Похоже что-то ещё шевелится

Printable View

23.05.2007, 08:41
givi

Вложений: 2

Похоже что-то ещё шевелится

Комп был проверен с аварийного диска KAV, убито около 2000 экземпляров 16 разновидностей всякой гадости.
После этого запустить AVZ и оказалось что там что-то ещё шевелится.
23.05.2007, 09:04
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Recycled\userinit.exe','');
QuarantineFile('C:\WINNT\system32\ipv6mons.dll','');
QuarantineFile('C:\WINNT\D4gServEx.exe','');
QuarantineFile('C:\WINNT\system32\nwizasktao.exe','');
QuarantineFile('C:\WINNT\system32\intenat.exe','');
QuarantineFile('C:\WINNT\mppds.exe','');
QuarantineFile('C:\WINNT\cmdbcs.exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll','');
QuarantineFile('C:\WINNT\G_Server2007.DLL','');
QuarantineFile('c:\program files\alwil software\avast4\wmarcmmk.dll','');
QuarantineFile('c:\program files\alwil software\avast4\edoubjtw.dll','');
QuarantineFile('c:\program files\alwil software\avast4\hkxbpiry.dll','');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
Сделайте лог программы HijackThis (п.11-13 правил).
24.05.2007, 09:45
givi

Вот тут.
Второй архив( virusinfo_cure.zip) через "загрузить файл" отправил
24.05.2007, 10:01
Shu_b

В присланном -

C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll - инфицирован Trojan-PSW.Win32.QQPass.rj
C:\WINNT\G_Server2007.DLL - инфицирован Backdoor.Win32.Hupigon.emb
c:\program files\alwil software\avast4\wmarcmmk.dll - инфицирован Trojan-PSW.Win32.Agent.kv
c:\program files\alwil software\avast4\edoubjtw.dll - инфицирован Trojan-PSW.Win32.OnLineGames.pw
24.05.2007, 10:41
PavelA

Похоже, пароли ущли на сторону. Нужно будет менять.
24.05.2007, 11:27
givi

Так... ещё одна пилюля им в копилку. Ой они у меня сегодня получат...
Короче проверил свежими базами KAV с аварийного диска - он их всех нашёл и убил. Интересно ещё что нибудь там осталось?
24.05.2007, 11:30
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\alwil software\avast4\edoubjtw.dll');
DeleteFile('c:\program files\alwil software\avast4\wmarcmmk.dll');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll');
DeleteFile('C:\WINNT\system32\ipv6mons.dll');
DeleteFile('c:\Recycled\userinit.exe');
DeleteFile('C:\WINNT\D4gServEx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
24.05.2007, 14:03
givi

Вложений: 2

ВОт
24.05.2007, 15:33
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINNT\SYSTEM\MraSearch.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing)
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\SYSTEM32\nwprovau.dll','');
QuarantineFile('c:\program files\alwil software\avast4\hkxbpiry.dll','');
QuarantineFile('C:\WINNT\system32\nwizasktao.exe','');
QuarantineFile('C:\WINNT\system32\intenat.exe','');
QuarantineFile('C:\WINNT\mppds.exe','');
QuarantineFile('C:\WINNT\cmdbcs.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
22.02.2009, 01:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\alwil software\\avast4\\edoubjtw.dll - [B]Trojan-GameThief.Win32.OnLineGames.pw[/B] (DrWEB: Trojan.PWS.Wsgame)[*] c:\\program files\\alwil software\\avast4\\wmarcmmk.dll - [B]Trojan-PSW.Win32.Rumrux.ad[/B] (DrWEB: Trojan.PWS.Gamania)[*] c:\\program files\\common files\\microsoft shared\\msinfo\\syswfgqq2.dll - [B]Trojan-PSW.Win32.QQPass.rj[/B] (DrWEB: Trojan.PWS.Qqpass.678)[*] c:\\winnt\\g_server2007.dll - [B]Backdoor.Win32.Hupigon.emb[/B] (DrWEB: BackDoor.Pigeon.6372)[/LIST][/LIST]