Puper и Vundo

**Xdrum** · 02.02.2008, 20:03

McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 02.02.2008, 21:07

Отключить антивирус, интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcess(19736);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
 QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll','');
 QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll','');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1234-1111-1111-615111193427}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
 QuarantineFile('C:\WINDOWS\System32\msvdm.dll','');
 DelBHO('{4B5A7560-16C6-4063-86D3-000000000003}');
 DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
 DelBHO('{C5AC49A2-94F3-42BD-F434-2604812C897D}');
 DelBHO('{A7F200B6-59D7-4F33-B52B-AC5AC7436204}');
 DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
 QuarantineFile('C:\WINDOWS\system32\ljjhghe.dll','');
 QuarantineFile('I:\citysvyaz\citysvyaz.exe','');
 QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
 QuarantineFile('C:\WINDOWS\system32\kdgj84ikg.dll','');
 QuarantineFile('C:\WINDOWS\system32\fkg94fdg.dll','');
 QuarantineFile('C:\WINDOWS\system32\dxclib303562752.dll','');
 QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll','');
 QuarantineFile('C:\WINDOWS\system32\bncmdue7h.dll','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\taskswitch.exe','');
 QuarantineFile('C:\WINDOWS\System32\fast.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\IEeng.exe','');
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\core.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS','');
 QuarantineFile('C:\WINDOWS\system32\sfrem02.exe','');
 QuarantineFile('C:\WINDOWS\grngoqw.exe','');
 QuarantineFile('C:\Documents and Settings\Мария\Мои документы\Разное\Semagic1701for2k.exe','');
 QuarantineFile('C:\WINDOWS\system32\wlkvafoj.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
 DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\bncmdue7h.dll');
 DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll');
 DeleteFile('C:\WINDOWS\system32\dxclib303562752.dll');
 DeleteFile('C:\WINDOWS\system32\fkg94fdg.dll');
 DeleteFile('C:\WINDOWS\system32\kdgj84ikg.dll');
 DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
 DeleteFile('C:\WINDOWS\System32\ljjhghe.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\core.sys');
 BC_DeleteSvc('smtpdrv');
 BC_DeleteSvc('runtime2.sys');
 BC_DeleteSvc('core');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17458

Сделайте новые логи, будем продолжать

P.S. Объясните что у вас с антивирусами твориться, я увидел активные драйвера древней версии касперского , и части дрвеба. Коллекционируете?
Как видите, тараканов больше чем антивирусов

Ваше отношение к защите компьютера оставляет желать лучшего...

**V1t0** · 02.02.2008, 22:42

Перед выполнением скрипта drongo отключите восстановление системы.

**Xdrum** · 03.02.2008, 17:39

шайссе, не отключил восстановление. еще раз сейчас прогоню и, соответственно, вышлю карантин.
Ну а старые драйверы - обычная история - как реестры не чисть - мусор все равно остается ((

**rubin** · 03.02.2008, 17:53

http://virusinfo.info/showthread.php?t=16646
Тут описано как удалить ненужные Вам антивирусы

**Xdrum** · 03.02.2008, 20:26

новые логи

высылаю карантин

**wise-wistful** · 03.02.2008, 20:37

а где остальные логи? В карантине только один файл.

Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
 QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
 QuarantineFile('C:\WINDOWS\Bhm27.sys','');
 QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
 QuarantineFile('C:\WINDOWS\System32\NavLogon.dll','');
 DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузите карантин согласно приложения 3 правил.

**Xdrum** · 03.02.2008, 21:37

лог syscure не прописывает, тольео syschek, карантин высылаю

**wise-wistful** · 03.02.2008, 21:44

Карантин как нормально загрузился? А то мне пишет, что он не найден на сервере.

**Xdrum** · 03.02.2008, 21:52

да, написал, что загружен

**Xdrum** · 04.02.2008, 19:13

вроде бы все гуд, только и-нет подвисает, пока не разобрался - почему.

**V_Bond** · 04.02.2008, 19:26

давайте логи - только не косить ... полный комплект ... поправим ваш интернет ...

**Xdrum** · 04.02.2008, 21:41

При запуске скрипта "выполнить лечение и сбор инфо" на скане диска выходит: ошибка "Runscan", Access violation чего-то там при создании карантина.

**V_Bond** · 04.02.2008, 22:14

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ubg27\0000', 'CSConfigFlags', '1');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bhm27\0000', 'CSConfigFlags', '1');
 StopService('Agk37');
 SetServiceStart('Agk37', 4);
 SetServiceStart('Ubg27', 4);
 SetServiceStart('Bhm27', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
 QuarantineFile('C:\WINDOWS\.sys','');
 QuarantineFile('ljjhghe.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
 QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
 QuarantineFile('c:\program files\deluxecommunications\dxcbho.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
 BC_DeleteFile('C:\WINDOWS\Bhm27.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ubg27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Agk37.sys');
 DeleteFile('c:\program files\deluxecommunications\dxcbho.dll');
 DeleteFile('C:\WINDOWS\system32\vsmidi.dll');
 DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
 DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
 DeleteFile('ljjhghe.dll');
 BC_DeleteSvc('Agk37');
 BC_DeleteSvc('Ubg27');
 BC_DeleteSvc('Bhm27');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ..
повторите логи ...

**Xdrum** · 04.02.2008, 22:23

ошибка скрипта Undeclared identifier 'BC_DeleteSV', позиция [25:13]

**V_Bond** · 04.02.2008, 22:26

поправил ...

**Xdrum** · 04.02.2008, 22:48

каранитин загружаю, скрипты сканирования повторю после загрузки

Добавлено через 12 минут

снова тоже самое Access violation at address 0040254 in module AVZ.exe Write of address 4643535D (вроде точно записал)

**V_Bond** · 04.02.2008, 22:56

выполните стандартный скрипт №6 ... затем повторите логи ...

**Xdrum** · 04.02.2008, 23:09

выполнил, повторил. То же самое, Access... и т.д.

**Макcим** · 05.02.2008, 11:31

Скачайте AVZ заново.

Puper и Vundo (заявка № 17458)

Опции темы

Puper и Vundo

Похожие темы

Vundo.OD

vundo QA [Trojan.Win32.Jorik.Buterat.dmn ]

vundo.QA [Trojan-Ransom.Win32.Birele.zos ]

А Vundo ли это?

TR/Vundo.Gen

Ваши права в разделе