iuhi32.exe и другие.

Printable View

18.02.2009, 20:57
Black Jack

Вложений: 3

iuhi32.exe и другие.

Здравствуйте. Подцепил заразу с флешки, хотя вставлял ее в безопасном режиме и при нажатой клавише "Shift" :O Часть вирусов с нее удалилось, а другие видно запустились.
Проверил систему в безопасном режиме DrWeb. Он удалил троян под именем iuhi32.exe, распологающийся в автозагрузке. Но после перезагрузки сиситемы этот вирь опять в автозагрузке. Так же при выполнении логов каждый раз выскакивало окно: "Требуется перезагрузка" - и варианты "Да" и "Нет". Нажимал "Нет" и только после этого скрипт продолжал выполняться. Собственно подозрения возникли, когда появился незнакомый процесс cleaner.exe и модем начал отправлять пакеты. Больше этот процесс не появлялся. Вот логи:
18.02.2009, 21:04
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\updateswin.exe','');
QuarantineFile('C:\Documents and Settings\Alex\Local Settings\Temporary Internet Files\Content.IE5\KPIVCDQ7\winupdates[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
QuarantineFile('C:\DOCUME~1\Alex\LOCALS~1\Temp\V3qDA0iy.sys','');
DeleteFile('C:\DOCUME~1\Alex\LOCALS~1\Temp\V3qDA0iy.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
DeleteFile('C:\Documents and Settings\Alex\Local Settings\Temporary Internet Files\Content.IE5\KPIVCDQ7\winupdates[1].exe');
DeleteFile('C:\updateswin.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=40004"]http://virusinfo.info/upload_virus.php?tid=40004[/URL]
Повторите логи по правилам.
18.02.2009, 21:47
Black Jack

Вложений: 3

Сделал логи. При выполнении команды msconfig в автозагрузке по-прежнему висит iuhi.exe Так же нашел на диске C наряду с основными папками файл cleaner с иконкой в виде файла-приложения. Файл создан вчера, хотя я ничего не ставил. Производитель Utool версия 6.32.0.0 Что это за файл? В карантин он не попал :O Проверил на вирустотале.ком 23 из 39 показали, что это вирь. Вот линк на результаты: [url]http://www.virustotal.com/ru/analisis/59a2e507f4e83ab0e16a1d9ebd5ca766[/url] Может его прислать? Вот повторные логи...
18.02.2009, 21:58
light59

В реестре осталась запись от него. Но самого файлика я не вижу.
Сделайте ещё раз полную проверку CureIt
19.02.2009, 18:22
Black Jack

Здравствуйте. После выполнения скрипта и перезагрузки запустил полную проверку CureIT, которая опять нашла вирь по адресу C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe то есть скриптом-то он может и удалился, но потом восстановился опять :O На других дисках тоже нашлись вирусы. Всего было 14. Что делать? Один знакомый говорил, что надо выполнить не стандартную проверку AVZ, сканирующую только самые популярные у вирей места, а проверку всех дисков. Надо ли это делать? В автозагрузке по-прежнему висит iuhi32.exe :(
19.02.2009, 18:25
Гриша

Сделайте логи после проверки...
21.02.2009, 17:41
Black Jack

Вложений: 3

[QUOTE=Гриша;351586]Сделайте логи после проверки...[/QUOTE]
Вот новые логи:
21.02.2009, 17:42
Гриша

В логах чисто, установите SP3+all updates...
22.02.2009, 17:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\alex\local settings\temporary internet files\content.ie5\kpivcdq7\winupdates[1].exe - [B]Backdoor.Win32.Agent.adqf[/B] (DrWEB: Dialer.Siggen.121)[*] c:\updateswin.exe - [B]Backdoor.Win32.Agent.adqf[/B] (DrWEB: Dialer.Siggen.121)[/LIST][/LIST]