Сначала $$$-файлы, потом невидимые окна, теперь руткиты... [Trojan-Spy.Win32.Zbot.soo ]

Добрый вечер!
Все началось с того, что в каталоге Windows\Temp стали появляться файлы большого размера (10-15 мб) с расширением *.$$$, которые по сути являлись RAR-архивами с фотографиями автомобилей, пейзажей, с книгами рецептов. DrWeb ничего подозрительного не обнаруживал. Поставил Avira и сразу появились трояны Muldrop, Dropper и пр., с которыми Avira вроде успешно справлялась. Сканер DrWeb отключил. А файлы $$$ продолжали появляться. Поставил Outpost Firewall, после 2 дней поисков выяснил, что эти файлы приходят с какого-то внешнего IP и после настройки соответствующего правила все вроде нормализовалось. Правда трояны эти не давали покоя. Нет, больше они не появлялись, просто я был удивлен, что Веб их не находил (с последними обновлениями), а Avira сразу ловила. Причем несколько раз успешно перехватывала появление какого-то файла bug.exe. Потом поставил A-Squared Free (ну никак не мог смириться с троянами), и он нашел какую-то подозрительность в файле WMKeeper.dll, который почему-то остался после удаления этой программы (что-то про WebMoney). Удалить файл не получилось, т.к. он оказался использованным сразу пости 20 приложениями, среди которых Opera, Torrent, Avira, Outpost и еще много всяких!!! Unlocker'ом я эти процессы отвязал и файл удалил. И вот с того момента и начались чудеса... Интернет не работает, торрент не запускается, файл справки не появляется, хотя все эти приложения показывались запущенными в менеджере задач. Интернет кстати не работал как-то по-особенному - адрес пишу, жму Enter и ничего не происходит, даже Outpost не ловит никакие HTTP-запросы. После этого я запустил AVZ с последними обновлениями (как-то чудом догадался скачать до того, как сломается интернет). Он сразу нашел кучу руткитов в user32.dll, причем имена функций явно связаны с отображением окон. Все ошибки AVZ исправил и я, не перезагружаясь, сразу смог запустить оперу, торрент, вышел в интернет. Полная проверка AVZ приводила к его зависанию, как выяснил позже из-за Outpost. Удалил его. Скачал CureIt, который в safemode нашел Trojan.Mycentria.8 и успешно удалил. Теперь без Outpost снова получаю эти $$$-файлы, и AVZ по-прежнему находит руткиты то в kernel32.dll, то в wininet.dll... Как быть?

---
Marcello

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\spool32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Tppwrif.sys','');
DeleteFile('C:\WINDOWS\system32\spool32.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36737"]http://virusinfo.info/upload_virus.php?tid=36737[/URL]
Повторите логи по правилам.

дальше этой строчки выполнение не идет:

QuarantineFile('C:\WINDOWS\system32\spool32.exe','');

пишет "ошибка при выполнении антируткита".
может прислать карантин с одним файлом? в system32 он разумеется остался...

может этот spool32.exe попробовать удалить вручную в SafeMode?

Уберите эту строчку из скрипта:

[CODE]SearchRootkit(true, true);[/CODE]

Убирание строчки не помогло. Зависание было в том же самом месте. Переставил местами карантинные файлы - сначала драйвер, потом spool32.exe - все получилось. Карантин загрузил к теме. А вот повторные логи не получаются. Стандартный скрипт №3 зависает с такой ошибкой:

c:\windows\system32\cpadvai.dll -> Подозрение на троянскую DLL
c:\windows\system32\cpadvai.dll >>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\cpadvai.dll)
Карантин с использованием прямого чтения - ошибка

Самого файла cpadvai.dll в указанном месте я не вижу. Как быть?

Не с первого раза, но все же удалось собрать логи. Есть ли еще что-то подозрительное в них? А в карантине?

посмотрите логи, пожалуйста

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 52 минуты[/I][/B][/color][/size]

up

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]

Хелперы, что с логами?

Пришлите этот файл Tppwrif.sys согласно приложению 2 правил...

Этот файл вместе с spool32.exe был в присланном карантине. Повторить еще раз?

Пришлите его отдельно...

отправил

Файл сохранён как 090106_204246_virus_49639816ee940.zip
Размер файла 1686
MD5 2d68e07115ed9ccf4eb0020aea76bca2

Подождем ответа аналитиков...

А в остальном логи чистые? Проблемы-то пропали, т.е. $$$-файлы больше не появляются в Temp. И еще вопрос - откуда мог взяться этот spool32.exe в системе? И почему Dr.Web его просмотрел?

А в остальном: всё хорошо, всё хорошо.(c)

Откуда:из интернета вестимо :)Вот почему? Потому что права были на запись :)Не гуляйте под админом в инете и не будут появятся в системной папке вирусы, не зависимо от того, знает ли ваш антивирус на данный момент определённого зверя или нет.
Вот:[url]http://virusinfo.info/showthread.php?t=30339[/url]

TPPWRIF.SYS

Вредоносный код в файле не обнаружен.

2 drongo:
Мой аккаунт действительно админский... Создал еще одного админа и у первого установил права пользователя. И теперь многие приложения под первым аккаунтом перестали запускаться. Как мне их теперь заставить работать? Скажите, где про такую настройку прочитать можно? Или без переустановки не обойтись? Сорри за оффтоп...

2 Гриша: спасибо

запускайте от имени администратора. Правой кнопкой мыши.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\spool32.exe - [B]Trojan.Win32.Monder.aaxz[/B] (DrWEB: Trojan.Inject.5420)[/LIST][/LIST]