИЯ , выводится:
"Не удается поместить список сетевых устройств компьютера в папку "сетевые подключения",проверьте что служба сетевых подключений включена и выполняется".

В обычном режиме загрузки XP, в реестре нашел еще ссылки
на C:\Program Files\Services.exe, переименовал их на C:\WINDOWS\system32\Services.exe
----------------------------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
параметр C:\Program Files\Services.exe значение Services
HKEY_USERS\S-1-5-21-4105050024-325968112-3228587436-1006\Software\Microsoft\Windows\ShellNoRoam\MUICache
параметр C:\Program Files\Services.exe значение Services
----------------------------------------------
Сетевых подключений как не было так и нет.
Логи ниже. Заранее благодарю за помощь.

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не выключено системное восстановление.
[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
DeleteFile('C:\WINDOWS\system32\wlinject.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Сделал первый этап как Вы написали.
После перезагрузки, комп опять перезагружается и так до бесконечности. В безопасном режиме тоже самое.

Что делать ?

Моя ошибка...:( У Вас есть этот файл wlinject.exe где-нибудь? Его нужно восстановить через консоль восстановления.
Если Вы закачали карантин - я дам Вам файл.

Честно говоря, я его не сохранял, не успел.
А по идее он же должен быть в карантине у AVZ ?
Попытаюсь его найти в папке через консоль восстановления.

[QUOTE=Dmitry2;272635]
Попытаюсь его найти в папке через консоль восстановления.[/QUOTE]Он там под комичным именем [B]avz00001.dta[/B]. Его нужно переименовать в [B]wlinject.exe [/B]и скопировать обратно в C:\WINDOWS\system32\wlinject.exe.
Еще раз извините :(

Ну. надеюсь все закончится хорошо, без форматирования диска :-)

Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.

Я попытался через команду set снять ограничения, но он пишет, что это команда сейчас недоступна и она доступна только во время использования интегрированной надстройки анализа и настройки безопасности .

Как бы этот доступ разрешить ?

АВЗ лучше было бы в корне сохранить.
А возможность, сделать BartPE у Вас есть? : [url]http://nu2.nu/pebuilder/[/url]
На худой конец можно Линухом: [url]www.knoppix.com[/url]

Ура, у меня получилось вернуть этот файл на место .
Я тут осознал, что не отключил тогда восстановление.

Я его прочитывал вместо слова "отключить", как включить
и галку не ставил. Может из-за этого вирус остался ?

А что сейчас делать, подскажите пожалуйста ?

Могу ли я сейчас AVZ в корень положить ? Или уж не надо ?

сделайте еще раз логи ...

Вообщем-то этим сейчас и занимался :-)

Я сделал все что просил [URL="http://virusinfo.info/member.php?u=3772"][B]Rene-gad[/B][/URL] , только не запускал скрипт который он мне выслал ибо из-за него виндоус перезагружался без остановки.

Ниже логи и вирус wlinject.exe

файлик чистый ....
плохого ничего не увидел ...

В папке Quranteen был еще один файл, я его приатачил.

Подкажите, пожалуйста, а что мне сделать, чтобы Сетевое подключение стало работать ?
Я вначале первого поста описал суть вопроса.

На данном этапе уже совсем хорошо.
Оказывается вирус отключил все службы, пришлось их все заново настраивать.

Проверил крэк файл из-за которого весь сыр быр, на сайте
[url]http://www.virustotal.com/ru/[/url]

Из всего списка только 4 антивируса определили, что это вирус.
Ни drweb ни kis с ним не справились.

В течении недели надеюсь все проверю и можете еще раз контрольные логи вышлю . Все спасибо за помощь :)

файл чистый ....

[QUOTE=Dmitry2;272642]
Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.[/QUOTE]
Знаете почему? В консоли восстановления допустимы только имена в формате DOS8.3 (8 символов имя+3 символа расширение), т.е. путь [B]C:\Program Files\[/B] должен задаваться как [B]C:\progra~1\[/B]...8)

Ок, учту.

Кстати, BartPE для меня было открытием , никогда не думал что такое возможно :-)

[QUOTE=Dmitry2;273780]
Кстати, BartPE для меня было открытием , никогда не думал что такое возможно :-)[/QUOTE]Вот видите - нет худа без добра :) Кроме того - в Барт можно встроить нужные плагины. Почитайте там на страничке :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]