Снова Errorsafe и еще какой-то sample

[SMajor]

Готово.

[Alex_Goodwin]

В логах чисто. У вас установлен антивирус? Вы можете выполнить пункт 2 правил?

2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).

[SMajor]

Проверил.

Что интересно: при выходе из защищенного режима снова появилось окошко имени Sample: мол, не отвечает - ожидаем завершения программы...

Что ж за зверь такой?!

[Bratez]

А что если в AVZ установить драйвер AVZPM, перезагрузиться и посмотреть Диспетчером процессов AVZ? Еще можно перед запуском Диспетчера процессов выполнить стандартный скрипт #1 (антируткит). Попробуйте, авось что-то и вылезет наружу.

[Numb]

Интересно. В логах видна какая-то интеловская беспроводная карта. Она используется как- нибудь? Если нет, попробуйте отключить данное устройство и, попутно, остановить службу

Код:

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

. И еще, на момент появления предложения о закрытии неотвечающей программы, в диспетчере задач ее не видно? В крайнем случае, попробуйте поймать эту таинственную программу Process Explorer-ом - он дает больше информации, чем стандартный диспетчер задач.

[SMajor]

Скрипт выполнил, он где-то логи складывает? Они нужны?
Интеловская карта - это мой WiFi, используется по прямому назначению

До остановки службы и проверки Process Explorer-ом не добрался - похоже, удалось отловить AVZ-ом: Sample присутствует в 2-х процессах; чтобы не переврать - посмотрите, плз, 2 принтскрина в аттаче.

[SMajor]

Опа...
У меня, оказывается, 2 штуки csrss.exe: один в System32, а второй - прямо в Windows. На всякий случай, наверное...
Как его (второй) отстреливают правильно?

[Shu_b]

Опа...
У меня, оказывается, 2 штуки csrss.exe: один в System32, а второй - прямо в Windows. На всякий случай, наверное...
Как его (второй) отстреливают правильно?

предварительно пришлите второй... (в правилах написано как)

[Bratez]

Пришлите по правилам файл C:\WINDOWS\system32\ZCfgSvc.exe.
Скорее всего, это от вашего WiFi-адаптера, но проверить не помешает.
Попробуйте полностью деинсталлировать программное обеспечение этого WiFi, проверьте будет ли появляться при перезагрузке зависший Sample, потом установите WiFi обратно. Похоже это его глюк.

[SMajor]

С:\WINDOWS\csrss.exe отправил.
А вот со вторым файлом сложнее: добавляю в список C:\WINDOWS\system32\ZCfgSvc.exe, потом смотрю карантин, а там - csrss.exe!

И как его туда загнать?

[Bratez]

С:\WINDOWS\csrss.exe - это пинч!
Скрипт для удаления:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Но как же он зараза хитро прячется, в логах-то его нет!!
После скрипта сделайте новые логи, интересно ZCfgSvc.exe пропадет или нет?

[Numb]

В дополнение: пинч ворует пароли, поэтому имеет смысл поменять пароли на учетные записи пользователей, записи электронной почты, номера ICQ, итд.

[anton_dr]

И правда

Complete scanning result of "avz00001.dta", received in VirusTotal at 05.22.2007, 10:02:01 (CET).

Antivirus Version Update Result
AntiVir 7.4.0.23 05.22.2007 TR/Agent.29961
Authentium 4.93.8 05.21.2007 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.997.0 05.21.2007 Win32 : Ldpinch-GH
BitDefender 7.2 05.22.2007 DeepScan:Generic.Malware.SFYdldldg.D0CB6F96
CAT-QuickHeal 9.00 05.21.2007 (Suspicious) - DNAScan
eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 05.22.2007 suspicious
F-Prot 4.3.2.48 05.21.2007 W32/new-malware!Maximus
F-Secure 6.70.13030.0 05.22.2007 LdPinch.JVR
Ikarus T3.1.1.7 05.22.2007 Trojan-Spy.Win32.Agent.DI
Norman 5.80.02 05.21.2007 LdPinch.JVR
Panda 9.0.0.4 05.21.2007 Trj/Ldpinch.AEQ
Sophos 4.17.0 05.21.2007 Mal/Basine-C
Sunbelt 2.2.907.0 05.17.2007 VIPRE.Suspicious
VBA32 3.12.0 05.21.2007 MalwareScope.Trojan-PSW.Pinch.42
Webwasher-Gateway 6.0.1 05.22.2007 Trojan.Agent.29961

Aditional Information
File size: 29961 bytes
MD5: d54368b0d7867ff2de9001c6877fb48e
SHA1: 261af0a5649191c57350a647588e6ebc0fd395e4
packers: FSG
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

[SMajor]

Скрипты выполнил, отправляю логи.

[SMajor]

Кажется, срослось

После деинсталляции/инсталляции интеловских драйверов для WiFi Sample наконец исчез.

Что видно по логам, жить - будет?

[Bratez]

Полная чистота и порядок

[SMajor]

Спасибо огромное всем!

Что я должен?

[anton_dr]

Как ни странно, вашего "Спасибо" достаточно
Вы можете еще нам помочь вот так http://virusinfo.info/showthread.php?t=3519

[SMajor]

Закачал, 2 файла:
Файл сохранён как070522_145417_virusinfo_files_MAJOR_4652cbd9649 a4.zipРазмер файла520040MD5a79202a409edb79c98f5715c2585e2d3

и

Файл сохранён как070522_145452_virus_4652cbfc4623e.zipРазмер файла520040MD5294f417b883d92903ac29dd1b8bad741

Еще раз огромное спасибо всем спасателям!
Удачи вам

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\csrss.exe - Trojan-PSW.Win32.LdPinch.cah (DrWEB: Trojan.PWS.LDPinch.1780)
  2. c:\\windows\\system32\\lqpdxgll.dll - not-a-virus:AdWare.Win32.Virtumonde.ar (DrWEB: BackDoor.Iterator)
  3. c:\\windows\\system32\\pmkji.dll - not-a-virus:AdWare.Win32.Virtumonde.js (DrWEB: Trojan.Virtumod)
  4. c:\\windows\\system32\\urqpppp.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)