win32\spy.VBStat.J троян и траффик почти пропал

**nkochet** · 25.05.2007, 16:38

Nod32 выдает сообщение о его обнаружении. траффик почти на нуле, ничего не качается. CureIt находит троян Virtumond и вроде бы его удяляет, но потом он снова есть - так уже 3 месяца. Еще в последнее время IExplore все время пытается зайти на стринички с разными адресами, но не подключается к ним.
При етом пробkемы с траффиком у меня на домашнем компьютере, а так же на ноутбуке, которые дома соеденинены в по сети. При выходе с ноутбука в интернет из другого места тоже почти пропадает траффик, на нем у меня стоит Dr.Web и Vista, а на домашнем Nod32 i Xp.

Файлы

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 25.05.2007, 16:55

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\hpilpdgs.dll','');
 QuarantineFile('C:\WINDOWS\system32\dkcoamxi.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
 QuarantineFile('C:\WINDOWS\system32\efccbba.dll','');
 QuarantineFile('c:\windows\system32\brsvc01a.exe','');
 QuarantineFile('c:\windows\system32\brss01a.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Пришлите файлы карантина по правилам раздела "Помогите".

**nkochet** · 25.05.2007, 17:01

и где выполнить скрипт - на ноуте или на домашнем, или сразу на обоих

**Макcим** · 25.05.2007, 17:02

На домашнем.

**drongo** · 25.05.2007, 17:08

для каждого компьютера своя тема со своими логами, тогда и не будет путаницы.

**nkochet** · 25.05.2007, 20:20

ну отправила я файлы, каков вердикт?

**nkochet** · 25.05.2007, 22:28

Explorer продолжает ломиться на адрес хттп//65.243.103.56

**drongo** · 26.05.2007, 00:06

Сообщение от nkochet

ну отправила я файлы, каков вердикт?

Код:

 Hello,

avz00001.dta - Trojan-Spy.Win32.VBStat.h,
avz00002.dta - Trojan-Spy.Win32.VBStat.h,
avz00003.dta - Trojan-Spy.Win32.VBStat.h,
avz00004.dta - Trojan-Spy.Win32.VBStat.h,
avz00005.dta - Trojan-Spy.Win32.VBStat.h,
avz00006.dta - Trojan-Spy.Win32.VBStat.h,
avz00007.dta - Trojan-Spy.Win32.VBStat.h

These files are already detected. Please update your antivirus bases.

avz00008.dta - not-a-virus:AdWare.Win32.Virtumonde.fp,
avz00009.dta - not-a-virus:AdWare.Win32.Virtumonde.jp,
bcqr00005.dat - not-a-virus:AdWare.Win32.Virtumonde.fp,
bcqr00006.dat - not-a-virus:AdWare.Win32.Virtumonde.fp,
bcqr00007.dat - not-a-virus:AdWare.Win32.Virtumonde.jp,
bcqr00008.dat - not-a-virus:AdWare.Win32.Virtumonde.jp

These files are Advertizing Tools, they are detected by
extended databases set. See more info about
extended databases here: http://www.kaspersky.com/extraavupdates

avz00010.dta, avz00011.dta, bcqr00009.dat, bcqr00010.dat, bcqr00011.dat, bcqr00012.dat

No malicious code were found in these files.

**drongo** · 26.05.2007, 00:20

кто есть кто :

Код:

avz00001.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\fieypjpg.dll"
avz00002.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\fqtqkrup.dll"
avz00003.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\hhmfkhmj.dll"
avz00004.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\nlnrnfwc.dll"
avz00005.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\pujulgcv.dll"
avz00006.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\tdavqmpb.dll"
avz00007.dta = "e:\ForTest\Documents and Settings\Administrator\Local Settings\Temp\vthtcage.dll"
avz00008.dta = "e:\ForTest\WINDOWS\system32\ssqpo.dll"
avz00009.dta = "e:\ForTest\WINDOWS\system32\efccbba.dll"
avz00010.dta = "e:\ForTest\windows\system32\brsvc01a.exe"
avz00011.dta = "e:\ForTest\windows\system32\brss01a.exe"
bcqr00001.dta = "e:\ForTest\\C:\WINDOWS\system32\hpilpdgs.dll"
bcqr00002.dta = "e:\ForTest\\C:\WINDOWS\system32\hpilpdgs.dll"
bcqr00003.dta = "e:\ForTest\\C:\WINDOWS\system32\dkcoamxi.dll"
bcqr00004.dta = "e:\ForTest\\C:\WINDOWS\system32\dkcoamxi.dll"
bcqr00005.dta = "e:\ForTest\\C:\WINDOWS\system32\ssqpo.dll"
bcqr00006.dta = "e:\ForTest\\C:\WINDOWS\system32\ssqpo.dll"
bcqr00007.dta = "e:\ForTest\\C:\WINDOWS\system32\efccbba.dll"
bcqr00008.dta = "e:\ForTest\\C:\WINDOWS\system32\efccbba.dll"
bcqr00009.dta = "e:\ForTest\\c:\windows\system32\brsvc01a.exe"
bcqr00010.dta = "e:\ForTest\\c:\windows\system32\brsvc01a.exe"
bcqr00011.dta = "e:\ForTest\\c:\windows\system32\brss01a.exe"
bcqr00012.dta = "e:\ForTest\\c:\windows\system32\brss01a.exe"

