Троян (или пачка) блокирует безопасный режим, антивирус, downloader.

Printable View

25.10.2009, 14:12
Again.against

Троян (или пачка) блокирует безопасный режим, антивирус, downloader.

Очень рассчитываю на помощь экспертов в этом вопросе - вирус оказался очень устоичивым, при загрузке в безопасном режиме выдает BSOD, деактивирует антивирус (NOD32 smart security, базы были обновлены).

Из симптомов:
создает исполняемые фаилы в
С:\WINDOWS\Tasks\
типа c2nH4numz9knY5zqnC.inf
а так же с расширениями .ico

Создает (скачивает с интернета) .dll файлы в
папке переменной среды %tempdir% - у меня - С:\TEMP\
%systemroot%\system32\
папке временных файлов IE.
Менеджер процессов показывает три запущенных процесса rundll32.exe

Так же закачивает с интернета различные экзешники, помещая их в папки кэша IE.
--------------------------------
Утилита CureIt в .dll обнаружила несколько PWM троянов, типа Gamaina.
После перезагрузки (установки интернет соединения) они все восстанавливаются.

При выполнении логов AVP произошла ошибка приложения, правда не помешавшая выполнению сканирования:
cldapp.EXE
AppName: cldapp.exe
AppVer: 1.0.0.1
ModName: mfc42.dll
ModVer: 6.2.4131.0
Offset: 000883a7

Еще (может быть вам это пригодится) вирус проник на компьютер следующим образом - я запустил (к своему стыду) подмененный вирусом exe фаил на флешке.

У меня параллельно установлен linux, через него есть доступ ко всем каталогам windows, даже system vol. information, если будет необходимо.

