trojan.fakealert.4625

Printable View

26.10.2009, 22:57
dimanov

trojan.fakealert.4625

здравствуйте! подцепил зловредный trojan.fakealert.4625 (win xp sp3)
симптомы:
1) pop-up сообщение "windows security alert" из трея от бутафорской Antivirus System PRO
2) при запуске любого exe вылезает сообщение типа: нельзя выполнить, данное exe инфицировано, применить антивирус? да/нет (на англ.)
3) периодически запускается IE и залазит на сайты сомнительного содержания)
надеюсь на вашу помощь!
p.s. предположительный источник трояна - программа tvuplayer, тк я слышал что якобы там могут быть трояны, а все симптомы появились на след. день после её установки
26.10.2009, 23:21
Шапельский Александр

[FONT=Verdana, sans-serif][SIZE=2]Закройте/выгрузите все программы кроме AVZ .[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]Отключите:[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- ПК от интернета/локалки;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- антивирус и файрвол.;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- восстановление системы;[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- выполните скрипт[/SIZE][/FONT]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lsp.dll','');
QuarantineFile('C:\Program Files\oldfsi\jqmfsysguard.exe','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\iehelper.dll','');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
DeleteFile('C:\WINDOWS\system32\lsp.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(14);
BC_Activate;
RebootWindows(true);
end.[/CODE] [FONT=Verdana, sans-serif][SIZE=2]Компьютер перезагрузится[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]После выполнить:[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- включите антивирус и файрволл[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- подключите ПК к интернету/локалке[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]- закачайте карантин по ссылке [/SIZE][/FONT][COLOR=#ff0000][FONT=Verdana, sans-serif][SIZE=2][U][B]Прислать запрошенный карантин [/B][/U][/SIZE][/FONT][/COLOR][FONT=Verdana, sans-serif][SIZE=2]в шапке Вашей темы (Приложение 3 правил).[/SIZE][/FONT]
[FONT=Verdana, sans-serif][SIZE=2]Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Возможно пропадание интернета
Если невозможно будет выйти в интернет, тогда выполните такой скрипт[/SIZE][/FONT][CODE]
[FONT=Verdana, sans-serif][SIZE=2]begin[/SIZE][/FONT]
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(15);
RebootWindows(true);
[FONT=Verdana, sans-serif][SIZE=2]end.[/SIZE][/FONT]
[/CODE]
27.10.2009, 00:25
dimanov

пока все по-старому. virus.zip отправил, вот новые логи:
27.10.2009, 00:39
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\oldfsi\jqmfsysguard.exe');
DeleteFile('C:\Program Files\oldfsi\jqmfsysguard.exe');
DeleteFileMask('C:\Program Files\oldfsi\','*.*',true);
DeleteDirectory('C:\Program Files\oldfsi\');
DeleteFile('C:\WINDOWS\system32\iehelper.dll');
DelBHO('{C277B942-1F68-486b-8F95-6E486A13F148}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system tool');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи
27.10.2009, 00:45
dimanov

[B]Venus Doom[/B], нужно ли перед выполнением скрипта сделать:
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
(как ранее писал shapel)?
27.10.2009, 00:50
Никита Соловьев

Разумеется, если вы щелкните ссылку "подробнее..." то увидите там такие же указания
27.10.2009, 01:27
dimanov

спасибо, вроде бы все исчезло.
p.s. после выполнения вашего скрипта комп автоматически почему-то не перегрузился, сделал вручную
27.10.2009, 10:18
PavelA

O2 - BHO: Ask Toolbar BHO -- если не пользуйтесь, то лучше деинсталлировать.
27.10.2009, 12:29
dimanov

удалил. больше ничего делать не надо? на всякий случай опять логи
27.10.2009, 14:11
PavelA

Думается, что нет.
27.10.2009, 14:36
dimanov

всем кто принимал участие огромное спасибо!
28.10.2009, 14:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\oldfsi\jqmfsysguard.exe - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.684, BitDefender: Trojan.Generic.2613002, NOD32: Win32/Kryptik.BAK.gen trojan, AVAST4: Win32:Bredolab-AP [Trj] )[*] c:\windows\system32\iehelper.dll - [B]Trojan.Win32.BHO.whc[/B] ( DrWEB: Trojan.Fakealert.4625, BitDefender: Trojan.Generic.2601447, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\lsp.dll - [B]Trojan.Win32.Agent2.cjya[/B] ( DrWEB: Trojan.Siggen.9595, BitDefender: Application.Generic.248984 )[/LIST][/LIST]