**drongo** · 26.05.2007, 00:38

Лечение :

1. Отключиться от интернета и выключить активный
мониторинг антивируса.Он просто будет мешать.
2.выполнить скрипт в авз.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\fieypjpg.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\fqtqkrup.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\hhmfkhmj.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\nlnrnfwc.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\pujulgcv.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\tdavqmpb.dll');
  DeleteFile('c:\Documents and Settings\Administrator\Local Settings\Temp\vthtcage.dll');
  DeleteFile('c:\WINDOWS\system32\ssqpo.dll');
  DeleteFile('c:\WINDOWS\system32\efccbba.dll');
  DeleteFile('C:\WINDOWS\system32\hpilpdgs.dll');
  DeleteFile('C:\WINDOWS\system32\dkcoamxi.dll');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

3.После автоматической перезагрузки сделать новые логи по правилам .
4. Включить антивирус и прикрепить новые логи к следующему сообщению .

**nkochet** · 26.05.2007, 17:39

logi

**nkochet** · 26.05.2007, 17:41

a syscheck ne daet zagruzit

**drongo** · 26.05.2007, 20:49

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\umxaxcwj.dll
O2 - BHO: (no name) - {97A8B0F7-AD05-4AA4-B475-7EFA330F6AC1} - C:\WINDOWS\system32\efccbba.dll (file missing)
O2 - BHO: (no name) - {D5B3DD00-ECC8-46DA-BA81-EAA01F25BF98} - C:\WINDOWS\system32\ssqpo.dll (file missing)
O20 - Winlogon Notify: efccbba - efccbba.dll (file missing)
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\

2.Отключиться от интернета и выключить активный
мониторинг антивируса.Он просто будет мешать.
выполнить скрипт в AVZ :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\system32\umxaxcwj.dll','');
  QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\eccouhik.dll','');
  DeleteFile('C:\WINDOWS\system32\umxaxcwj.dll');
  DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\eccouhik.dll');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После автоматической перезагрузки :Почистите временные файлы !!!
сделать новые логи по правилам .
4. Включить антивирус и прикрепить новые логи к следующему сообщению .
надо старые логи удалять , тогда и будут новые прикрепляться

5. eccouhik.dll ,umxaxcwj.dll из карантина авз доставить по правилам .
6.Я так понял по работе:
D:\docum\Borka\Radio\WINSCOPE\L-Card\USB\E270\EXAMPLE.D\example.exe
D:\docum\Borka\Optimized\Схемы\lpt\lpt.zip
надобно отослать Олегу Зайцеву прямиком (мыло в самой программе avz)

**nkochet** · 01.06.2007, 15:21

Некоторые файлы из темпа не удалились

**Bratez** · 01.06.2007, 15:55

Логи чистые, проблема еще проявляется?

**nkochet** · 01.06.2007, 17:42

нет покаб спасибо за помощь!!!

**Макcим** · 01.06.2007, 19:55

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

**CyberHelper** · 22.02.2009, 01:51

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 26
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\administrator\\local settings\\temp\\eccouhik.dll - Trojan-Spy.Win32.VBStat.h
2. c:\\documents and settings\\administrator\\local settings\\temp\\fieypjpg.dll - Trojan-Spy.Win32.VBStat.h
3. c:\\documents and settings\\administrator\\local settings\\temp\\fqtqkrup.dll - Trojan-Spy.Win32.VBStat.h
4. c:\\documents and settings\\administrator\\local settings\\temp\\hhmfkhmj.dll - Trojan-Spy.Win32.VBStat.h
5. c:\\documents and settings\\administrator\\local settings\\temp\\nlnrnfwc.dll - Trojan-Spy.Win32.VBStat.h
6. c:\\documents and settings\\administrator\\local settings\\temp\\pujulgcv.dll - Trojan-Spy.Win32.VBStat.h
7. c:\\documents and settings\\administrator\\local settings\\temp\\tdavqmpb.dll - Trojan-Spy.Win32.VBStat.h
8. c:\\documents and settings\\administrator\\local settings\\temp\\vthtcage.dll - Trojan-Spy.Win32.VBStat.h
9. c:\\windows\\system32\\efccbba.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)
10. c:\\windows\\system32\\ssqpo.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)