Win32.HLLW.Autoruner.437

Printable View

05.11.2007, 17:32
May

Вложений: 3

Win32.HLLW.Autoruner.437

[FONT=Times New Roman][SIZE=3]Здравствуйте! У меня на компьютере обнаружился вирус - [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Win32.HLLW.Autoruner.437. Я пыталась удалить его самостоятельно, но у меня не получается. Все его проявления на данный момент сводятся к тому, что каждые 30 секунд SpiderGuard находит на дисках С и D файлы autorun.inf . При просмотре через блокнот видно, что через них загружается файл ntdelect.com, который тоже сидит в корнях дисков. При попытке их всех удалить через FarManager в безопасном режиме с отключенным восстановлением системы они заново восстанавливаются... Помогите пожалуйста! Заранее спасибо.[/SIZE][/FONT]
05.11.2007, 17:42
rubin

[code]
begin
QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('appmgmts.dll','');
QuarantineFile('autorun.bat','');
QuarantineFile('autorun.inf','');
QuarantineFile('C:\PROGRA~1\LAUNCH~1\PowerUtl.dll','');
end.
[/code]
Пришлите затем карантин...
05.11.2007, 17:43
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
проделайте это [url]http://virusinfo.info/showthread.php?t=8877[/url]
05.11.2007, 17:49
Bratez

Да простят меня коллеги ;), я тоже предложу свой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ntde1ect.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\avpo1.dll','');
DeleteFile('C:\WINDOWS\system32\avpo1.dll');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.bat');
DeleteFile('D:\ntde1ect.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\autorun.bat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Можете выполнить их все три по очереди,
затем прислать карантин и сделать новые логи.
05.11.2007, 17:49
May

Выслала. К сожалению, забыла скопировать информацию...
05.11.2007, 17:53
rubin

Так, из присланного карантина:
autorun.inf - [b]Virus.Win32.Autorun.zr[/b]
Запускается ntde1ect.com
Чистые:
C:\WINDOWS\system32\avpo1.dll
C:\WINDOWS\system32\eDStoolbar.dll
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
C:\PROGRA~1\LAUNCH~1\PowerUtl.dll
05.11.2007, 17:58
Bratez

avpo1.dll - [b]Trojan.Packed.142[/b]! (DrWeb)
05.11.2007, 17:59
rubin

Выполните отредактированный скрипт Bratez ;) и вышлите карантин

avpo1.dll - касперским не детектится... отправляю в ВирЛаб
05.11.2007, 18:02
May

Файл сохранён как071105_090052_virus_472f302497e8c.zipРазмер файла200869MD5e0043d40289c6668a30886cb4dcd61a8
Вот карантин. Far Manager больше их не видит. Сейчас пришлю логи
05.11.2007, 18:09
rubin

В карантине все те же лица:
autorun.inf - [b]Virus.Win32.Autorun.zr[/b]
avpo1.dll - детектируется пока немногими, но тоже зловред :)
05.11.2007, 18:12
May

Была еще в папке Temp радость по имени avpo0.dll ее DrWeb видел, сказал - это Trojan.Nsanti.Packed и удалил... Потом я папку почистила...
05.11.2007, 18:21
rubin

Повторите логи для контроля...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что Вам из этого не нужно?
05.11.2007, 18:28
May

Вложений: 3

Из всего мне только TermService нужен. Вот логи.
05.11.2007, 18:29
rubin

[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.
[/code]
05.11.2007, 18:31
May

Спасибо вам всем большое за помощь! :pray: Очень вам благодарна!
05.11.2007, 18:33
rubin

Погодите, Bratez еще скажет свой вывод по последним логам :)
05.11.2007, 18:34
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
[/code]
Поищите [b]C:\WINDOWS\system32\avpo.exe[/b]
Если найдется - пришлите по правилам.
05.11.2007, 18:45
May

Пофиксила. avpo.exe не нашелся ни в каком виде.
05.11.2007, 18:49
rubin

Искали через Windows или AVZ?
05.11.2007, 18:50
Bratez

Тогда наверно всё...
Для очистки моей совести, перезагрузитесь и повторите лог HijackThis.
05.11.2007, 18:55
May

Вложений: 1

rubin: через AVZ
Bratez: вот лог
05.11.2007, 18:58
V_Bond

Bratez , совесть чиста и лог тоже ... ;)
05.11.2007, 19:24
rubin

Да, чисто :)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Касательно C:\WINDOWS\system32\avpo1.dll
Сегодня днём как раз был добавлен детект:
[b]Trojan-Downloader.Win32.Small.gmr[/b]
22.02.2009, 02:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.aox[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\windows\\system32\\avpo1.dll - [B]Trojan-Downloader.Win32.Small.gmr[/B] (DrWEB: Trojan.Packed.140)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.aox[/B] (DrWEB: Win32.HLLW.Autoruner.437)[/LIST][/LIST]