Троян от Black Internet?

Printable View

16.06.2010, 17:30
Triangular

Вложений: 3

Троян от Black Internet?

Здраствуйте!Сегодня обнаружил на домашнем компе неполадки:

1)периодически значение микшера звука wave volume (тот, что после общего) падает до 0 и звук пропадает. Не происходит если включен блокировщик рекламы(AdMuncher)

2)самопроизвольно открывается страница IE7 с рекламой фильма алисы в стране чудес.(Прекратилось после выключения службы Запуск серверных процессов DCOM, из-под которой вызывалась страница, браузер по умолчанию Opera)

3)Процессы smss.exe и services.exe -File loader от Black Internet, запускаются с С:\System Volume Information\Microsoft
smss.exe постоянно перезапускается,
services.exe - рядом второй нормальный, от которого запущены обычные службы

Вот собственно и все, что сегодня не так как обычно ( XPsp3,nod32 который ничего не находит,Director Opus вместо эксплорера). Буду очень благодарен за любую информацию. Логи (syscheck сохранялся avz как syscure, но был получен при подключенном интернете и переименован вручную) :
16.06.2010, 18:15
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\System Volume Information\Microsoft\smss.exe','');
QuarantineFile('c:\system volume information\microsoft\smss.exe','');
QuarantineFile('c:\system volume information\microsoft\services.exe','');
DeleteFile('c:\system volume information\microsoft\services.exe');
DeleteFile('c:\system volume information\microsoft\smss.exe');
DeleteFile('C:\System Volume Information\Microsoft\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

PS Похоже, это bootkit. CureIt-ом проверяли?
16.06.2010, 20:48
Triangular

Да извиняюсь, действительно тупанул, сделал правильный syscheck. Скрипт выполнил, карантин выслал (без файла программы Director Opus). Cureit-ом проверял в безопасном режиме, ничего не найдено( при закрытии попрасил обновить файл, в котором содержится связь ip-адресов с сайтами - не знаю насколько это стандартная процедура?).
17.06.2010, 10:23
Triangular

Ну как уже можно переставлять винду? :O
17.06.2010, 10:32
thyrex

1. Скачайте Bootkit Remover от eSage Lab [url]http://www.esagelab.com/files/bootkit_remover.rar[/url]

2. Распакуйте утилиту и запустите файл remover.exe.

3. Сделайте скриншот окна прежде чем нажать на любую клавишу и приложите его сюда.
17.06.2010, 11:04
Triangular

Соответственно скриншот:
17.06.2010, 11:21
thyrex

Выполнить
1. remover.exe dump \\.\PhysicalDrive0 bootvir
2. remover.exe fix \\.\PhysicalDrive0

Файл [B]bootvir[/B] запаковать с паролем virus и прислать по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
17.06.2010, 14:14
Triangular

А заметил там буква перепутана :)
17.06.2010, 14:23
thyrex

Ошибочка вкралась в команды. [B]Откорректировал предыдущее указание[/B]

[U]Если не поможет:[/U]
Скачайте утилиту во вложении

Выполните:
1. MbrFix /drive 0 savembr bootvir.bin
2. MbrFix /drive 0 fixmbr /yes

[B]bootvir.bin[/B] запаковать с паролем [B]virus[/B] и прислать по красной ссылке
17.06.2010, 14:58
Triangular

Вроде буткит ремувер справился. Обе службы пропали. Буткит упаковал и выслал. Вот новые логи:
17.06.2010, 15:14
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
QuarantineFile('C:\Temp\eanebqn.exe','');
QuarantineFile('C:\Temp\kmhrf.exe','');
DeleteFile('C:\Temp\kmhrf.exe');
DeleteFile('C:\Temp\eanebqn.exe');
DeleteFile('C:\WINDOWS\system32\msconfig.exe');
DeleteFile('Windows Update.job');
DeleteFile('WindowsCheck.job');
DeleteFile('c:\system volume information\microsoft\services.exe');
DeleteFile('c:\system volume information\microsoft\smss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.06.2010, 16:00
Triangular

Карантин отослал (перед этим с развороту удалил smss.exe и services.exe из system volume information - так что их нет в карантине :? ). Логи:
17.06.2010, 16:13
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
17.06.2010, 16:32
Triangular

Все сделал, огромнейшее спасибо! :beer:
18.06.2010, 16:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\microsoft\services.exe - [B]Trojan-Clicker.Win32.Cycler.ajsx[/B] ( DrWEB: Trojan.Click1.17042, BitDefender: Trojan.Generic.4192174, AVAST4: Win32:Cycler-B [Drp] )[*] c:\system volume information\microsoft\smss.exe - [B]Trojan-Clicker.Win32.Cycler.ajsx[/B] ( DrWEB: Trojan.Click1.17043, BitDefender: Trojan.Generic.4192174, AVAST4: Win32:Cycler-B [Drp] )[/LIST][/LIST]