-
Вложений: 5
Опять трояны Errorsafe..
Добрый день. Уже 10 дней борюсь с каким-то пакостным вирусом, рассчитываю на Вашу помощь :)
Часто появляются окна, предлагающие установить ErrorSafe. После отказа открытия, все либо виснет, либо пытается что-то установить (скриншоты прилагаются), либо IE лезет на сайты, вчастности на
[URL]http://ru.errorsafe.com/download/2006/index.php?aid=nm_ik_wav_r5_ru_ru_ed2&lid=&affid=nm_67294_91747598e3a311dbb9e70015c55d3487_fcb28841%202139d97bb3494932b3a678be9b20e12d&ex=1&p=14&ax=1[/URL]
Norton, AdWare, DrWeb и Kaspersky и (работали последовательно друг за другом с последними базами) - находят при сканировании кое-какие трояны DownloaderЫ, лечат, - но все возобновляется заново. В данный момент стоит Kaspersky монитор и все время ругается:
[SIZE=1]Процесс [B]C:\WINDOWS\Explorer.EXE (PID: 1276)[/B] [/SIZE]
пытается отправить данные посредством доверенного приложения.
Адрес назначения:
[URL]http://89.188.16.16/trafc-2/rfe.php[/URL]
Данные:
<
Зашифрованные данные:
"cmp=wav_r2&nid=ik&uid=91747598e3a311dbb9e70015c55d3487&guid=fcb28841+2139d97bb3494932b3a678be9b20e12d&affid=67294
CookieX: ghrnc=0&wav_limiter" и т.д.
Все логи AVZ прилагаю.
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xlbyheka.dll','');
QuarantineFile('statisr.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('diagisr.dll','');
QuarantineFile('C:\WINDOWS\System32\wmspmsv1.dll','');
QuarantineFile('C:\WINDOWS\system32\vtuspno.dll','');
QuarantineFile('C:\WINDOWS\System32\opnop.dll','');
QuarantineFile('C:\WINDOWS\system32\AIBMRUNL.dll','');
DeleteFile('C:\Temp\ICD1.tmp\UWA7P_0001_N91M0809NetInstaller.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
-
Результат отправил, правда без пароля virus - при архивировании из AVZ пароль не запрашивается.
После перезагрузки системы - опять кричал Касперский антивирус, но уже на дгугие адреса:
Процесс C:\WINDOWS\explorer.exe (PID: 4044) пытается отправить данные посредством доверенного приложения.
Адрес назначения:
[url]http://65.243.103.56/trafc-2/rfe.php[/url]
[url]http://89.188.16.10/trafc-2/rfe.php[/url]
[url]http://65.243.103.62/trafc-2/rfe.php[/url]
-
C:\WINDOWS\system32\vtuspno.dll и opnop.dll - Trojan.Packed-7
Остальные подозреваемые все еще в розыске.
Выполните такой скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xlbyheka.dll','');
QuarantineFile('statisr.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('diagisr.dll','');
QuarantineFile('C:\WINDOWS\system32\tp4ex.exe','');
QuarantineFile('C:\WINDOWS\System32\wmspmsv1.dll','');
DeleteFile('C:\WINDOWS\System32\opnop.dll');
DeleteFile('C:\WINDOWS\system32\vtuspno.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите по правилам все что попадет в карантин (если попадет).
-
Закачал результат Virus2. Пока Касперский молчит..
-
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\wmspmsv1.dll');
DeleteFile('diagisr.dll');
DeleteFile('e1.dll');
DeleteFile('statisr.dll');
DeleteFile('C:\WINDOWS\system32\xlbyheka.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи п.10 и 12 правил.
-
Вложений: 2
При перезагрузки система зависла, пришлось помочь кнопкой. Но загрузилась нормально.
Новые логи приаттачил.
-
Профиксить в hijackThis
[CODE]
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: opnop - C:\WINDOWS\System32\opnop.dll (file missing)
O20 - Winlogon Notify: vtuspno - vtuspno.dll (file missing)
O20 - Winlogon Notify: wmspmsv1 - C:\WINDOWS\
[/CODE]
Вам известны сайты?
[CODE]
O15 - Trusted Zone: http://futro.inside.mts.ru
O15 - Trusted Zone: loox.bill.mts.ru
O15 - Trusted Zone: http://loox.bill.mts.ru
O15 - Trusted Zone: http://oebs.inside.mts.ru
O15 - Trusted Zone: http://portal.inside.mts.ru
O15 - Trusted Zone: titan.bill.mts.ru
O15 - Trusted Zone: http://titan.bill.mts.ru
O15 - Trusted IP range: http://81.13.34.129
[/CODE]
Если нет, то эти строчки тоже нужно профиксить.
-
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\xlbyheka.dll (file missing)
O2 - BHO: (no name) - {89DAED6A-FBD0-4846-9D00-F8B0B6EC097A} - C:\WINDOWS\System32\opnop.dll (file missing)
O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - C:\WINDOWS\system32\vtuspno.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: opnop - C:\WINDOWS\System32\opnop.dll (file missing)
O20 - Winlogon Notify: vtuspno - vtuspno.dll (file missing)
O20 - Winlogon Notify: wmspmsv1 - C:\WINDOWS\
[/code]
Кстати, раз уж у вас KIS, надо убрать хвосты от Symantec'a:
[code]
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Монитор описаний Symantec AntiVirus (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
[/code]
-
Спасибо, сделал. Пока вроде бы все тихо. Спасибо за помощь!!
-
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\opnop.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.fp[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\vtuspno.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.hc[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]
Page generated in 0.00639 seconds with 10 queries