Интересный вирус

Printable View

26.11.2009, 12:07
igorchs

Интересный вирус

Здравствуйте !

Ситуация такая - при попытке запуска любой программы (и avz тоже), посредством rundll32 выдаётся порнокартинка с требованием отправить sms. DrWeb нашёл Trojan.KeyLogger.4260 и всё. (После "излечения" ничего не произошло).

В безопасном режиме система не загружается. Диспетчер задач неактивен.

Вирус создаёт в TEMP папке пользователя dll с произвольным именем и при запуске программ запускает её через rundll32.

Вирус портит файл hosts.

Так как запустить ничего не удаётся высылаю -
1. dll - которая создаётся вирусом
2. Файл hosts - поменяный вирусом.

P.S. Странно - но regetd33.exe запустился
Ничего не понимаю :-(
P.P.S. заменил rundll32 на notepad - поэтому можно экспериментировать.
26.11.2009, 12:20
AndreyKa

Вредоносные файлы прикладывать к сообщениям запрещено.
Переименуйте файл avz.exe в какой-нибудь setup.bat или 123.pif и сделайте логи по Правилам.
26.11.2009, 13:05
igorchs

AVZ не запускается ни в каком виде - не в переименованном exe ни в pif не в bat.

Каждый запуск порождает новую dll в TEMP

[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]

Пробую LiveCD натравить
26.11.2009, 13:08
Rene-gad

Скачайте [URL="http://www.z-oleg.com/avz.exe"]этот файл[/URL], переименуйте в idiot.pif (у Вас д.б. включён показ раширений известных файлов в Свойствах проводника) и попробуйте сделать им хотя бы лог по п. 2 Диагностики.
26.11.2009, 13:47
igorchs

[QUOTE=Rene-gad;517328]Скачайте [URL="http://www.z-oleg.com/avz.exe"]этот файл[/URL], переименуйте в idiot.pif (у Вас д.б. включён показ раширений известных файлов в Свойствах проводника) и попробуйте сделать им хотя бы лог по п. 2 Диагностики.[/QUOTE]

С помощью ковыряния в реестре запустил машину в safe-mode. Скачал файл, переименовал его в pif. Запустил. Результат - порнокртинка на экране. (И это в safe mode !!!). Запуск procmon из sysinternals привёл к тому же результату.

Запуск LiveCD никаких вирусов не обнаружил.

(А CureIT запускается !)

Что-то я не понимаю ничего.
26.11.2009, 14:52
igorchs

Итак - удалось подсунуть avz в качестве run32dll.exe

Результаты в приложении (это запуск в обычном режиме)
26.11.2009, 15:18
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\PDShK.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=61348[/url]).

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
26.11.2009, 15:36
igorchs

Не помогло ... Выслал весь каталог карантина ... Сейчас попробую запустить qmer в качестве rundll32
26.11.2009, 15:48
AndreyKa

[QUOTE='igorchs;517417']Выслал весь каталог карантина ... [/QUOTE]Куда?
26.11.2009, 16:05
igorchs

Вот сюда -
[url]http://virusinfo.info/upload_virus.php?tid=61348[/url]

Пардон - зарапортовался ! :-( Послал ...
26.11.2009, 16:42
AndreyKa

[QUOTE='Bratez;517395']Сделайте лог gmer. [/QUOTE]Не получается?
26.11.2009, 16:58
igorchs

Лог gmer в приложении ...
Нашлась какая-то служба ! :-(
26.11.2009, 17:08
snifer67

Запустите rundll32.exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
rundll32.exe -del service tviukwmo
rundll32.exe -del file "C:\WINDOWS\system32\zroldxn.dll''
rundll32.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tviukwmo''
rundll32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tviukwmo''
rundll32.exe -reboot
[/CODE]
Сделайте новый лог gmer.
26.11.2009, 17:41
igorchs

Нет - это не помогло (даже когда я исправил ' ' на ").
Но вот Fix этого -
O20 - AppInit_DLLs: C:\WINDOWS\system32\PDShK.dll
с помощью hijackthis - помог
26.11.2009, 20:46
thyrex

[QUOTE='igorchs;517504']Нет - это не помогло (даже когда я исправил ' ' на ").[/QUOTE]Это против окна и не должно было помочь.

Это для другого зверя

[QUOTE='snifer67;517481']Сделайте новый лог gmer.[/QUOTE] + набор стандартных логов
27.11.2009, 13:45
igorchs

Извините за задержку
Логи в приложении.

(а службу tviukwmo я ручками вычистил)

2thyrex - для трэда [url]http://virusinfo.info/showthread.php?t=61476[/url] посоветуй - если по сети есть возможность убить процесс rundll32.exe (taskkill /s <комп> /f /im rundll32.exe), если не по сети пусть первой запускает hijackthis.
27.11.2009, 14:05
Bratez

В логах чисто, но надо еще выполнить такой скрипт:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\PDShK.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
27.11.2009, 14:07
igorchs

Ок !
Спасибо за помощь !
28.11.2009, 14:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\pdshk.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Banker.Win32.Bancos.iyx[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.AFCZ, AVAST4: Win32:Malware-gen )[*] \lvelb.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]