Trojan-Proxy.Win32.Xorpix.ar

**Romeo4755** · 26.10.2007, 02:09

Дорогие специалисты - подскажите, пожалуйста.

Касперский указывает на наличие Trojan-Proxy.Win32.Xorpix.ar (система WindowsXP) - но при этом говорит о нем "Не найдено". По запросу "Лечить" он притворяется, что кого-то уничтожает - но вирус всегда на месте - кажется, он пропадает в одном месте и тут же появляется в новом.
Для начала он завесил комп: экран изредка взрагивал и обновлялся, на нажатия мыши не отвечал. Удалось реанимировать систему, загрузив через F8 и выбрав "последняя загрузка с работоспособными параметрами".
На том же компьютере стоит альтернативная Win98.
0) Касперский в 98х ставится не хочет - запускаю экзешник, скачанный из лаборатории, он распаковывает файлы во временную директорию и замолкает.
1) Скачала Cureit! Прогнала из 98 и ИксПи - ничего не нашлось.
2) Stop it! - не нашел ничего
3) AVZ - конкретно вирусов не нашел при сканировании дисков. Про процессы какие-то все время пишет красным цветом - ничего не понятно.

Есть ли какое-нибудь верное средство против этого Ксорпикса?
Спасибо за внимание.

файла virusinfo_syscure.zip у меня почему-то нет

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 26.10.2007, 04:25

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\regwiz.exe,
O4 - HKLM\..\Run: [CertStoreInit] D:\WINDOWS\system32\CertStoreInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

Выполните скрипт в AVZ:

Код:

begin
BC_QrFile('D:\WINDOWS\system32\lich.exe');
BC_QrFile('D:\WINDOWS\system32\regwiz.exe');
BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('lich');
BC_DeleteFile('D:\WINDOWS\system32\lich.exe');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин согласно приложению 3 правил.

Попробуйте еще раз выполнить лог syscure (п.8 правил).
Сделайте дополнительный лог: http://virusinfo.info/showthread.php?t=10387
и новый лог HijackThis.

**Romeo4755** · 26.10.2007, 21:07

Хайджеком профиксила.
Скрипт в Зацеве выполнили.
Сканирование с целью лечения и сбора данных провведено - cure появился.
(Меня смущает только что Касперского я в это время не отключала - не сказано ведь, что его надо отключить?)

**V_Bond** · 26.10.2007, 21:41

уберите карантин(virus.zip ) из темы .... загрузите по ссылке над темой
выполните скрипт ....

Код:

 
begin
 BC_QrFile('d:\WINNT\Temp\startdrv.exe');
 BC_QrFile('d:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('d:\WINNT\Temp\startdrv.exe');
 BC_DeleteFile('d:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи...

**Romeo4755** · 26.10.2007, 22:00

>>уберите карантин(virus.zip ) из темы .... загрузите по ссылке над темой
Сделала.

**AndreyKa** · 26.10.2007, 22:55

Каранин пришел - пустой, видимо KAV7 активно противодействует лечению/диагностике.

**Romeo4755** · 27.10.2007, 00:12

Вот я сделала новые логи.

>> карантин пришел пустой

Тогда я Касперского пока отключу и сделаю все по-новой?
Касперский имеет свою пользу. У меня о нем такое мнение, что он противодействует вторжениям очень неплохо, а вот лечит фиговато. Это вот как раз без него трояны наловились, пока пробовала другой антивирус. Пока почти год Касперский всегда был включен, почти не было проблем с вирусами. И сейчас - он Крпикса поймать не может, но компьютер хотя бы не виснет (наверно, Касперский какие-то его деятельности пресекает).

>>KAV7
KIS7

**V_Bond** · 27.10.2007, 00:30

при отключенном антивирусе выполните скрипт из поста 4 ... повторителоги...

**Romeo4755** · 27.10.2007, 01:39

При отключенном антивирусе выполнила скрипт в AVZ из поста 4,
вот логи и после всего этого - запомнила на всякий случай карантин и снова присылаю.
Как только включился Касперский - опять сообщает про присутствие Трояна.

**V_Bond** · 27.10.2007, 18:01

в чудеса не хочется верить ....
в SAFE MODE выполните скрипт из поста 4 ....

**Romeo4755** · 28.10.2007, 01:47

Сделала в Безопасном режиме - кажется, там больше подозрительных объектов попалось.
Логи я тоже делала в безопасном режиме.
Также запомнила карантин (если нужно, я приложу).
Загружаюсь в обычном режиме - первым делом бежит навстречу Касперский и кричит "У вас объекты! Лечить?" (Как всегда при нажатии на Лечить, он гордо приносит к зубах Ксорпикс, предлагает его удалить, а при попытке удаления тут же его теряет и потом находит в другом месте - и так с ним можно до бесконечности заниматься.)

