Win32/Injector.QA троян

Printable View

15.06.2009, 11:17
EmImm

Вложений: 3

Win32/Injector.QA троян

Помогите, пожалуйста, убить трояна Win32/Injector.QA.

Nod32 (постоянно обновляется через интернет) выдает со средней периодичностью раз в 10-15 минут 3 сообщения:

1. Обнаружен вирус.
Сведения о тревоге
Файл – http:/10.2.56.58:7841/х (10.2.56.58:7841 – постоянно разный)
Вирус – Win32/Injector.QA троян
Выполняемое действие – Завершить

2. Обнаружен вирус.
Сведения о тревоге
Файл – C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\V3BPI1G6\x[1] (V3BPI1G6 – постоянно разный, вместо x[1] иногда testa[1] или testa[2])
Вирус – Win32/Injector.QA троян
Комментарий – Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.

3 (данное сообщение иногда не выдает). Обнаружен вирус.
Сведения о тревоге
Файл – C:\WINDOWS\System32\67.scr (67 – постоянно разный)
Вирус – Win32/Injector.QA троян
Комментарий – Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2009, 14:51
Rene-gad

[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Такая система для интернета НЕ ГОДИТСЯ!!!

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe_,
O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - tkcom32.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('WmiApSrvAlerter');
StopService('Winbp83');
StopService('UPSNVSvcWmi');
StopService('UPSNVSvc');
StopService('TlntSvrNVSvc');
StopService('ResetERSvc');
StopService('RemoteRegistryTermService');
StopService('PlugPlaydmadmin');
StopService('lanmanserverlanmanserver');
StopService('DnscacheWmiApSrv');
QuarantineFile('c:\windows\system32\ntos.exe_','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winbp83.sys','');
DeleteService('WmiApSrvAlerter');
DeleteService('Winbp83');
DeleteService('UPSNVSvcWmi');
DeleteService('UPSNVSvc');
DeleteService('TlntSvrNVSvc');
DeleteService('ResetERSvc');
DeleteService('RemoteRegistryTermService');
DeleteService('PlugPlaydmadmin');
DeleteService('lanmanserverlanmanserver');
DeleteService('DnscacheWmiApSrv');
DeleteFile('C:\WINDOWS\System32\drivers\Winbp83.sys');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DeleteFileMask('C:\windows\system32','??.scr',true);
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WmiApSrvAlerter');
BC_DeleteSvc('Winbp83');
BC_DeleteSvc('UPSNVSvcWmi');
BC_DeleteSvc('UPSNVSvc');
BC_DeleteSvc('TlntSvrNVSvc');
BC_DeleteSvc('ResetERSvc');
BC_DeleteSvc('RemoteRegistryTermService');
BC_DeleteSvc('PlugPlaydmadmin');
BC_DeleteSvc('lanmanserverlanmanserver');
BC_DeleteSvc('DnscacheWmiApSrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.06.2009, 18:57
EmImm

Вложений: 3

Все выполнил как написали, но Nod32 продолжает выдавать сообщения о вирусе.

Новые логи:
15.06.2009, 19:04
Rene-gad

[QUOTE=EmImm;417316]Nod32 продолжает выдавать сообщения о вирусе.[/QUOTE]А чему тут удивляться? У Вас на системе не то, что вирусов, а крокодилов встретить можно....

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\RVHOST.exe','');
QuarantineFile('C:\Program Files\Helper\Helper9.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\Helper\Helper9.dll');
DeleteFile('C:\WINDOWS\System32\RVHOST.exe');
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.06.2009, 19:38
EmImm

Вложений: 3

все выполнил, вирус остался

на счет крокодилов - полностью согласен, но я сейчас никак систему переустановить не могу((

новые логи
15.06.2009, 23:11
Rene-gad

[QUOTE=EmImm;417340]все выполнил, вирус остался[/QUOTE]Где? Какой файл по вопросом у НОД???
15.06.2009, 23:18
EmImm

все абсолютно тоже самое самое что и в начале, с периодичностью в 10 минут выдает все три сообщения

могу лог НОДа выложить, если надо
15.06.2009, 23:20
Rene-gad

[QUOTE=EmImm;417462]могу лог НОДа выложить, если надо[/QUOTE]не надо

Значится так:
- В логах ничего подозрительного
- НОД будет ругаться, пока систему не пропатчите.

Носить воду в решете прекращаем

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8

Потом сделайте новые логи.
15.06.2009, 23:20
EmImm

Ок, я все понял, тогда завтра займусь, и отпишусь, спасибо за помощь
17.06.2009, 00:11
EmImm

Я всю систему снес и поставил СП3, поэтому проблема решилась как бы автоматически))) и тему можно закрывать. Спасибо Rene-gad за помощь и советы.
18.06.2009, 00:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]