Trojan-PSW.Win32.LdPinch.bmx

[mk_]

антивирус с обновленными базами SAV его не видел.
касперский не ставится.
нашел ручками и через онлайн проверил...
в процессах два чужака wocfiba.exe и grnkl.exe ломились на xz.88889999.info ) и ещё куда то...
фаервол их отсек...
вирус скопировал себя на все диски +autorun.ini, добавил в реестр на автозагрузку wocfiba.exe и grnkl.exe
в /system32/ ещё помимо wocfiba.exe и grnkl.exe третий файл meex.com
невозможно сделать файлы видимыми в винде (ставишь галочку св-ва папки - видеть скрытые и системные файлы - жмешь ок - открываешь снова - галочка стоит там же - на НЕ видеть)
ещё добавил два липовых сервиса... отключил их...

да...и год ставиться 1980...и время летит час за два.

на данный момент - из процессов удалены, со всех дисков тоже...
wocfiba.exe и grnkl.exe больше не запускаются (кстати характерно - они запускались когда я пытался установить касперского, несколько раз проверял сам касперский устанавливается - но говорит нету файла avp.exe....как было и с hijackThis'om..пока не поменял файл запуска.

итого: осталось две проблемы - невозможность отображать скрытые\сис файлы и невозможность поставить касперского.

логи hijackThis и avz4 приложены..

спасибо.

[drongo]

касперский установлен же у вас(наверно криво), надо попробовать удалить стандартно.А также следы nod 32 .
Затем выполнить скрипт :
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\mk_\Мои документы\mk1 Мои документы\kaht2.rar','');
QuarantineFile('C:\Documents and Settings\Олег\Мои документы\Pocket_PC My Documents\A-311_102.rar','');
 DeleteFile('C:\WINDOWS\system32\drivers\nod32drv.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
 DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe');
 DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll');
 DeleteFile('C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(12);
RebootWindows(true);
end.

wocfiba.exe и grnkl.exe третий файл meex.com - в логах нет, поэтому обязательно положить в карантин как указано в приложении 2 правил
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10223........

[mk_]

сделал, увы но касперский так и не ставится (не запускается)...и также не возможно сделать скрытые\системные файлы видимыми

файл закачал..

[Bratez]

Это Virus.Win32.AutoRun.ao (по Касперскому).
Поищите следующие файлы:
C:\WINDOWS\system32\logon.bat
C:\WINDOWS\system32\config\autorun.inf
Если найдутся, пришлите по правилам.
P.S. А где карантин после скрипта drongo?
Его тоже пришлите!

[PavelA]

http://www.viruslist.com/ru/viruses/...virusid=160221 - описание похожего зверька. Кстати, удаляет все mp3 файлы на всех дисках. Хорошо, что только в корзину.

Надо бы еще пароли сменить после Пинча.

[mk_]

Это Virus.Win32.AutoRun.ao (по Касперскому)

я знаю...проверял...сам троян который определился как в названии темы...я похоже безвозвратно удалил

C:\WINDOWS\system32\logon.bat
C:\WINDOWS\system32\config\autorun.inf

таких нет

P.S. А где карантин после скрипта drongo?
Его тоже пришлите!

прислал

[mk_]

http://www.viruslist.com/ru/viruses/...virusid=160221 - описание похожего зверька. Кстати, удаляет все mp3 файлы на всех дисках. Хорошо, что только в корзину.

Надо бы еще пароли сменить после Пинча.

мп3 файлы все на месте...пароли менять..? я его сразу заметил и фаервол не дал ему ничего отослать..
или береженого бог бережет?

[PavelA]

мп3 файлы все на месте...пароли менять..? я его сразу заметил и фаервол не дал ему ничего отослать..
или береженого бог бережет?

А что в корзине? В логе АВЗ там полно мр3-ков лежит.

Насчет паролей: ИМНО береженого бог бережет.

