Снова вылупился - Win32:Warezov. Как придушить гада?

Printable View

05.03.2007, 23:54
TauruS

Вложений: 3

Снова вылупился - Win32:Warezov. Как придушить гада?

Доброго времени суток!

03.03.2007 через майлру пролез червь.

Avast! долгое время выдавал сообщения следующего содержания:

03.03.2007 23:22:23 TauruS 244 Sign of "Win32:Warezov-AAV [Wrm]" has been found in "C:\WINDOWS\msys32.exe\[MEW]" file.
04.03.2007 0:03:14 SYSTEM 232 Sign of "Win32:Warezov-BDK [Wrm]" has been found in "C:\WINDOWS\system32\rsmpcomp.dll" file.

.......

...и так далее в том же духе.

Dr.Web никак не реагировал на появления этого паразита, впоследствии сам Др.Вэб был заблокирован, попытки установить другие антивиры (NOD32, Bit Defender) также блокировались.

в безопасном режиме удалось слегка нейтрализовать гада, а затем Каспером еще немного придушить:

удалено: вирус Email-Worm.Win32.Warezov.ls Файл: C:\WINDOWS\system32\e1.dll
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\system32\httpwiad.dll
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\system32\xpobmsr2.exe
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\Temp\_avast4_\unp46930005.tmp

однако. есть опасения за адекватность и правильность принятых мер.
хотелось бы ознакомиться с мнением специалистов.
логи AVZ и hijackthis прилагаются.
может тут еще какая зараза сидит?

заранее спасибо.
06.03.2007, 00:46
Numb

В программе Hijackthis пофиксите строчку: [code]O20 - Winlogon Notify: creddgrp - C:\WINDOWS\[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\TauruS\Главное меню\Программы\Автозагрузка\toonel.jar','');
QuarantineFile('C:\Program Files\hide2tray\mhook.dll','');
QuarantineFile('C:\Documents and Settings\TauruS\Application Data\Mra\Update\menu.dll','');
QuarantineFile('c:\program files\hide2tray\hide2tray.exe','');
QuarantineFile('c:\program files\cdslow.exe','');
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ, как написано в прил.2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]. Ссылка на вашу тему - [url]http://virusinfo.info/showthread.php?t=8277[/url]
06.03.2007, 00:54
drongo

Вдогонку к тому что сказал Numb....
C:\WINDOWS\C:\DOCUME~1\TauruS\LOCALS~1\Temp\hpdj.exe
- скорее гадость, чем от принтера HP :) запаковать в ZIP с паролем virus и прислать по правилам .
08.03.2007, 13:21
TauruS

Вложений: 3

Спасибо за рекомендации.
скрипт выполнен, строка пофиксена, содержимое карантина выслано.

выполнил повторное обследование системы по правилам.
логи прилагаются.

гадость - C:\WINDOWS\C:\DOCUME~1\TauruS\LOCALS~1\Temp\hpdj.exe
к сожаленью найти не удалось...
непонятненько...

однако. проведя полное сканирование системы каспером, выяснились следующие недоразумения:

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: C:\Program Files\Total Commander7\Plugins\wcx\MultiArc\Uha.exe//UPX

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: E:\-!!!-DISTRIB-!!!-\-^FILE MANAGERS\--=!TOTALCOM\Total Commander 6.55 PowerPack 1.10 Plus.exe//stream//data0334//UPX

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: E:\-!!!-DISTRIB-!!!-\-^FILE MANAGERS\--=!TOTALCOM\Total Commander 7.00 PowerPack 0.20 pro\Total Commander 7.00 PowerPack 0.20 Pro.exe//stream//data0341//UPX

обнаружено: вредоносная программа HackTool.Win32.ICQIpDip Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=LAN\ipdip.rar/ipdip\IPDip 1.0.exe//UPX

обнаружено: вирус Virus.Win9x.CIH.dam Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=PAGERS\ICQ\ПРИМОЧКИ\avx4icq.rar/avx4icq.exe

обнаружено: программа-реклама not-a-virus:AdWare.Win32.Cydoor Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=КАЧАЛКИ\FLASHGET\FlashGet 1.4\fgf140.exe//WISE0018.BIN/cd_clint.dll//PECompact

шо цэ такэ? вроде ранее не замечалось такого безобразия.
09.03.2007, 01:02
pig

В логах чисто, на мой взгляд.

HackTool - судя по названию, детект правильный. Адварь в составе FlashGet - тоже верно, он работает за показ рекламы. А вот трояны в TC и поломатый CIH в аське смахивают на ложные срабатывания. Перепроверьте эти файлы в олайне. Если детект остался - зашлите на разборки на [email][email protected][/email]
09.03.2007, 15:04
TauruS

подкскжите пожалуйста как можно проверить файлы в онлайне. а то я что-то запутался слегка.
09.03.2007, 15:15
PavelA

См. тему
[url]http://virusinfo.info/forumdisplay.php?f=73[/url]
14.03.2007, 08:54
TauruS

проверил.
всем большое спасибо за помощь.
22.02.2009, 01:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]