Подозрение на вирус!

**Rene-gad** · 23.07.2008, 17:10

База поcледний раз обновлялась 06.04.2008

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Максут** · 23.07.2008, 17:31

Обновил, сейчас попробую. И пришлю логи по правилам.

**Максут** · 23.07.2008, 18:12

Обновил базы.Выполнил скрипт. Hijack как не фиксил так и не фиксит. Высылаю логи.

**kps** · 23.07.2008, 20:59

Попробуем удалить так:
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\26346810.sys','');
 QuarantineFile('C:\WINDOWS\system32\xprslib.dll','');
 QuarantineFile('C:\WINDOWS\system32\uxtheme.dll','');
 QuarantineFile('C:\WINDOWS\system32\gfimntr.dll','');
 DeleteFile('c:\windows\system32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\system32\twain16.dll');
 DeleteFile('C:\WINDOWS\system32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\26346810.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DelBHO('CAEF67AA-2E7F-444C-A7D6-E552DEF460DE');
DeleteFileMask('C:\WINDOWS\SYSTEM32\MsDts', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('is-UM42Cdrv');
BC_DeleteSvc('clever');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26814 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

**Максут** · 24.07.2008, 10:17

Очередной раз выполнил скрипт. Отправил карантин и высылаю логи. Hijack попрежнему не фиксит проблеммы

**Зайцев Олег** · 24.07.2008, 11:42

Сообщение от Максут

проблемы не фиксятся. Продолжает выдавать такое же сообщение

Попробуем более мощный скрипт:

Код:

begin
 SetAVZGuardStatus(True);
 SearchRootkit(true, true);
 TerminateProcessByName('c:\windows\system32\twunk_16.exe');
 DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
 QuarantineFile('C:\WINDOWS\system32\drivers\26346810.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
 QuarantineFile('c:\windows\system32\twunk_16.exe','');
 QuarantineFile('C:\WINDOWS\system32\twain16.dll','');
 DeleteFile('C:\WINDOWS\system32\twain16.dll');
 BC_DeleteFile('C:\WINDOWS\system32\twain16.dll');
 BC_DeleteFile('c:\windows\system32\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
 DeleteFile('c:\windows\system32\twunk_16.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

**Максут** · 24.07.2008, 12:35

Все вселал. Вот логи. Проблеммы так и не фиксятся.

**Rene-gad** · 24.07.2008, 12:56

Последняя попытка:
Пуск/Выполнить... наберите msconfig + клавиша Ввод. Карточка Автозапуск, Все отключить, Карточка Службы - Все Виндовс-Службы не показывать, все остальные - отключить. Перегрузитесь. Переименуйте hijackthis.exe в 123.pif. Попробуйте пофиксить и выполнить скрипт Олега Зайцева.
Если не поможет - придется переустановить систему.

**kps** · 24.07.2008, 13:17

Не надо переустанавливать - мы его сигнатурно задавим, вышеприведенные скрипты не стоит больше применять - видно, не помогают.
Есть возможность подключить зараженный жесткий диск к чистому компьютеру?

Еще на всякий случай проверим кое-что, выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Microsoft Firewall Client 2004\FwcWsp.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\vde5odu0.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин.

Важные вопросы
1) У Вас антивирус Симантек ловил что-то с формулировкой "Trojan Horse", когда Вы выполняли скрипты в AVZ ?
2) Вы отключали антивирус перед выполнением скриптов?
Дело в том, что, похоже, Симантек удалял драйвер AVZ.

**Rene-gad** · 24.07.2008, 13:33

Сообщение от kps

Еще на всякий случай проверим один файлик

Он отсюда: http://www.castlecops.com/lsp-159.html

**kps** · 24.07.2008, 13:36

Я знаю, что от Microsoft такой есть, он просто по базе безопасных не прошел.

**Максут** · 24.07.2008, 14:30

Да, возможность подключить жесткий диск к другому чистому компьютеру есть.

Добавлено через 3 минуты

И по поводу удаления. Симантек ничего вообще не находил. Он отключен на время работы по устранению данной проблемы. Фаервол наш, проверенный, это не вирус. Он так же отключен.

**kps** · 24.07.2008, 14:40

Тогда делайте так: Скачайте свежий CureIt! (ссылка в пункте 2 правил) на чистом компьютере. Потом возьмите зараженный жесткий диск и подключите его к этому чистому компьютеру. Запустите CureIt! и сделайте полную проверку зараженного жесткого диска. Найденное лечите и удаляйте. Если будут подозрения типа "Muldrop.Trojan" - тоже удаляйте.

Надо еще удалить папку MsDts, которая лежит здесь WINDOWS\SYSTEM32\

**Максут** · 24.07.2008, 14:41

Сейчас попробую.

**Максут** · 24.07.2008, 17:38

Ну вот, скачал, просканил, все что мог, все удалил. Но записи в реестре все равно остались. И Hijack попрежнему не фиксит проблемы. Я так понимаю проблемы мне придется чистить в ручную?

**kps** · 24.07.2008, 18:27

Вроде все прошло успешно.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Почистим реестр:
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('clever');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
 DeleteFile('C:\WINDOWS\system32\twain16.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('clever');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Очистите временные папки и кеш браузера.
Сделайте новые логи.

**Максут** · 25.07.2008, 11:06

Все сделал. Посмотрел лог Hijack`a. Попробовал профиксить один пункт, где был еще этот twunk_16. Все нормально пофиксилось. Вот логи

**Rene-gad** · 25.07.2008, 11:11

А это тоже пофиксилось?

Код:

O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')

Если Да, то отошлите kps 3 ящика пива

**Максут** · 25.07.2008, 11:13

Да. Сейчас по моему все чисто. Спасибо

Подозрение на вирус! (заявка № 26814)

Опции темы

Похожие темы

Подозрение на вирус

Подозрение на вирус

Подозрение на вирус!

Подозрение на вирус

Подозрение на вирус

Ваши права в разделе