Доставучий троян

Printable View

28.08.2009, 13:26
tehnocat

Доставучий троян

Собственно проблема такая: во время работы (в любой программе), внезапно открывается браузер (Опера), и открывает страницу [code]http://www.thenewspedia.com/index.php/components/writing[/code]. Возможно, есть что-то еще. Логи, естественно, прилагаются.
28.08.2009, 13:38
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-6227296961-7616939674-094849941-2294\nissan.exe','');
QuarantineFile('\systemroot\system32\drivers\kbiwkmkbevpcyf.sys','');
QuarantineFile('d:\greylink0549\greylink.exe','');
DeleteFile('\systemroot\system32\drivers\kbiwkmkbevpcyf.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-6227296961-7616939674-094849941-2294\nissan.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/COLOR][/B]" над первым сообщением темы).

Сделайте лог гмера по правилам [url]http://virusinfo.info/showthread.php?t=40118[/url]

Повторите также логи AVZ.
28.08.2009, 14:56
tehnocat

Скрипт выполнил. Карантин прислал. Логи gmer'а и AVZ'а прилагаю.
28.08.2009, 15:02
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\kbiwkmkbevpcyf.sys','');
DeleteFile('c:\windows\system32\drivers\kbiwkmkbevpcyf.sys');
QuarantineFile('c:\windows\system32\kbiwkmqowbfoej.dll','');
DeleteFile('c:\windows\system32\kbiwkmqowbfoej.dll');
QuarantineFile('c:\windows\system32\kbiwkmqmiwxivb.dll','');
DeleteFile('c:\windows\system32\kbiwkmqmiwxivb.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-6227296961-7616939674-094849941-2294\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service kbiwkmwbpalnkt
gmer.exe -del file "c:\windows\system32\drivers\kbiwkmkbevpcyf.sys"
gmer.exe -del file "c:\windows\system32\kbiwkmqowbfoej.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmxnriqpfq.dat"
gmer.exe -del file "c:\windows\system32\kbiwkmqmiwxivb.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmxjuqwrsr.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmwbpalnkt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmwbpalnkt"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
28.08.2009, 16:19
tehnocat

Повторяем логи. Вообще-то результат уже есть, так что... Спасибо огромное :clapping:
28.08.2009, 16:24
Белый Сокол

Здесь чисто.

Повторите логи AVZ.
28.08.2009, 17:15
tehnocat

Повторяем.
28.08.2009, 17:22
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX0\2llv5.exe','');
TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX0\2llv5.exe');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX0\2llv5.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\a68am5hg.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\apaqkbyw.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url]
- скачайте [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url], запустите, поставьте галочку напротив [b]Select All[/b] и нажмите [b]Empty Selected.[/b]
- если вы используете [b]Firefox[/b], нажмите [b]Firefox - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.
- если вы используете [b]Opera[/b], нажмите [b]Opera - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.

Повторите логи.
28.08.2009, 17:48
tehnocat

И еще раз повторяем.
28.08.2009, 18:48
thyrex

В логах чисто. Что с проблемой?
28.08.2009, 18:50
tehnocat

Спасибо, все нормально.
28.08.2009, 18:59
thyrex

Выполнить скрипт
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Установите Adobe Acrobat 9.1.3 или удалите старый
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL]
29.08.2009, 18:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-6227296961-7616939674-094849941-2294\nissan.exe - [B]Trojan-Downloader.Win32.Pher.bk[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm )[*] c:\windows\system32\drivers\kbiwkmkbevpcyf.sys - [B]Trojan.Win32.Agent.cvrn[/B] ( AVAST4: Win32:Alureon-CP [Rtk] )[*] c:\windows\system32\kbiwkmqmiwxivb.dll - [B]Packed.Win32.TDSS.z[/B] ( AVAST4: Win32:Alureon-CP [Rtk] )[*] c:\windows\system32\kbiwkmqowbfoej.dll - [B]Trojan.Win32.Agent.cvrm[/B] ( AVAST4: Win32:Alureon-CU [Rtk] )[/LIST][/LIST]