ПО File Downloader

**allknower** · 14.12.2009, 13:09

Я тоже наткнулся на этот вирус, вылезло окошко с требованием купить софтину смс-кой. Прогнал пару сриптов из схожих тем окошко теперь пропало, даже не знаю точно какой из них помог, но в процессах остались подолрителные личности типа av_md.exe , reader_s.exe.
Интернет вроде бы счас появился на зараженной машине, но все ж прошу поглядеть логи, ибо есть подозрение что гад просто затаилсо!

А и еще когда выполнял скрипты было написано что не удается удалить такие то файлы - нужна перезагрузка...

Вот какие скрипты гонял:
Сначала этот:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmsqnzbx.dll', '');
QuarantineFile('C:\WINDOWS\system32\hyplink.dll',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\Usirda um.sys','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll', '');
QuarantineFile('C:\Documents and Settings\kyulya\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\Documents and Settings\kyulya\av_md.exe','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\kyulya\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\Documents and Settings\kyulya\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','av_md');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

потом этот:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmsqnzbx.dll', '');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Буду признателен за любую помошь!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**allknower** · 14.12.2009, 13:19

А так же счас открыл диспечер задач - там процес cmd.exe грузит проц на 80-90%. Что то делается консольно похоже...

**Ingener** · 14.12.2009, 13:38

Вот какие скрипты гонял:

Чужие скрипты запускать категорически запрещено!!!

1) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\temp\~tmc.tmp');
 TerminateProcessByName('c:\windows\system32\av_md.exe');
 TerminateProcessByName('c:\windows\system32\reader_s.exe');
 QuarantineFile('C:\copy.bat','');
 QuarantineFile('F:\Software\Multi Password Recovery\mpr_freader.sys','');
 QuarantineFile('c:\windows\temp\~tmc.tmp','');
 QuarantineFile('c:\windows\system32\aekgoprn.dll','');
 QuarantineFile('C:\Documents and Settings\skovalenko\Start Menu\Programs\Startup\siszyd32.exe','');
 QuarantineFile('c:\windows\system32\av_md.exe','');
 QuarantineFile('C:\Documents and Settings\skovalenko\av_md.exe','');
 QuarantineFile('c:\windows\system32\reader_s.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\reader_s.exe','');
 DeleteFile('c:\windows\temp\~tmc.tmp');
 DeleteFile('c:\windows\system32\aekgoprn.dll');
 DeleteFile('C:\Documents and Settings\skovalenko\Start Menu\Programs\Startup\siszyd32.exe');
 DeleteFile('c:\windows\system32\av_md.exe');
 DeleteFile('C:\Documents and Settings\skovalenko\av_md.exe');
 DeleteFile('c:\windows\system32\reader_s.exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\reader_s.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новые логи.

Это задание в планировщик задач сами добавили?

C:\copy.bat copy.job

**allknower** · 14.12.2009, 14:17

>> C:\copy.bat copy.job
В шедулер ничего не добавлял.

Скрипты выполнил, логи прилагаю, карнтин прогрузил.

**Ingener** · 14.12.2009, 14:55

1) Скачайте программу из вложения, запустите и дождитесь окончания работы. Компьютер перезагрузится.
2) Удалите файл C:\WINDOWS\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3) Сделайте новый лог virusinfo_syscure.zip + такой лог: http://virusinfo.info/showthread.php?t=53070

**allknower** · 14.12.2009, 18:46

Новые логи:

**Ingener** · 14.12.2009, 20:46

1) Выполните скрипт в AVZ:

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile('C:\copy.bat');
DeleteFile('copy.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Удалите в mbam:

Код:

C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.

Проблема решена?

Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339

**allknower** · 15.12.2009, 10:08

Да, проблема решена. Спасибо большое.

Вопрос - в hosts у меня прописано несколько хостов своих. Может быть поэтому mbam паниковал??? Я его не стал удалять. Проверил - чужих хостов нет, только мои.

Или mbam переживает не по этому?

**Ingener** · 15.12.2009, 11:48

Вопрос - в hosts у меня прописано несколько хостов своих. Может быть поэтому mbam паниковал??? Я его не стал удалять. Проверил - чужих хостов нет, только мои. Или mbam переживает не по этому?

если у вас hosts файл лежит в этой директории C:\WINDOWS\hosts, тогда не фиксите в mbam указанную строку, если нет - пофиксите.
Просто по умолчанию в Windows XP hosts файл должен быть расположен в этой директории: C:\WINDOWS\system32\drivers\etc\
Изменить его местоположение можно в этом ключе реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\DataBasePath
Проверьте этот параметр и если там задано: C:\WINDOWS\hosts - не фиксите эту строчку в mbam.