win32.hllp.sector помогите избавиться пожалуйста!

При запуске некоторых программ в папке систем32 появляется файл wdmfmc32.dl_
СпайдерГард оределяет его как win32.hllp.sector и исцеляет.
Если отключить мониторинг, то этот файл превращается в длл, который вылечить невозможно! Далее из временной папки два exe-файла winiwzhlx.exe и winplos.exe поочередно пытаются связаться с [URL="http://www.bpfq02.com/"][COLOR=#0000ff]http://www.bpfq02.com[/COLOR][/URL] (72.36.160.202)
Полное сканирование системы в безопасном режиме ничего не обнаруживает!
Далее привожу несколько строк из filemonitor:
1 14:42:12 vfp8.exe:1428 CREATE C:\WINDOWS\system32\wdmfmc32.dl_ SUCCESS Options: OverwriteIf Access: All
2 14:42:12 vfp8.exe:1428 OPEN C:\WINDOWS\system32\wdmfmc32.dl_+DRWEBINTERNALREQUEST FILE NOT FOUND Options: Open Access: All
3 14:42:12 vfp8.exe:1428 WRITE C:\WINDOWS\system32\wdmfmc32.dl_ SUCCESS Offset: 0

[COLOR="Red"]Все логи прикреплять как файлы! Admin[/COLOR]

Несколько строк из Анвира:
14:48:22
30. winiwrhlx.exe 268 started by explorer.exe c:\temp\winiwrhlx.exe 05/31 14:50:11
31. winplos.exe 952 started by explorer.exe c:\temp\winplos.exe 05/31 14:50:33
32. svchost.exe 1252 started by services.exe C:\WINDOWS\system32\svchost.exe -k imgsvc 05/31 15:01:48

Прилагаю virusinfo_syscheck.zip и hijackthis.log
Лог пункта 8 получить не удалось, т.к. комп вылетел в BSOD с сообщением об ошибке avz.sys

Или крутой руткит, или незакрытая дыра. В памяти вроде ничего страшного нет. Не знаю, правда, кто такой Teefer for NT. Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys

Я не помню, какая у вас версия Dr.Web и насколько свежие базы.

[quote=pig]Или крутой руткит, или незакрытая дыра. В памяти вроде ничего страшного нет. Не знаю, правда, кто такой Teefer for NT. Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys

Я не помню, какая у вас версия Dr.Web и насколько свежие базы.[/quote]

Файл вышлю завтра с утра, версия Dr.Web триальная до 20 июня, базы свежайшие.
А что за сайт, с которым пытался этот вирус связь наладить?

@mack7777
Я не обнаружил в логе Чего-То такого, (что конечно не означает, что ничего Такого у Вас действительно нет ;) ). Если Вам удастся опорожнить все темп-папки в безопасном модусе это было бы уже хорошо. Попробуйте воспользоваться [URL="http://www.clearprog.de/programme/clearprog/index_new.php?lang=en"]этим[/URL] для удаления мусора.
EDIT:
[QUOTE]А что за сайт, с которым пытался этот вирус связь наладить?[/QUOTE]
Это не сайт, а тот "умник", кто Вам бэкдора посадил.
Можете сами [URL="http://www.ripe.net/perl/whois/"]здесь[/URL] проверить.
@pig
[QUOTE]Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys[/QUOTE]
Скачайте себе Sygate PF и получите файл для разборок ;).

Ключевая фраза - "При запуске некоторых программ ..."
На вашем компьютере несколько exe-файлов заражены вирусом-паразитом. Так как, Spider с настройками по умолчанию не проверяет запускаемые файлы, вирус в них не обнаружывается.
Просканируйте все диски сканером DrWeb, не запуская при этом никаких программ.
И пришлите один из файлов, после запуска которого, появляется та DLL-ка (поменьше размером) так, как указано в Правилах.