Заранее спасибо, логи прикрепляю.
25.10.2009, 14:55
Шапельский Александр

[FONT=Verdana, sans-serif][SIZE=2]Закройте/выгрузите все программы кроме AVZ .[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]Отключите:[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- ПК от интернета/локалки;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- антивирус и файрвол.;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- восстановление системы;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- выполните скрипт[/SIZE][/FONT]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\NtHid.sys','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vaxscsi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur','');
QuarantineFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf','');
QuarantineFile('C:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\CDuAUVkGy9.dll','');
QuarantineFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf','');
QuarantineFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf','');
QuarantineFile('C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf','');
QuarantineFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf','');
QuarantineFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf','');
QuarantineFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf','');
QuarantineFile('C:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf','');
QuarantineFile('C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf','');
QuarantineFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf','');
QuarantineFile('c:\TEMP\NEventMessages.dll','');
QuarantineFile('C:\WINDOWS\system32\msnvl.exe','');
QuarantineFile('c:\windows\system32\rb37scqvgmszgj3aqyb5qrczx.inf','');
QuarantineFile('c:\windows\system32\fsmby3kmwnag5grbwggu.inf','');
QuarantineFile('c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf','');
QuarantineFile('c:\windows\system32\emqzjjurmfvkrkex9gj.inf','');
QuarantineFile('c:\windows\tasks\tdz5y2teakw2z7xkphf9sqj.inf','');
QuarantineFile('c:\windows\system32\122b901e.dll','');
QuarantineFile('c:\windows\system32\amnczw74h8gwd6cpygkrzdy8.inf','');
QuarantineFile('c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf','');
QuarantineFile('c:\windows\system32\sjqgxvr4vjhtthede75wc.inf','');
QuarantineFile('c:\windows\system32\bwxjaewkdxgrfhkawefa33c36nr.inf','');
QuarantineFile('c:\windows\tasks\tqupe3tz9fgwu56yjwvyy4t.inf','');
QuarantineFile('c:\windows\system32\btmband89jc9pspq5eknj.inf','');
QuarantineFile('c:\windows\tasks\c2nh4numz9kny5zqnc.inf','');
QuarantineFile('c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf','');
QuarantineFile('c:\windows\system32\cwcqnwxhjwqte6psyyee.inf','');
QuarantineFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf','');
QuarantineFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf','');
QuarantineFile('C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf','');
QuarantineFile('C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf','');
QuarantineFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll','');
QuarantineFile('C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf','');
QuarantineFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\6HgdgyQ9RqYPdfvgBgHcs9g5m.cur','');
QuarantineFile('C:\WINDOWS\system32\rb37sCqvGmszGJ3aQYB5qRczx.inf','');
QuarantineFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf','');
DeleteFile('C:\WINDOWS\system32\rb37sCqvGmszGJ3aQYB5qRczx.inf');
DeleteFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf');
DeleteFile('C:\WINDOWS\Downloaded Program Files\6HgdgyQ9RqYPdfvgBgHcs9g5m.cur');
DeleteFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf');
DeleteFile('C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf');
DeleteFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll');
DeleteFile('C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf');
DeleteFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf');
DeleteFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf');
DeleteFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf');
DeleteFile('c:\windows\system32\cwcqnwxhjwqte6psyyee.inf');
DeleteFile('c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf');
DeleteFile('c:\windows\tasks\c2nh4numz9kny5zqnc.inf');
DeleteFile('c:\windows\system32\btmband89jc9pspq5eknj.inf');
DeleteFile('c:\windows\tasks\tqupe3tz9fgwu56yjwvyy4t.inf');
DeleteFile('c:\windows\system32\sjqgxvr4vjhtthede75wc.inf');
DeleteFile('c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf');
DeleteFile('c:\windows\system32\amnczw74h8gwd6cpygkrzdy8.inf');
DeleteFile('c:\windows\system32\122b901e.dll');
DeleteFile('c:\windows\tasks\tdz5y2teakw2z7xkphf9sqj.inf');
DeleteFile('c:\windows\system32\emqzjjurmfvkrkex9gj.inf');
DeleteFile('c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf');
DeleteFile('c:\windows\system32\fsmby3kmwnag5grbwggu.inf');
DeleteFile('c:\windows\system32\rb37scqvgmszgj3aqyb5qrczx.inf');
DeleteFile('C:\WINDOWS\system32\msnvl.exe');
DeleteFile('c:\TEMP\NEventMessages.dll');
DeleteFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{74DA2FEC-F68F-4DC7-9A45-9174AC044427}');
DeleteFile('C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf');
DeleteFile('C:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf');
DeleteFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf');
DeleteFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8A6A5B34-D995-4C5D-9338-B5E264B4A87}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{612A87C6-33C3-4CCF-9F65-55FFC9C83860}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540}');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{05EDDA35-1E5B-4A77-8F68-99AB967CF632}');
DeleteFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}');
DeleteFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}');
DeleteFile('C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{FF9896FF-88E7-4D7F-8839-5A7C5D062F3B}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{51716C09-6B08-4CCF-B526-718E912C0573}');
DeleteFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{20CFDC59-228C-481F-80B6-404BCFA16B13}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-','{D36A1DF7-6582-4160-B925-59A34E39FE30}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D36A1DF7-6582-4160-B925-59A34E39FE30}');
DeleteFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CB661471-055A-4C5B-9ED0-497B9908FEF5}');
DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{93DA1E7D-7C46-4F90-8674-EC90511FCA72}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{1719B301-B494-4185-9379-242461F9CF02}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C4BD9D5C-04CA-45E6-8539-98B07D99B6BC}');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-','{6049BC02-7EDA-4C41-B4AB-D5398607C39E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{6049BC02-7EDA-4C41-B4AB-D5398607C39E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}');
DeleteFile('C:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-','{07B2788F-BD22-404E-B617-4ABCA2C0BF94}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{07B2788F-BD22-404E-B617-4ABCA2C0BF94}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-','{81EB905C-EDF8-4033-80BF-E0F4F46733DF}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{81EB905C-EDF8-4033-80BF-E0F4F46733DF}');
DeleteFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
DeleteFile('C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{F181F067-7046-4DCB-993F-200990736305}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{F7D81EAE-34CD-4EC5-9663-37FC799F1B50}');
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteService('CbEvtSvc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE] [FONT=Verdana, sans-serif][SIZE=2]Компьютер перезагрузится[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]После выполнить:[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- включите антивирус и файрволл[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- подключите ПК к интернету/локалке[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- закачайте карантин по ссылке [/SIZE][/FONT][COLOR=#ff0000][FONT=Verdana, sans-serif][SIZE=2][U][B]Прислать запрошенный карантин [/B][/U][/SIZE][/FONT][/COLOR][FONT=Verdana, sans-serif][SIZE=2]в шапке Вашей темы (Приложение 3 правил).[/SIZE][/FONT]

