Много троянов

Printable View

07.08.2009, 00:11
zmirno

Вложений: 3

Много троянов

Уважаемые помощники, не мог долго войти в форум, поэтому бестолково написал сообщение. Тема
[url]http://virusinfo.info/showthread.php?t=51501[/url] без вложений. Извините :(
Исправляюсь.

Проблема такая - поначалу исчез сайт Вконтакте, страница не загружалась. С этой проблемой справились, удалив лишнюю информацию в файле host по адресу C:\WINDOWS\system32\drivers\etc. Вконтакте восстановился, но один за другим стали выскакивать предупреждения о вирусах (антивирус НОД). А также сообщения системы об ошибках процесса svhost. Вирусы следующие:

[I]C:\WINDOWS\system32\93FANN3UMK\M001.exe - модифицированный Win32/Agent.NWM троян - изолирован - удален
C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\8FQ9Q123\M001[1].exe - модифицированный Win32/Agent.NWM Троян - изолирован - удален
C:\WINDOWS\system32\93FANN3UMK\I001.exe - вероятно модифицированный Win32/Genetik Троян - изолирован - удален
C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин.
C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\QL6P45S5\I001[1].exe - вероятно модифицированный Win32/Genetik Троян - изолирован - удален
C:\WINDOWS\system32\93FANN3UMK\E001.exe - вероятно модифицированный Win32/Agent.DKR Троян - изолирован - удален[/I]

и много-много других файлов. Последняя проверка Касперским в безопасном режиме:

[I]удалено: троянская программа Trojan-Downloader.Win32.Agent.ckvw Файл: c:\windows\system32\cmptes.dll//Execryptor
удалено: троянская программа Trojan-Downloader.Win32.Agent.cktm Файл: c:\windows\clfile.exe
удалено: троянская программа Trojan-Downloader.Win32.Ogran.a Файл: c:\windows\vfhyjh.exe
удалено: троянская программа Backdoor.Win32.Agent.ajqs Файл: c:\windows\system32\i\j001.exe//PE_Patch.RLPack//RLPack
удалено: троянская программа Backdoor.Win32.Agent.ajqs Файл: c:\windows\system32\i\j002.exe//PE_Patch.RLPack//RLPack
удалено: вирус Worm.Win32.AutoRun.byt Файл: c:\windows\system32\dhcppapi.dll

[B]не удалил после перезагрузки: троянская программа Exploit.Win32.SqlShell.i Файл: c:\windows\system32\libmysql.dll//aspack[/B][/I]

Проверьте, пожалуйста, логи.
07.08.2009, 00:35
thyrex

Проверьте системную дату - 2001 год

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\LIBMYSQL.dll','');
QuarantineFile('c:\windows\system32\oniney.dll','');
QuarantineFile('C:\WINDOWS\System32\mswebsrv.dll','');
QuarantineFile('c:\windows\system32\mstcpweb.dll','');
DeleteFile('C:\WINDOWS\System32\LIBMYSQL.dll');
DeleteFile('c:\windows\system32\mstcpweb.dll');
DeleteFile('C:\WINDOWS\System32\mswebsrv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
07.08.2009, 00:46
zmirno

Скрипт выполнил.
Карантин выслал.
[I]Файл сохранён как 090807_004529_virus_4a7b40e91151a.zip
Размер файла 876147
MD5 b33bc281ecd8250b7743fbf3f07f20ac[/I]

Делаю новые логи.
07.08.2009, 01:12
zmirno

Вложений: 3

Высылаю новые логи. Жду указаний.
07.08.2009, 01:32
thyrex

Нужно подождать результат по этому файлу c:\windows\system32\oniney.dll
07.08.2009, 06:15
zmirno

хорошо

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 39 минут[/I][/B][/color][/size]

нет ли результатов?
что в логах?
07.08.2009, 06:26
Aleksandra

oniney.dll - [B]Backdoor.Win32.PcClient.bezr[/B]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\oniney.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
07.08.2009, 06:52
zmirno

Вложений: 1

Скрипт выполнил.
Посылаю новый лог.
К сожаленью должен выходить из сети.
Спасибо.
07.08.2009, 10:09
Aleksandra

Ничего зловредного в логах нет.
08.08.2009, 10:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\mstcpweb.dll - [B]Trojan.Win32.Agent.ctfa[/B] ( DrWEB: Trojan.Packed.650, BitDefender: Trojan.Packed.Libix.Gen.1 )[*] c:\windows\system32\mswebsrv.dll - [B]Trojan.Win32.Agent.ctiy[/B] ( DrWEB: Trojan.Packed.650, BitDefender: Trojan.Packed.Libix.Gen.1 )[*] c:\windows\system32\oniney.dll - [B]Backdoor.Win32.PcClient.bezr[/B] ( DrWEB: Trojan.DownLoad.39520 )[/LIST][/LIST]