[quote=AndreyKa]Ключевая фраза - "При запуске некоторых программ ..."
На вашем компьютере несколько exe-файлов заражены вирусом-паразитом. Так как Spider с настройками по умолчанию не проверяет запускаемые файлы вирус в них не обнаружывается.
Просканируйте все диски сканером DrWeb, не запуская при этом никаких программ.
И пришлите один из файлов, после запуска которого, появляется та DLL-ка (поменьше размером) так, как указано в Правилах.[/quote]
У меня сейчас настройки не дефолтные, проверяются все файлы!
Диски уже сканировал, как в нормальном режиме, так и в безопасном.
Результат нулевой.

[QUOTE=mack7777]Диски уже сканировал, как в нормальном режиме, так и в безопасном. Результат нулевой.[/QUOTE]
А может Вам какой Онлайн-Сканнер попробовать, Трендмикро или Каспера?

Скорее CureIt нужен и пройтись им в SafeMode, а не полный доктор, судя по описанию червяк душит и Web`a и Kasper`a.

[QUOTE=RiC]Скорее CureIt нужен и пройтись им в SafeMode, а не полный доктор, судя по описанию червяк душит и Web`a и Kasper`a.[/QUOTE]
Я тоже хотел его присоветовать. потом дочитался, что Док уже стоит. Есть ли смысл: ведь тот же движок и те же базы. Хотя, кто его знает. ;)
Тут вот ещё можно [URL="http://www.mwti.net/products/mwav/mwav.asp"]eScan[/URL] попробовать. Он от Каспера базы использует. Но Free-Version только детектит, не удаляет и не лечит. Хорошо было бы хотя бы узнать, что удалять, а что лечить.

[QUOTE=Rene-gad]Я тоже хотел его присоветовать. потом дочитался, что Док уже стоит. Есть ли смысл: ведь тот же движок и те же базы. Хотя, кто его знает. ;)[/QUOTE]
Возможно есть :)
В принципе ещё имеет смысл попробывать [url=http://www.bitdefender.com/cache/links/Download/bitdefender_free_v8.exe]BitDefender[/url], червяк довольно свежий, файлы кстати портит сильно, возможно нормального лечения и нет ни у кого. Я нашёл несколько попыток вылечить, все в итоге закончились "format c" :(
Кстати Online каспера с лечением можно найти [url=http://support.f-secure.com/ols3/start.html]здесь[/url], правда Beta и слегка глючноватая.

[QUOTE=mack7777]А что за сайт, с которым пытался этот вирус связь наладить?[/QUOTE]
при заходе на главную страницу выдает ошибку, из которой следует, что имеется папка [url]http://www.bpfq02.com/stats/31-05-06/RU/[/url] .
там лежат какие-то файлы 10-байтовые. но в большом кол-ве.

[quote=MOCT]при заходе на главную страницу выдает ошибку, из которой следует, что имеется папка [URL="http://www.bpfq02.com/stats/31-05-06/RU/"]http://www.bpfq02.com/stats/31-05-06/RU/[/URL] .
там лежат какие-то файлы 10-байтовые. но в большом кол-ве.[/quote]

Скачал немного WGet-ом. Похоже на статистику заражений по всему миру. Неплохо развернулся этот гаденыш!

[quote=mack7777]У меня сейчас настройки не дефолтные, проверяются все файлы![/quote]"Все файлы" из вкладки "Типы файлов"? эта опция мало что меняет. А вот включить во вкладке [b]Проверка[/b] вариант [b]Режима проверки[/b] - [b]Другие- запуск и открытие + создание и запись[/b]
Перезагрузиться (компьютер тормозить будет довольно сильно), запустить проверку всех дисков и не запускать никаких других программ. Во время проверки Spider можно поставить на паузу - для ускорения.

А один из файлов, после запуска которого, появляется та DLL-ка, все таки, пришлите. Вполне вероятно, что DrWeb [b]еще не знает этот вирус[/b], а детектирует только его вспомогательный модуль (wdmfmc32.dl_).

[quote=AndreyKa]"Все файлы" из вкладки "Типы файлов"? эта опция мало что меняет. А вот включить во вкладке [B]Проверка[/B] вариант [B]Режима проверки[/B] - [B]Другие- запуск и открытие + создание и запись[/B]
Перезагрузиться (компьютер тормозить будет довольно сильно), запустить проверку всех дисков и не запускать никаких других программ. Во время проверки Spider можно поставить на паузу - для ускорения.