[FONT=Verdana, sans-serif][SIZE=2]повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению[/SIZE][/FONT]
25.10.2009, 19:52
Again.against

карантин 091025_194750_virus_4ae48136aa2d8.zip

еще симптомы: после загрузки операционки пытается установить драйвер неизвестного устройства(хотя у меня есть подозрение что это драйвер расширеного мониторинга процессов AVZ).

А так же выдает сообщение как у IE: эта страница недоступна в автономном режиме.
Новые логи прикрепляю.

о черт, забыл указать ссылку на тему
25.10.2009, 20:04
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\mkmkrnl.dll','');
QuarantineFile('C:\WINDOWS\Temp\zuTT1906.exe','');
QuarantineFile('C:\WINDOWS\Temp\xcTT3238.exe','');
QuarantineFile('C:\Documents and Settings\Kunst\DoctorWeb\Quarantine\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\msnvl.exe','');
QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
QuarantineFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf','');
QuarantineFile('C:\WINDOWS\System32\WUDFSvc.dll','');
QuarantineFile('C:\Qt\2009.04\bin\qtcdebugger.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf','');
QuarantineFile('C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf','');
QuarantineFile('C:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf','');
QuarantineFile('c:\windows\system32\wmitpfs.dll','');
QuarantineFile('C:\WINDOWS\system32\t9hdtMrwMeQcvYV3CMvhtNZpC.inf','');
QuarantineFile('C:\WINDOWS\system32\qzp3jTZCSfSh.dll','');
QuarantineFile('C:\WINDOWS\System32\qt-dx3.dll','');
QuarantineFile('C:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf','');
QuarantineFile('C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll','');
QuarantineFile('C:\WINDOWS\MPKrnl.dll','');
QuarantineFile('C:\WINDOWS\MKMKrnl.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur');
DeleteFile('C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur');
DeleteFile('C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur');
DeleteFile('C:\WINDOWS\MKMKrnl.dll');
DeleteFile('C:\WINDOWS\MPKrnl.dll');
DeleteFile('C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll');
DeleteFile('C:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf');
DeleteFile('C:\WINDOWS\System32\qt-dx3.dll');
DeleteFile('C:\WINDOWS\system32\qzp3jTZCSfSh.dll');
DeleteFile('C:\WINDOWS\system32\t9hdtMrwMeQcvYV3CMvhtNZpC.inf');
DeleteFile('c:\windows\system32\wmitpfs.dll');
DeleteFile('C:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf');
DeleteFile('C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf');
DeleteFile('C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf');
DeleteFile('C:\WINDOWS\system32\iedkcs32.dll');
DeleteFile('C:\WINDOWS\system32\msnvl.exe');
DeleteFile('C:\WINDOWS\Temp\xcTT3238.exe');
DeleteFile('C:\WINDOWS\Temp\zuTT1906.exe');
DelCLSID('{44AA3114-D221-43EC-1C32-1EAC52A2014D}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B59F0A61-EF3E-4A2B-9E3A-4A84EDDF2308}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{84639C2D-CD75-4081-B515-329AFCECBF19}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{526EB425-7F56-4773-8D70-B8E45AA8E2B6}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MPMKrnl');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{11FDB6D4-166A-47BF-A0F8-A09DABA75FC1}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{827E2FB4-1047-43DE-848D-E12BB0C97AAB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D55E3C90-C192-411F-85FC-6A8A69D0C634}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7B849a69-220F-451E-B3FE-2CB811AF94AE}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8E6D4583-0FA1-41B2-BAAA-63352E6333CA}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{09FDF8F4-0F9E-4C84-9F0C-21A1143815E3}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{F317E464-D4A4-4C79-82E8-CABADF738C7C}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Сделайте новые логи
26.10.2009, 11:05
Again.against

