Trojan.Win32.Small.aarn

Printable View

30.04.2009, 11:29
umklaidet

Trojan.Win32.Small.aarn

7-й KAV обнаруживает Trojan.Win32.Small.aarn в файле C:\WINDOWS\dlfpt.rdv
Пытается удалить при помощи "специальной процедуры лечения", но после перезагрузки вирус появляется снова. CureIT под "безопасным режимом" ничего не находит. Как можно избавиться от этой гадости?
30.04.2009, 11:41
Bratez

Сделайте логи по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL], тогда мы сможем вам помочь.
30.04.2009, 11:48
umklaidet

Вложений: 3

[QUOTE=Bratez;395069]Сделайте логи по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL], тогда мы сможем вам помочь.[/QUOTE]
Я бы с радостью, но вирус запретил мне доступ на запись к дискам, я банально файл отчета сохранить не могу. Попробую что-то сделать, но не уверен, что получится.

Готово

Как я понимаю KAV не сможет справиться с вирусом?
30.04.2009, 17:42
Numb

Пока так: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
quarantinefile('C:\Documents and Settings\uZer\Start Menu\Programs\Startup\r155_15.bat','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl322.dll','');
QuarantineFile('C:\WINDOWS\system32\hidec','');
QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cmigameport.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\hidec');
BC_DeleteFile('C:\WINDOWS\system32\hidec');
DeleteFile('digeste.dll');
BC_DeleteFile('digeste.dll');
DeleteFile('c:\windows\system32\digeste.dll');
BC_DeleteFile('c:\windows\system32\digeste.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=44841[/url] , как написано в прил.3 правил, [url=http://virusinfo.info/showthread.php?t=10025]очистите временные папки и кэш браузера[/url] и повторите логи.
30.04.2009, 19:14
umklaidet

Вложений: 3

Сделал.
К сожалению не удается убить временные файлы в юзере uZer, почему-то запрещен доступ к папке (хотя права админские).
30.04.2009, 19:26
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
[b]
virusinfo_syscheck.zip
hijackthis.log [/b]
30.04.2009, 21:35
umklaidet

Вложений: 2

Сделал. Не помогает.
Симптомы (вдруг поможет в диагностике): при попытке запустить cmd и при попытке запустить reg-файл убивается процесс explorer, сайты иногда открываются не с 1 раза, перестает работать звук, периодически падает Мозилла, пару раз был bsod при запуске приложений.
30.04.2009, 22:12
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки повторите 3 лога по правилам.
30.04.2009, 23:13
umklaidet

Вложений: 3

Сделал. Пока не помогает. Буду дальше биться завтра.
01.05.2009, 00:39
Geser

Очистите карантин и выполните скрипт ниже. После перегрузки закачайте новый карантин как в прошлый раз
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\WinCtrl322.dll','');
QuarantineFile('C:\Program Files\WebSite-Watcher\wswatch_add.exe','');
QuarantineFile('C:\Program Files\Video Strip Poker Supreme\main.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\splj.sys','');
QuarantineFile('C:\WINDOWS\system32\splj.sys','');
QuarantineFile('C:\WINDOWS\system32\hidec','');
DeleteFile('C:\WINDOWS\system32\hidec');
DeleteFile('C:\Program Files\Video Strip Poker Supreme\main.exe');
DeleteFile('C:\Program Files\WebSite-Watcher\wswatch_add.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl322.dll');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]

C:\Documents and Settings\uZer - Это реально существиющий акаунт?
01.05.2009, 10:50
umklaidet

Сделал. При выполнении скрипты были какие-то ошибки. Какие - не знаю, т.к. комп перезагрузился сразу.

[QUOTE=Geser;395442]C:\Documents and Settings\uZer - Это реально существиющий акаунт?[/QUOTE]

Он был когда-то, потом после нескольких восстановлений винды доступ к нему пропал. При попытке зайти в C:\Documents and Settings\uZer пишется "отказано в доступе".
01.05.2009, 10:56
Rene-gad

Повторите логи по правилам.
01.05.2009, 11:57
umklaidet

Вложений: 3

Сделал.
AVZ как не видел, так и не видит вируса в C:\WINDOWS\dlfpt.rdv =(
А мне удалось добраться до C:\Documents and Settings\uZer, поудалял оттуда всякий мусор и права нормальные установил.
01.05.2009, 20:24
Rene-gad

Отключите Касперского и выполните скрипт
[CODE]begin
QuarantineFile('C:\WINDOWS\dlfpt.rdv','');
end.[/CODE]
Карантин - если что-то попадет - закачайте по правилам.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=umklaidet;395538]Сделал.
AVZ как не видел, так и не видит вируса в C:\WINDOWS\dlfpt.rdv =([/QUOTE]Вы имя файла точно скопировали? Если можно, копи-пейст строчку из протокола КИС с именем файла.
01.05.2009, 20:33
umklaidet

[CODE]29.04.2009 23:59:16 Файл c:\windows\dlfpt.rdv, обнаружено: троянская программа 'Trojan.Win32.Small.aarn'.
[/CODE]
Не попадает файл в карантин.

Вот здесь: [url]http://forum.kaspersky.com/index.php?showtopic=114921[/url] избавились как минимум от файла удалением из реестра, у меня так не получилось, наверное потому что у меня в HKLM\SYSTEM\ControlSET00X\Control\Session Manage вируса не было.
01.05.2009, 20:49
Rene-gad

А найти его по приложению 2 правил Вы можете? Если да- пришлите по правилам (приложение 3).
01.05.2009, 21:10
umklaidet

Оказывается не получалось поместить в карантин из-за очередного запрещения на запись, после перезагрузки сделал, смотрите.
01.05.2009, 21:17
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\dlfpt.rdv');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки обновите базы Вашего антивируса, сделайте полную проверку системы и повторите логи.
02.05.2009, 01:00
umklaidet

Вложений: 3

Помогло. Спасибо огромное. Надеюсь, что благодарность в вечнозеленом эквиваленте поможет вашему замечательному ресурсу.
Ну и логи на всякий случай.
03.05.2009, 01:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\dlfpt.rdv - [B]Trojan.Win32.Small.aarn[/B][*] c:\windows\system32\winctrl322.dll - [B]Trojan-Downloader.Win32.Mutant.cnb[/B] ( DrWEB: BackDoor.Bulknet.225, BitDefender: Trojan.Dropper.Kobcka.Gen.1 )[/LIST][/LIST]