Множественные вирусы

Printable View

16.10.2009, 12:00
r403

Множественные вирусы

На компьютере вирусы. Один просил денег через смс и не давал загружаться. В безопасном режиме КурИт этот вирус удалил, АВЗ поправил ключи реестра, так что все стало запускаться... но в автозагрузке есть странные файлы, которые КурИТ не определят как вирус... Утилита Касперсого не запускается (после распаковки далее ничего не происходит). Он-лаин проверка на авп. ру говорит что некоторые файлы из автозагрузки - трояны...
Автоматически вылечить компьютер не получается. Помогите вылечить этот компьютер.
16.10.2009, 12:30
DefesT

Здравствуйте
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ADMIN\gcauthc.msg','');
QuarantineFile('C:\SYSTEM\XPrights.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp','');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\windows\system32\restorer32_a.exe','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('C:\windows\system32\qtplugin.exe','');
QuarantineFile('C:\windows\system32\portmap.exe','');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe','');
QuarantineFile('c:\documents and settings\admin\restorer32_a.exe','');
QuarantineFile('c:\windows\system32\restorer32_a.exe','');
TerminateProcessByName('c:\documents and settings\admin\restorer32_a.exe');
TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\admin\restorer32_a.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe');
DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
DeleteFile('C:\windows\system32\regedit.exe');
DeleteFile('C:\windows\system32\restorer32_a.exe');
DeleteFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN11.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN6.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN7.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN8.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BND.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Antivirus Pro 2010');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Очистите темп папки.
Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
16.10.2009, 13:22
r403

Сделал

Гмер говорит о рут ките..
WARNING Gmer has found system modification, which might have been caused by ROOTKIT activity.
а в окне логов:
svchost.ehe (***hidden***) [AUTO] bnadfijt
16.10.2009, 15:20
r403

Карантин до Вас дошел или его еще раз повторить (не пойму, где отображается это)

[size="1"][color="#666686"][B][I]Добавлено через 41 минуту[/I][/B][/color][/size]

Сейчас я в системе не вижу явных проблем. Но утилита касперского так и не стала запускаться: распаковывается и ничего дальше не происходит, ни в безопасном режиме, ни в нормальном.
Не подскажите, что говорят логи..
16.10.2009, 15:21
DefesT

Карантин пришел.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\qtplugin.exe','');
QuarantineFile('C:\windows\system32\portmap.exe','');
QuarantineFile('C:\windows\system32\wbmwdmvg.dll','');
DeleteFile('C:\SYSTEM\XPrights.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Очистите темп папки.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service bnadfijt
gmer.exe -del file "C:\windows\system32\wbmwdmvg.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnadfijt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnadfijt"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новые логи AVZ по правилам + новый лог gmer.
[QUOTE]C:\windows\system32\qtplugin.exe
C:\windows\system32\portmap.exe[/QUOTE]
Проверьте эти файлы на [url]www.virustotal.com[/url], результат сообщите
16.10.2009, 18:51
r403

Что получилось - сделал:
Логи снова собрал.
Карантин собрал и загрузил, но что-то мне кажется что в него не попало то, что Вы просили... Почему-то я не увидел этих файлов в папке 'C:\windows\system32'
Соответственно, я не смог проверить на [URL]http://www.virustotal.com/ru/[/URL] - т.к. не нашел указанных екзешников, хотя смотрел фаром с включенным показом "всех" файлов.
про скрипт в gmer.exe... я что-то напутал может быть, но помоему на каждую строчку, кроме ребута. Гмер сообщал об ошибке, "не найдено"....
Логи Вам выслал.
Спасибо за помощь
16.10.2009, 19:44
Rene-gad

В логах ничего подозрительного. Жалобы есть?
17.10.2009, 19:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]50[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\restorer32_a.exe - [B]Trojan-Downloader.Win32.Mutant.fmi[/B] ( BitDefender: Trojan.Downloader.Kobcka.M )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bnd.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn10.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn11.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn6.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn7.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn8.tmp - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\seres.exe - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\svcst.exe - [B]Trojan-Downloader.Win32.FraudLoad.wsvt[/B] ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )[*] c:\system\xprights.exe - [B]Trojan.Win32.Agent.dbcq[/B] ( BitDefender: Trojan.Generic.2439572 )[*] c:\windows\system32\restorer32_a.exe - [B]Trojan-Downloader.Win32.Mutant.fmi[/B] ( BitDefender: Trojan.Downloader.Kobcka.M )[/LIST][/LIST]