Вложений: 3

Вирус который был на флешке:
Net-Worm.Win32.Piloyd.n теперь в
c:\windows\system32\mspmsnsv.dll

Да, если не затруднит, обьясните когда нужно делать сканирование, по правилам (оффлаин) или все же после подключения к интернету.
26.10.2009, 11:16
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\MsPMSNSv.dll','');
DeleteFile('C:\WINDOWS\system32\MsPMSNSv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WmdmPmSN','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[QUOTE=Again.against;493615]
когда нужно делать сканирование, по правилам (оффлаин) или все же после подключения к интернету.[/QUOTE]
В идеале заражённый ПК нужно откючить от сети [COLOR="Red"]на всё время лечения [/COLOR]и логи загружать со здоровой машины.
26.10.2009, 12:26
Again.against

Теперь падает логон.
SAS Window: winlogon.exe
Инструкция по адресу "0x7e90fe40" обратилась по адресу "ox126c11ff" Память не может быть read.

При нажатии ок: BSOD
c000021a - win logon process.

Можете выслать список dll. который должен быть в dllcache и в system32?
26.10.2009, 12:29
Rene-gad

Вы в Винду войти можете?
26.10.2009, 12:36
Again.against

Нет. safemode блокирован вирусом.
Сижу через линукс, доступ к файловой системе есть.
26.10.2009, 12:40
Rene-gad

[QUOTE=Again.against;493657]Сижу через линукс, доступ к файловой системе есть.[/QUOTE]
В аттаче чистый файл и ключи реестра, которые нужно восстановить. Файл скопируйте на место: C:\WINDOWS\system32\MsPMSNSv.dll