[mk_]

что то меня фаервол настораживает:

0:24:05 Недоступно ВХОД БЛОКИРОВАНО TCP 212.220.209.39 4677 Block incoming RPC (TCP)
23:00:19 Недоступно ВХОД БЛОКИРОВАНО UDP 86.202.186.2 4672 Пакет на закрытый порт
22:59:58 Недоступно ВХОД БЛОКИРОВАНО UDP 90.35.150.198 4672 Пакет на закрытый порт
23:02:58 Недоступно ВХОД БЛОКИРОВАНО UDP 83.23.208.168 4672 Пакет на закрытый порт
23:00:28 Недоступно ВХОД БЛОКИРОВАНО UDP 84.72.48.132 4672 Пакет на закрытый порт
23:00:04 Недоступно ВХОД БЛОКИРОВАНО UDP 217.19.215.12 4672 Пакет на закрытый порт
23:00:14 Недоступно ВХОД БЛОКИРОВАНО UDP 83.37.249.147 4672 Пакет на закрытый порт
23:00:02 Недоступно ВХОД БЛОКИРОВАНО UDP 71.111.77.242 4672 Пакет на закрытый порт
23:03:04 Недоступно ВХОД БЛОКИРОВАНО UDP 83.132.90.108 4672 Пакет на закрытый порт
22:59:58 Недоступно ВХОД БЛОКИРОВАНО UDP 83.190.206.129 4672 Пакет на закрытый порт
23:02:51 Недоступно ВХОД БЛОКИРОВАНО UDP 88.14.57.95 4672 Пакет на закрытый порт
23:03:11 Недоступно ВХОД БЛОКИРОВАНО UDP 82.50.72.216 4672 Пакет на закрытый порт
23:04:29 Недоступно ВХОД БЛОКИРОВАНО UDP 200.101.18.127 4672 Пакет на закрытый порт
23:05:06 Недоступно ВХОД БЛОКИРОВАНО UDP 24.232.54.159 4672 Пакет на закрытый порт
23:05:03 Недоступно ВХОД БЛОКИРОВАНО UDP 88.154.90.22 4672 Пакет на закрытый порт
23:04:58 Недоступно ВХОД БЛОКИРОВАНО UDP 90.35.150.198 4672 Пакет на закрытый порт
23:04:54 Недоступно ВХОД БЛОКИРОВАНО UDP 189.6.161.12 4672 Пакет на закрытый порт
23:04:53 Недоступно ВХОД БЛОКИРОВАНО UDP 82.51.161.124 4672 Пакет на закрытый порт
23:04:50 Недоступно ВХОД БЛОКИРОВАНО UDP 83.50.240.45 4672 Пакет на закрытый порт
23:04:47 Недоступно ВХОД БЛОКИРОВАНО UDP 151.75.242.214 4672 Пакет на закрытый порт
23:03:48 Недоступно ВХОД БЛОКИРОВАНО UDP 79.13.89.15 4672 Пакет на закрытый порт
23:04:43 Недоступно ВХОД БЛОКИРОВАНО UDP 83.40.232.22 4672 Пакет на закрытый порт
23:03:29 Недоступно ВХОД БЛОКИРОВАНО UDP 83.200.35.151 4672 Пакет на закрытый порт
23:04:25 Недоступно ВХОД БЛОКИРОВАНО UDP 151.33.86.82 4672 Пакет на закрытый порт
23:04:13 Недоступно ВХОД БЛОКИРОВАНО UDP 86.61.40.201 4672 Пакет на закрытый порт

почему то не определяется процесс который ломиться...

[mk_]

и так постоянно...

[mk_]

радостная новость ))))) в реестре с помощью AATools нашел ветки реестра - любой процесс касперского заменялся на wocfiba.exe, ветки удалил - ребут - касперский живехонький появился ) радуюсь полчаса.

осталась одна проблема - не возможно сделать скрытые\системные файлы видимыми

[pig]

почему то не определяется процесс который ломиться...

Ну естественно - оно же снаружи. Это входящие пакеты.

осталась одна проблема - не возможно сделать скрытые\системные файлы видимыми

А если так:

Код:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=dword:00000001

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\mk_\\мои документы\\mk1 мои документы\\kaht2.rar - Exploit.Win32.DCom.y (DrWEB: archive: IRC.Flood)
  2. c:\\documents and settings\\олег\\мои документы\\pocket_pc my documents\\a-311_102.rar - Backdoor.Win32.Haxdoor.c (DrWEB: archive: BackDoor.Prodex)
  3. \\wocfiba.exe - Worm.Win32.AutoRun.ow (DrWEB: Win32.HLLW.Autoruner)