**Bratez** · 28.10.2007, 02:58

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\_svchost.exe');
DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('D:\RECYCLER\S-1-5-21-839522115-838170752-682003330-1003\Dd72.exe');
DeleteFile('D:\Documents and Settings\Olya\Local Settings\Temporary Internet Files\Content.IE5\TB3F51CE\msiesettings[1].exe');
DeleteFile('D:\Documents and Settings\Olya\ie_update3r.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Очистите корзину и временные файлы IE.
Обновите базы KIS и сделайте полную проверку компьютера.
Сделайте новые логи в нормальном режиме.

**Romeo4755** · 28.10.2007, 15:36

Ой. Я сейчас все сделаю, только я успела уничтожить KIS и поставить KAV (у меня стрим - а он с KIS, как мне показалось, очень плохо уживается: часто рвется соединение - особенно, когда сам KIS работает в интернете (обновляет базы и пр.) И на некоторые другие сайты заходишь - интернет-эксплорер выкидывает сообщение об ошибке и приходится все закрывать). Сейчас снова пыталась неделю пользоваться KIS, все то же самое по-новой, так что я его деинсталировала. Поставила пробный KAV.

**Bratez** · 28.10.2007, 15:39

Неважно, пусть будет KAV, главное чтобы базы были свежие.

**Romeo4755** · 28.10.2007, 22:13

Скрипт выполнили (в нормальном режиме при выключенном Касперском).
Корзину почистила. Временные файлы удалила с помощью Очистки диска.
Проверка Касперским (базы сегодняшние) дала такие вот результаты (в основном он поймал Карантин AVZ

, но и Xorpix, как всегда, присутствует

):
* удалено: троянская программа Trojan-Downloader.JS.IESlice.c Файл: D:\Documents and Settings\Olya\Local Settings\Temporary Internet Files\Content.IE5\TB3F51CE\index[2].htm//Crypt.DCScript
* удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-26\avz00001.dta//PE_Patch
* удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-27\avz00001.dta//PE_Patch
* удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00001.dta
* удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00002.dta
* удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00003.dta
* удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00004.dta//PE_Patch
* удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00005.dta
* обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.ar Файл: D:\WINDOWS\system32\0007000.exe//#//UPack

Логи сделала в нормальном режиме при выключенном Касперском. В карантине, кажется еще больше строчек.
А не может влиять на ситуацию тот факт, что на той же машине стоит на диске C другая операционка? Может, сразу две надо проверить?

**V_Bond** · 28.10.2007, 22:27

пофиксите....

Код:

O2 - BHO: Flash Module - {C8A3B994-E27A-42f5-A053-C63799E621FB} - pidfenon.dll (file missing)

повторите лог HijackThis

**Bratez** · 29.10.2007, 03:08

А не может влиять на ситуацию тот факт, что на той же машине стоит на диске C другая операционка?

А это смотря какая операционка и чем вы в ней занимаетесь. Можно и оттуда логи глянуть. Но Xorpix'a в ней точно нет, ведь проверяли антивирусом весь компьютер.

**Romeo4755** · 29.10.2007, 11:47

Фиксю (при выкл. Касперском в нормальном режиме). Перезагружаю. Выключаю Касперского. Делаю лог.
Потом проверила Касперским критические области - все чисто кроме родного вот этого
обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.ar Файл: D:\WINDOWS\system32\0007000.exe//#//UPack

**Romeo4755** · 29.10.2007, 11:49

Вторая операционка - WIN98 (в первом посте кратко упомянута). Там не установлена поддержка сети, используется для работы со старым сканером, у которого нету драйверов под XP.

**Bratez** · 29.10.2007, 14:45

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\0007000.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Будет очень странно, если это не поможет...

Trojan-Proxy.Win32.Xorpix.ar (заявка № 13557)

Опции темы

Trojan-Proxy.Win32.Xorpix.ar

Похожие темы

Trojan-Proxy.Win32

Win32/Trojan Proxy Small MU Trojan

XP SP2 не грузится после лечения Trojan-Proxy.Win32.Small.my/ Trojan.Win32.SubSys.d и многих других

Trojan-proxy.win32.agent.net

Trojan-Proxy.Win32.Agent.uu

Ваши права в разделе