+ Посмотрите ещё эту статью: [url]http://virusinfo.info/showthread.php?t=51777[/url]
27.10.2009, 12:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]314[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\kunst\doctorweb\quarantine\122b901e.dll - [B]Trojan-GameThief.Win32.Magania.bfsl[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Trojan.Generic.2255377, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\downloaded program files\anxnubymnv58c9vaecwx.cur - [B]Trojan-GameThief.Win32.Magania.cfcr[/B] ( DrWEB: Trojan.PWS.Wsgame.13235, BitDefender: Generic.Lmir.B36CB417, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\downloaded program files\sjrjqgredp3p8b4reeg.cur - [B]Trojan-GameThief.Win32.Magania.cdmt[/B] ( DrWEB: Trojan.PWS.Wsgame.13226, BitDefender: Generic.Onlinegames.14.6034BD67, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\downloaded program files\szaeac74ezxjeveju6p.cur - [B]Trojan-GameThief.Win32.Magania.cgoy[/B] ( DrWEB: Trojan.PWS.Wsgame.13290, BitDefender: Generic.Onlinegames.14.DF8071AC, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\downloaded program files\wustnjhyfqfpv8pqbc.cur - [B]Trojan-GameThief.Win32.Magania.cedk[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.14E33CCE, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\downloaded program files\6hgdgyq9rqypdfvgbghcs9g5m.cur - [B]Trojan-GameThief.Win32.Magania.cjts[/B] ( DrWEB: Trojan.PWS.Wsgame.13640, BitDefender: Generic.Onlinegames.14.D9FEC8CF, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\mkmkrnl.dll - [B]Trojan.Win32.Agent.anoe[/B] ( DrWEB: Trojan.DownLoad.12619, BitDefender: Trojan.Generic.1857513, NOD32: Win32/Agent.AMOL trojan, AVAST4: Win32:Siveras-B [Expl] )[*] c:\windows\system32\amnczw74h8gwd6cpygkrzdy8.inf - [B]Trojan-GameThief.Win32.Magania.chvs[/B] ( DrWEB: Trojan.PWS.Wsgame.13309, BitDefender: Generic.Onlinegames.14.B809ED01, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\btmband89jc9pspq5eknj.inf - [B]Trojan-GameThief.Win32.Magania.caku[/B] ( DrWEB: Trojan.PWS.Gamania.20127, BitDefender: Generic.Onlinegames.14.3FA47539, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\bwxjaewkdxgrfhkawefa33c36nr.inf - [B]Trojan-GameThief.Win32.Magania.cjxn[/B] ( DrWEB: Trojan.PWS.Wsgame.13307, BitDefender: Generic.Onlinegames.14.54075800, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\cduauvkgy9.dll - [B]Trojan-GameThief.Win32.Magania.bxxb[/B] ( DrWEB: Trojan.PWS.Wsgame.12115, BitDefender: Generic.Onlinegames.14.C385D75E, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\cwcqnwxhjwqte6psyyee.inf - [B]Trojan-GameThief.Win32.Magania.ceer[/B] ( DrWEB: Trojan.PWS.Wsgame.12891, BitDefender: Generic.Onlinegames.14.ABE1EBB7, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\dhdhws7ffw.dll - [B]Trojan-GameThief.Win32.Magania.cbxp[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Trojan.Generic.2362226, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\emqzjjurmfvkrkex9gj.inf - [B]Trojan-GameThief.Win32.Magania.cduq[/B] ( DrWEB: Trojan.PWS.Wsgame.13226, BitDefender: Generic.Onlinegames.14.49DC196F, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\fsmby3kmwnag5grbwggu.inf - [B]Trojan-GameThief.Win32.Magania.cfix[/B] ( DrWEB: Trojan.PWS.Wsgame.13257, BitDefender: Generic.Onlinegames.14.424C7C38, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\jy8sgunwqbzb3x2bphy.dll - [B]Trojan-GameThief.Win32.Magania.bsuw[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.C91FC1F8, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\nxe2grrknzf9dxykmqg.inf - [B]Trojan-GameThief.Win32.Magania.cbzn[/B] ( DrWEB: Trojan.PWS.Wsgame.13291, BitDefender: Generic.Onlinegames.14.37209FF6, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\perrgx5dkqsbqdwaucrqh.dll - [B]Trojan-GameThief.Win32.Magania.bvpp[/B] ( DrWEB: Trojan.PWS.Gamania.20310, BitDefender: Trojan.Generic.2310547, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\pwd4xpm8kyzkcbqcakt.inf - [B]Trojan-GameThief.Win32.Magania.cgvz[/B] ( DrWEB: Trojan.PWS.Wsgame.13287, BitDefender: Generic.Onlinegames.14.C97EBC1C, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\qt-dx3.dll - [B]Trojan.Win32.Agent.cxzp[/B] ( DrWEB: Trojan.Siggen.10876, BitDefender: