Backdoor.Win32.Poison.aovi и Worm.Win32.AInfBot.o

Printable View

04.09.2009, 02:10
GhOsT_MZ

Вложений: 3

Backdoor.Win32.Poison.aovi и Worm.Win32.AInfBot.o

Доброго времени суток!
Подцепил 2 вируса: [B]Backdoor.Win32.Poison.aovi[/B] и [B]Worm.Win32.AInfBot.o[/B].
Первый располагается по адресу: [B]%SYSTEMDRIVE%\b4v9m7s9p9i3.exe[/B];
А второй: [B]System32\Drivers\explorer.exe[/B] и [B]System32\Drivers\[/B][B]LBTWiz.exe[/B].

Что касается первого вируса, то после удаления он появляется непонятно откуда, но при этом запущенным не был замечен.

Второй при запуске закрывает менеджер задач, будь то стандартный tskmngr, или ProcessExplorer. Однако, при запущенном вирусе менеджер задач запускается и нормально работает.
Также, товарищ [B]Worm.Win32.AInfBot.o[/B] постоянно скачивает в директорию [B]System32[/B] файлы, содержащие тело такого же вируса (как показал [B]AVPTool[/B]), но при это активность этих файлов не была замечена.

Также, была замечена сетевая активность [B]explorer.exe[/B] (который от M$, а не вирус), которая заключалась в отправке каких-то данных по 25 порту, а также по 80 порту.

Произведенные меры:
Сканировал диски [B]AVPTool[/B] и [B]CureIT![/B]. Первый находил и удалял вредоносные файлы, но после перезагрузки они появлялись вновь. Что касается [B]CureIt![/B], то он и вовсе не находил их.

Пожалуйста, помогите...
04.09.2009, 03:20
Bratez

Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\htqIh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\htqIh.sys');
DeleteFile('C:\WINDOWS\system32\drivers\LBTWiz.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53930[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
04.09.2009, 03:38
GhOsT_MZ

Вложений: 2

Карантин прислал.
04.09.2009, 04:42
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\E0460141.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
04.09.2009, 13:34
GhOsT_MZ

Вложений: 2

У меня нет такого файла... После выполнения скрипта карантин пуст...
Но вирусы снова появились...
04.09.2009, 14:31
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\avdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0603778889-5907231832-424456546-7236\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0603778889-5907231832-424456546-7236\csvcs.exe');
DeleteFile('C:\WINDOWS\avdrive32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('E0460141');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53930[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
04.09.2009, 14:39
GhOsT_MZ

Вложений: 2

Некоторых файлов в карантине нету, так как пришлось удалить руками, так как из-за них не удавалось зайти сюда (они меняли содержимое файла hosts).
04.09.2009, 14:46
Bratez

В логах чисто.
Ставьте SP3 + последующие обновления, чем скорее - тем лучше.
Надеюсь, базы антивируса у вас обновляются?
04.09.2009, 14:53
GhOsT_MZ

Базы обновляются. СП3 поставлю. Но тему пожалуйста не закрывайте, так как оно может еще появиться (на днях пол ночи лечил, а после ребута появляется вновь, причем может сразу появиться, а может и через несколько часов).
04.09.2009, 15:18
GhOsT_MZ

Вложений: 2

Вот, появился вновь.... До его появления была запущена Malwarebytes' Anti-Malware, которая проверяла систему и uTorrent. При запуске, вирус выключил Malwarebytes' Anti-Malware.
04.09.2009, 15:40
Bratez

Так и будут лезть до бесконечности, пока дыры не закроете.
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\LBTWiz.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
и срочно обновляйте систему!
04.09.2009, 23:46
GhOsT_MZ

Вложений: 4

Поставил SP3, обновил систему (хотя, критических обновлений почему-то не было, что весьма странно, учитывая дату выхода SP3), но не смотря на это, эти вирусы продолжают попытки прорваться. Периодически касперский выдает сообщение о попытке скачать файл [B]hххp://94.76.194.116/h.exe[/B].
Процесс, который пытается скачать файл - это [B]svchost.exe[/B] (оригинальный, ProcessExplorer пишет, что проверка на подлинность прошла).
Ниже приведу скрины окна ProcessExplorer для этого процесса, список служб этого процесса, а также список потоков (или как правильно Thread именуется). + к этому, список автозагрузки из Autoruns. Может что из этого и поможет...
Также, в списке активных процессов не найдено ничего подозрительного...
05.09.2009, 15:14
GhOsT_MZ

Up!
Подскажите пожалуйста что делать...
05.09.2009, 15:25
Bratez

[QUOTE]обновил систему (хотя, критических обновлений почему-то не было, что весьма странно, учитывая дату выхода SP3)[/QUOTE]
Рекомендую это:
[url]http://poleznosti.ru/soft/file_catalog/?file_id=20080528205228[/url].
06.09.2009, 00:59
GhOsT_MZ

Вроде после этих обновлений все нормально стало. Спасибо большое за помощь!
07.09.2009, 00:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe - [B]Trojan.Win32.Buzus.bxsy[/B] ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.2378664, AVAST4: Win32:Trojan-gen {Other} )[*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - [B]Trojan.Win32.Buzus.bxsx[/B] ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.2386405, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\recycler\s-1-5-21-0603778889-5907231832-424456546-7236\csvcs.exe - [B]P2P-Worm.Win32.Palevo.ann[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.P2P.Palevo.B, AVAST4: Win32:Rimecud-B [Wrm] )[*] c:\windows\avdrive32.exe - [B]Net-Worm.Win32.Kolab.dvg[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.83261, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\lbtwiz.exe - [B]Worm.Win32.AInfBot.o[/B] ( DrWEB: BackDoor.IRC.Bot.132, NOD32: Win32/AutoRun.IRCBot.CD worm, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\umdmgr.exe - [B]Trojan-Downloader.Win32.Pher.uk[/B] ( DrWEB: Trojan.Packed.162, BitDefender: Trojan.Downloader.JJRI, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]