А один из файлов, после запуска которого, появляется та DLL-ка, все таки, пришлите. Вполне вероятно, что DrWeb [B]еще не знает этот вирус[/B], а детектирует только его вспомогательный модуль (wdmfmc32.dl_).[/quote]

У меня именно такие настройки и есть! Заметил еще одну интересную вещь! Сейчас опять провел эксперимент с отключением мониторинга. Экзешников, пытающихся выйти на связь больше не было, но в темп-папке появляются бат файлы anvirdel.bat:
@echo off
:try
del "C:\Program Files\AnVir Task Manager\AnVir.exe"
if exist "C:\Program Files\AnVir Task Manager\AnVir.exe" goto try
rmdir "C:\Program Files\AnVir Task Manager"
del c:\Temp\anvirdel.bat
и:
@echo off
:try
del "D:\antispy\AnvirSet.exe"
if exist "D:\antispy\AnvirSet.exe" goto try
rmdir "D:\antispy"
del c:\Temp\anvirdel.bat

Первый удалил этот анвир, а второй появился сразу после его переустановки.
Посылаю дллку злосчастную, txt файл переименовать в зип, пароль virus,

[quote]Файл сохранён как wdmfmc32dll_447e8d9f09738.zip
Размер файла 12411
MD5 2a8166b8de432f0ed7b1d166582b4ac1 [/quote]

А также логи filemonitora и спайдергада
Гадский вирус еще и rasman.dll мне заразил. Windows file protection вылез! Ох не кончилось бы все это хреново!

pls Загружайте файлы через [url]https://virusinfo.info/upload_virus.php[/url]

dll особо не поможет. Нужен хотя бы один файл зараженный вирусом

Complete scanning result of "wdmfmc32.dll", received in VirusTotal at 06.01.2006, 08:37:10 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.34 06.01.2006 Worm/PoeBot.81408.A
Authentium 4.93.8 05.31.2006 no virus found
Avast 4.7.844.0 05.31.2006 no virus found
AVG 386 05.31.2006 Win32/Sality
BitDefender 7.2 05.31.2006 Win32.Sality.I
CAT-QuickHeal 8.00 05.31.2006 Worm.Sality.n
ClamAV devel-20060426 05.31.2006 no virus found
DrWeb 4.33 05.31.2006 Win32.HLLP.Sector
eTrust-InoculateIT 23.72.23 06.01.2006 Win32/Sality.M!DLL!Worm
eTrust-Vet 12.6.2237 06.01.2006 Win32/Sality.M
Ewido 3.5 05.31.2006 no virus found
Fortinet 2.77.0.0 05.31.2006 PossibleThreat!04049
F-Prot 3.16f 05.31.2006 no virus found
Ikarus 0.2.65.0 05.31.2006 no virus found
Kaspersky 4.0.2.24 06.01.2006 Virus.Win32.Sality.n
McAfee 4774 05.31.2006 W32/Sality.t.dll
Microsoft 1.1441 06.01.2006 Win32/Sality.L.dll
NOD32v2 1.1572 06.01.2006 Win32/Sality.N
Norman 5.90.17 05.31.2006 no virus found
Panda 9.0.0.4 05.31.2006 W32/Sality.S
Sophos 4.05.0 05.31.2006 W32/Sality-U
Symantec 8.0 06.01.2006 W32.HLLP.Sality
TheHacker 5.9.8.152 05.29.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.DLL.307

[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21029[/url]
[B]Технические детали[/B] (Virus.Win32.Sality.d)

Вирус, имеющий шпионский функционал — перехват ввода с клавиатуры (keylogger). Собранную информацию отправляет почтой по протоколу SMTP.

При старте выбрасывает (drops) в системный или временный каталог свою компоненту SYSLIB32.DLL размером 2615 байт.

При заражении дописывает себя в начало файла, изменяет имена секций PE заголовка на цифровые, в порядке возрастания.