Trojan.Agent.ANSV )[*] c:\windows\system32\rb37scqvgmszgj3aqyb5qrczx.inf - [B]Trojan-GameThief.Win32.Magania.cjnu[/B] ( DrWEB: Trojan.PWS.Wsgame.13287, BitDefender: Generic.Onlinegames.14.011AF11D, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\sjqgxvr4vjhtthede75wc.inf - [B]Trojan-GameThief.Win32.Magania.cjtp[/B] ( DrWEB: Trojan.PWS.Wsgame.13602, BitDefender: Generic.Onlinegames.14.616D5CAB, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\t9hdtmrwmeqcvyv3cmvhtnzpc.inf - [B]Trojan-GameThief.Win32.Magania.ckfj[/B] ( DrWEB: Trojan.PWS.Wsgame.13228, BitDefender: Generic.Onlinegames.14.01244D8F, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\ujmhygss7trv9gu2hhmkjcu7dpu.inf - [B]Trojan-GameThief.Win32.Magania.ckkq[/B] ( DrWEB: Trojan.PWS.Wsgame.13720, BitDefender: Generic.Lmir.986C6A78, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\wmitpfs.dll - [B]Trojan-PSW.Win32.QQPass.pdk[/B] ( DrWEB: Trojan.PWS.Qqpass.3235, BitDefender: Gen:Trojan.Heur.PT.dC4@a03ufvh, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wqvbyhaj6adw5qzcy8gv84kth.inf - [B]Trojan-GameThief.Win32.Magania.cjpw[/B] ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: Generic.Onlinegames.14.900064DF, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf - [B]Trojan-GameThief.Win32.Magania.cdwi[/B] ( DrWEB: Trojan.PWS.Wsgame.13306, BitDefender: Generic.Onlinegames.14.E6844CDD, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\x5t4kv8dnmmbdrxaux82k.inf - [B]Trojan-GameThief.Win32.Magania.bxeu[/B] ( DrWEB: Trojan.PWS.Wsgame.13105, BitDefender: Generic.Onlinegames.14.5E241B24, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\z6fvkef47hupzgaxee.inf - [B]Trojan-GameThief.Win32.Magania.cces[/B] ( DrWEB: Trojan.PWS.Wsgame.13228, BitDefender: Generic.Onlinegames.14.D9BAD3B2, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\08223b03.dll - [B]Trojan-GameThief.Win32.Magania.bxys[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Trojan.Generic.2360858, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\system32\122b901e.dll - [B]Trojan-GameThief.Win32.Magania.bfsl[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Trojan.Generic.2255377, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\cgbyr44s5jcmgad6ar.inf - [B]Trojan-GameThief.Win32.Magania.cmtq[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.216133BC, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\c2nh4numz9kny5zqnc.inf - [B]Trojan-GameThief.Win32.Magania.caag[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.B8B076EE, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf - [B]Trojan-GameThief.Win32.Magania.cegr[/B] ( DrWEB: Trojan.PWS.Wsgame.13601, BitDefender: Trojan.Generic.2592912, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\sbrmpxjdcrgrafhz4ghh.inf - [B]Trojan-GameThief.Win32.Magania.cees[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.0D7A9128, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\tdz5y2teakw2z7xkphf9sqj.inf - [B]Trojan-GameThief.Win32.Magania.chbp[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.BAF27552, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\tqupe3tz9fgwu56yjwvyy4t.inf - [B]Trojan-GameThief.Win32.Magania.chne[/B] ( DrWEB: Trojan.PWS.Wsgame.12116, BitDefender: Generic.Onlinegames.14.29886AA4, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf - [B]Trojan-GameThief.Win32.Magania.cbrt[/B] ( DrWEB: Trojan.PWS.Wsgame.13272, BitDefender: Generic.Onlinegames.14.0C5B1F4B, NOD32: Win32/PSW.OnLineGames.NRD trojan, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\temp\wmsetup.dll - [B]Trojan-Downloader.Win32.Murlo.uu[/B] ( DrWEB: Trojan.DownLoader.62110, BitDefender: Trojan.Generic.2051568, NOD32: Win32/TrojanDownloader.Murlo.NN trojan, AVAST4: Win32:Murlo-CH [Trj] )[*] c:\windows\temp\xctt3238.exe - [B]Trojan-GameThief.Win32.Magania.bwsr[/B] ( DrWEB: Trojan.PWS.Wsgame.13602, BitDefender: Generic.Onlinegames.14.B297CEE9, AVAST4: Win32:Agent-ACMH [Drp] )[*] c:\windows\temp\zutt1906.exe - [B]Trojan-GameThief.Win32.Magania.bwsr[/B] ( DrWEB: Trojan.PWS.Wsgame.13092, BitDefender: Generic.Onlinegames.14.82475687, AVAST4: Win32:Agent-ACMH [Drp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]