Trojan.Fakealert.1321

Printable View

16.09.2008, 00:03
Nor-man

Trojan.Fakealert.1321

Доброго времени суток!

Некоторое время назад во время отсутствия антивирусных программ компьютер был заражен. Затем почищен CureIt. После установки Касперского перестала работать сеть. Удалил Касперского 7.0 - сеть заработала, но через некоторое время на рабочем столе появилась заставка, предупреждающая о наличии вирусов в системе и призывающая обновить антивирусное обеспечение, нажав кнопку на заставке. При проверке CureIt компьютер перезагружается. В безопасном режиме находит трояна, удаляет. Но при перезагрузке зловред пояляется снова.

При попытке выполнить стандартный скрипт AVZ лечения/сбора информации компьютер перезагрузился.
16.09.2008, 00:37
V_Bond

почему логи в SafeMode ? все ! выполняется в [B]нормальнои режиме[/B] если не было иных указаний ....
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\lphc1fdj0etdm.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\BQCGHQKO.exe','');
DeleteService('winmgmtNtLmSsp');
DeleteService('winmgmtNetDDEdsdm');
DeleteService('TapiSrvstisvc');
DeleteService('RasAutoBITS');
DeleteService('NetDDESwPrv');
DeleteService('msupdate');
DeleteService('EventSystemWmiApSrv');
DeleteService('AppMgmtamupdsvc');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\BQCGHQKO.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\blphc1fdj0etdm.scr');
DeleteFile('C:\WINDOWS\system32\lphc1fdj0etdm.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи
16.09.2008, 09:42
Nor-man

Вложений: 1

Спасибо за помощь. После выполнения скрипта заставка с рабочего стола исчезла. При попытке проверки/лечения CureIt компьютер перезагружается, при попытке выполнения стандартного скрипта AVZ лечения/сбора информации компьютер перезагружается. После выполнения скрипта AVZ сбора информации файл лога имеет несколько странное название virusinfo_files_GARIK.zip, размер 1 390 байт и не подгружается к сообщению на форуме с комментарием: не хватает места...
16.09.2008, 10:27
Rene-gad

[QUOTE=Nor-man;284114]После выполнения скрипта AVZ сбора информации файл лога имеет несколько странное название virusinfo_files_GARIK.zip, размер 1 390 байт и не подгружается к сообщению на форуме с комментарием: не хватает места...[/QUOTE]Закачайте на файлообменник и дайте ссылку тут.
16.09.2008, 18:03
Nor-man

[COLOR="Red"]ссылка на карантин удалена[/COLOR]
16.09.2008, 18:42
Rene-gad

[QUOTE=Nor-man;284372]Ссылка на файл: [URL]http://virusinfo.info/upload_virus.php?tid=30244[/URL][/QUOTE]
У меня не скачивается... Ошибка сервера.
16.09.2008, 19:15
Nor-man

Скачивается. К сожалению, сервер разрешает скачивание только после 30 секунд "просмотра" рекламы. Дайте, пожалуйста, ссылку на какой-нибудь другой файлообменный сервер...
16.09.2008, 19:46
Rene-gad

[QUOTE=Nor-man;284397]Дайте, пожалуйста, ссылку ...[/QUOTE]
Я ща по шее дам >:( Это - [COLOR="Red"][SIZE="5"]карантин[/SIZE][/COLOR], его - сюда: [url]http://virusinfo.info/upload_virus.php?tid=30244[/url]
[CENTER][SIZE="5"][B]ЛОГИ - ПРИКРЕПИТЕ К СООБЩЕНИЮ
ЧИТАЙТЕ ПРАВИЛА ГРОМКО ВСЛУХ[/B][/SIZE][/CENTER]
16.09.2008, 19:55
Nor-man

Вложений: 1

Закачал по указанной ссылке. Файл сохранён как 080916_105935_virusinfo_files_GARIK_48cfd7e7ef4b3.zip
Какие данные еще нужны?
16.09.2008, 21:15
V_Bond

где еще два лога ?
16.09.2008, 22:39
Nor-man

[quote=Nor-man;284114]При попытке проверки/лечения CureIt компьютер перезагружается, при попытке выполнения стандартного скрипта AVZ лечения/сбора информации компьютер перезагружается. [/quote]

файл virusinfo_files_GARIK.zip залит по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=30244[/URL] 080916_105935_virusinfo_files_GARIK_48cfd7e7ef4b3. zip
16.09.2008, 22:46
Nor-man

Вложений: 1

Извините, второй лог получился...
16.09.2008, 22:48
V_Bond

читайте правила ... там есть порядок выполнения логов и вперед по пунктам ...заново
25.09.2008, 21:57
Nor-man

Вложений: 3

[quote=V_Bond;284513]читайте правила ... там есть порядок выполнения логов и вперед по пунктам ...заново[/quote]
1. В безопасном режиме - чистка CureIt, перезагрузка
2. Отключение сети, отключение восстановления системы, стандартный скрипт AVZ №3, презагрузка
3. Стандартный скрипт AVZ №2, включение сети, отсылка логов
25.09.2008, 22:11
Гриша

Восстановление точно отключили? :)

[CODE]Восстановление системы: [B]включено[/B][/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\dwshd.sys ',' ');
DeleteFile('C:\WINDOWS\system32\Drivers\dwshd.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин и повторите логи...
25.09.2008, 22:38
Nor-man

Вложений: 3

[quote=Гриша;289028]Восстановление точно отключили? :)

[code]Восстановление системы: [B]включено[/B][/code]

Галка вроде стоит...
25.09.2008, 22:43
Гриша

Вот теперь отключено,в логах чисто,жалобы есть?
25.09.2008, 22:52
Nor-man

[quote=Гриша;289045]Вот теперь отключено,в логах чисто,жалобы есть?[/quote]

После установки AVP опять сеть слетела... Настройки TCP/IP сделаны вручную, но в состоянии подключения нет НИЧЕГО. При попытке исправить пишет: "Не удается получить параметры протокола TCP/IP Для этого соединения"
25.09.2008, 22:55
Гриша

Хмм, может задать этот вопрос здесь [url]http://forum.kaspersky.com/index.php?showforum=8[/url] ?
22.02.2009, 07:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\iexplorer.exe - [B]Worm.Win32.AutoRun.ntb[/B] (DrWEB: Trojan.DownLoad.4201)[*] c:\\windows\\msauc.exe - [B]Trojan.Win32.Pakes.kmm[/B] (DrWEB: Trojan.PWS.ICQSniff.25)[*] c:\\windows\\services.exe - [B]Trojan.Win32.Pakes.kma[/B] (DrWEB: Trojan.Spambot.3531)[*] c:\\windows\\system32\\drivers\\nsvslrus.sys - [B]Trojan.Win32.Pakes.kmn[/B] (DrWEB: Trojan.Sentinel.based)[*] c:\\windows\\system32\\lphc1fdj0etdm.exe - [B]Backdoor.Win32.Frauder.fk[/B] (DrWEB: Trojan.Packed.636)[*] c:\\windows\\system32\\twext.exe - [B]Trojan-Spy.Win32.Zbot.exy[/B] (DrWEB: Trojan.PWS.Panda.12)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan.Win32.Agent.aeal[/B] (DrWEB: Trojan.Inject.3842)[/LIST][/LIST]