Содержит зашифрованные строки:

Win32.HLLP.Kuku
<<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector

[quote=Geser]dll особо не поможет. Нужен хотя бы один файл зараженный вирусом[/quote]

Отправил 2 файла, после запкска которых появляется тот длл-файл: filemon.zip и winrar.zip
Вот как это было, лог файлмонитора:

[quote=Shu_b]Complete scanning result of "wdmfmc32.dll", received in VirusTotal at 06.01.2006, 08:37:10 (CET).

Antivirus Version Update Result

UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.DLL.307

[URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21029"]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21029[/URL]
[B]Технические детали[/B] (Virus.Win32.Sality.d)
Copyright (c) by Sector[/quote]

Все конечно очень интересно, но я и сам это знал! Вопрос: откуда он берется и куда прячется, т.к. всемозможные полные сканировпания системы ничего не находят?

[QUOTE=mack7777]Все конечно очень интересно, но я и сам это знал! Вопрос: откуда он берется и куда прячется, т.к. всемозможные полные сканировпания системы ничего не находят?[/QUOTE]
Вот из за этого:
[QUOTE]Complete scanning result of "Filemon.exe", received in VirusTotal at 06.01.2006, 09:06:35 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.34 06.01.2006 W32/Sality.o
Authentium 4.93.8 05.31.2006 no virus found
Avast 4.7.844.0 05.31.2006 no virus found
AVG 386 05.31.2006 Win32/Sality
BitDefender 7.2 05.31.2006 Win32.Sality.I
CAT-QuickHeal 8.00 06.01.2006 W32.Sality.O
ClamAV devel-20060426 05.31.2006 no virus found
DrWeb 4.33 05.31.2006 [B]no virus found[/B]
eTrust-InoculateIT 23.72.23 06.01.2006 Win32/Sality.M
eTrust-Vet 12.6.2237 06.01.2006 Win32/Sality.M
Ewido 3.5 05.31.2006 no virus found
Fortinet 2.77.0.0 05.31.2006 W32/Sality.O
F-Prot 3.16f 05.31.2006 no virus found
Ikarus 0.2.65.0 05.31.2006 no virus found
Kaspersky 4.0.2.24 06.01.2006 Virus.Win32.Sality.o
McAfee 4774 05.31.2006 W32/Sality.t
Microsoft 1.1441 06.01.2006 no virus found
NOD32v2 1.1572 06.01.2006 no virus found
Norman 5.90.17 05.31.2006 no virus found
Panda 9.0.0.4 05.31.2006 W32/Sality.S
Sophos 4.05.0 05.31.2006 W32/Sality-U
Symantec 8.0 06.01.2006 no virus found
TheHacker 5.9.8.152 05.29.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.307[/QUOTE]

Файлы отправлены в вирлаб, либо ждите пока добавят либо пользуйтесь альтернативами в виде тех кто видит: KAV, VBA (но возможны варианты с потерей файлов после лечения... так что лучше пробовать на нескольких "некритичных файлах")

[quote=Shu_b]Вот из за этого:


Файлы отправлены в вирлаб, либо ждите пока добавят либо пользуйтесь альтернативами в виде тех кто видит: KAV, VBA (но возможны варианты с потерей файлов после лечения... так что лучше пробовать на нескольких "некритичных файлах")[/quote]

Сейчас делаю полный онлайнскан от ф-секьюрэ, наковырял уже 141 вирус! Стоит ли делать чистку? Или подождать Др.Веба?

Лучше подождать немного.
2 Shu_b: а представители ДВ что-нибудь говорят по этому вопросу?

Вот ведь зараза какая! А самое "смешное", что именно ф-секурэ у меня стоял когда началась вся эта бодяга! Только он писал, что похоже неизвестный вирус и ничего не мог с ним сделать кроме удаления-переименования! А Др.Веб определил сразу и лечил!
Так значит не от того лечил, и не так?

[QUOTE=Iceman]Лучше подождать немного.
2 Shu_b: а представители ДВ что-нибудь говорят по этому вопросу?[/QUOTE]
А разве когда нибудь говорили? запрос отправлен ждём'с...

Число обнаруженных вирусов перевалило за полтыщи! Вот подсуропил мне дохтур! А я так ему верил! :?

Доверяй, но проверяй :)

[QUOTE=mack7777]А я так ему верил! :?[/QUOTE]
Верить никому нельзя, мне - можно (с) Броневой

[QUOTE=Shu_b]А разве когда нибудь говорили? запрос отправлен ждём'с...[/QUOTE]
Гы, вот когда нужно - никого нет для объяснения ситуации...

[B]Статистика от F-secure online scanner:
[/B]



[B][FONT=Arial][COLOR=#5a6ed2]Statistics[/COLOR][/FONT][/B]

Scanned: [LIST] [*]Files: 31946[*]System: 5736[*]Not scanned: 5[/LIST]Actions: [LIST] [*]Disinfected: 1052[*]Renamed: 0[*]Deleted: 0[*]None: 11[*]Submitted: 0[/LIST]Files not scanned: [LIST] [*]C:\PAGEFILE.SYS[*]C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT[*]C:\PROGRAM FILES\DRWEB\INFECTED.!!!\A0032644 (1).EXE[*]C:\PROGRAM FILES\DRWEB\INFECTED.!!!\PSFILE.EXE[*]C:\PROGRAM FILES\DRWEB\INFECTED.!!!\VNCVIEWER.EXE[/LIST]
Все! С доктором я завязываю! Нафига мне такие супризы!?

Вот если бесплатный ключик подарят на год, в виде благодарности и вместо извинений, может и передумаю........ :>

[QUOTE=mack7777][*]C:\PROGRAM FILES\DRWEB\INFECTED.!!!\PSFILE.EXE[*]C:\PROGRAM FILES\DRWEB\INFECTED.!!!\VNCVIEWER.EXE
[/QUOTE]
А здесь Доктор кстати не прав: эти файлы чистые.
[QUOTE]Все! С доктором я завязываю! Нафига мне такие супризы!?[/QUOTE]
Так ни один антивирус не может все вирусы распознать.

Ответ вирлаба:
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: [B]Win32.Sector.20480[/B].

ps. алгоритм лечение реализован.

Добавлен в drwtoday, обновляйтесь, лечитесь.

Мдяяяяяяяяя........
[url]http://www.sophos.com/virusinfo/analyses/w32salityu.html?_log_from=rss[/url]
Оказывается защита от этого зверя работала у них уже с 23 мая!!!!
Дохтуру еще неделя понадобилась! Как то не впечатляет!

ДВ лечит или нет? Интересно.

[QUOTE=mack7777]
Оказывается защита от этого зверя работала у них уже с 23 мая!!!!
Дохтуру еще неделя понадобилась! Как то не впечатляет![/QUOTE]
На самом деле Доктору понадобилось около трёх часов - от получения образца до реализации детекта и лечения. Кто виноват, что Sophos заимела образец раньше? Кстати, не написали, когда он был у них discovered.

[QUOTE=Iceman]ДВ лечит или нет? Интересно.[/QUOTE]
Лечит, файлы. А вылечил ли он систему, нам mack7777 может сказать...

[QUOTE=Iceman]ДВ лечит или нет? Интересно.[/QUOTE]
Сорри, а на кой хрен троянца [B]лечить[/B]? Его [B]удалять[/B] надо :).
Так что вопрос стоит тут, как у AndreyKa
[QUOTE]А вылечил ли он систему[/QUOTE]

Так это ж не троянец, а файловый вирус.

>На самом деле Доктору понадобилось около трёх часов - от получения образца до реализации детекта и лечения. Кто виноват, что Sophos заимела образец раньше?

Polipos вспоминается.... Крикнул громко и облажался через неделю Ж)

>Лечит, файлы. А вылечил ли он систему, нам mack7777 может сказать...
Не скажет Ж) Ибо уже все сказанно вот этим

Actions:
Disinfected: 1052
Renamed: 0
Deleted: 0
None: 11
Submitted: 0