очередной "больной" с троянами

[M.Hamster]

Принесли ноутбук.
Похоже, что много всякого разного нацепляли.

Симптомы:
- весьма длительная загрузка (более 7 минут)
- общая "тормознутость" системы
- появление всевозможного мусора в системных папках и на рабочем столе ("file.exe", "zzxbkb.tmp" и т.п.)
- блокировка панели управления и диспетчера задач
- периодически вылезает довольно симпатичное окно с предложением установить "ultimate Defender" "ultimate cleaner" и что-то там еще. Причем не поленились нарисовать иконки и выполнить все в стиле микрософтовского центра управления безопасности. Первый раз такое вижу. Довольно забавно :-) .

Согласно правилам пытался запустить CureIT - блокируется.
При запуске "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" выбрасывает в BSoD.

Так что логи только по скрипту сбора информации и HiJackThis.

Надеюсь на вашу помощь.

[V_Bond]

скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Wtk39.sys.C:\WINDOWS\S ystem32\Drivers\Qwd63.sys ,C:\WINDOWS\system32\Drivers\Tkyt66.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
 QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
 DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
 DelBHO('{1DA68520-0AE3-4C6B-8F34-28FC3CA0EDC4}');
 QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
 QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
 QuarantineFile('C:\Documents and Settings\Constantin\cftmon.exe','');
 BC_DeleteSvc('Qwd63');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd63.sys','');
 BC_DeleteSvc('Schedule');
 BC_DeleteSvc('Google Online Services');
 QuarantineFile('Wtk39.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Tkyt66.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd63.sys','');
 QuarantineFile('C:\WINDOWS\system32\yaywWQjg.dll','');
 QuarantineFile('C:\WINDOWS\system32\xartcd5.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\BN4.tmp','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\fccyvVoL.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll','');
 QuarantineFile('c:\windows\system32\tpkmpsvc.exe','');
 QuarantineFile('c:\windows\system32\drivers\spools.exe','');
 QuarantineFile('c:\documents and settings\constantin\ie_updates3r.exe','');
 QuarantineFile('c:\windows\temp\bn4.tmp','');
 DeleteFile('c:\windows\temp\bn4.tmp');
 DeleteFile('c:\documents and settings\constantin\ie_updates3r.exe');
 DeleteFile('c:\windows\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\xartcd5.dll');
 DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Qwd63.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Tkyt66.sys');
 DeleteFile('Wtk39.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qwd63.sys');
 DeleteFile('C:\Documents and Settings\Constantin\cftmon.exe');
 DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\wowfx.dll');
 DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
 DeleteFile('WLCtrl32.dll');
 DeleteFile('yaywWQjg.dll');
 DeleteFile('xartcd5.dll');
 DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...
АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы устранить ...

[M.Hamster]

файлы удалил, но при выполнении скрипта система вывалилась в BSoD (в журнале по этому поводу ничего не осталось).

[Гриша]

Повторите логи,посмотрим что там.

[M.Hamster]

Повторите логи,посмотрим что там.

окей. Повторяю.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
 DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
 DelBHO('{0BB37543-FCCC-4D1A-8006-4720B01DA31F}');
 BC_DeleteSvc('Wtk39');
 QuarantineFile('Wtk39.sys','');
 BC_DeleteSvc('Qwd63');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd63.sys','');
 BC_DeleteSvc('Schedule');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 BC_DeleteSvc('Google Online Services');
 QuarantineFile('C:\Documents and Settings\Constantin\ie_updates3r.exe','');
 QuarantineFile('C:\WINDOWS\system32\yaywWQjg.dll','');
 QuarantineFile('C:\WINDOWS\system32\xartcd5.dll','');
 QuarantineFile('C:\WINDOWS\system32\fccyvVoL.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll','');
 QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
 QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
 QuarantineFile('c:\windows\system32\tpkmpsvc.exe','');
 QuarantineFile('c:\documents and settings\localservice\cftmon.exe','');
 DeleteFile('c:\documents and settings\localservice\cftmon.exe');
 DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
 DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
 DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
 DeleteFile('C:\WINDOWS\system32\xartcd5.dll');
 DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
 DeleteFile('C:\Documents and Settings\Constantin\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qwd63.sys');
 DeleteFile('Wtk39.sys');
 DeleteFile('C:\Documents and Settings\Constantin\cftmon.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
 DeleteFile('WLCtrl32.dll');
 DeleteFile('xartcd5.dll');
 DeleteFile('yaywWQjg.dll');
BC_ImportDeletedList;
ExecuteRepair(1); 
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[M.Hamster]

карантин выслал.

логи повторяю.

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('E:\autorun.inf','');
 DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
 DelBHO('{0BB37543-FCCC-4D1A-8006-4720B01DA31F}');
 DeleteFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll');
 DeleteFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll');
 DeleteFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll');
 DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
 DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
 DeleteFile('wowfx.dll');
 DeleteFile('xlibgfl254.dll');
 DeleteFile('C:\WINDOWS\system32\wowfx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21169

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: xartcd5 - C:\WINDOWS\
O20 - Winlogon Notify: yaywWQjg - C:\WINDOWS\

Повторите логи.

[V_Bond]

C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll Trojan-Dropper.Win32.Agent.gfy
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll Trojan-Downloader.Win32.Agent.lsw
c:\windows\installer\{afd6d8e9-2607-44dc-af41-04464e219339}\runonceavp.dll Trojan-Downloader.Win32.Small.iuq
пофиксите ..

Код:

O2 - BHO: (no name) - {0BB37543-FCCC-4D1A-8006-4720B01DA31F} - C:\WINDOWS\system32\fccyvVoL.dll (file missing)
O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - C:\WINDOWS\system32\yaywWQjg.dll (file missing)
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O21 - SSODL: zip - {35dc35d5-c336-498c-86de-c1b017de3756} - C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll

[wise-wistful]

По карантину fccyvVoL.dll - Packed.Win32.Monder, C:\WINDOWS\system32\drivers\spools.exe - Worm.Win32.Socks.au, C:\Documents and Settings\LocalService\cftmon.exe - Worm.Win32.Socks.au, yaywWQjg.dll - not-a-virus:AdWare.Win32.Virtumonde.mxj, cj.v2.dll - Trojan-Clicker.Win32.Agent.xs, UnknownSrv.dll - Trojan-Downloader.Win32.Agent.lsw, runonceavp.dll - Trojan-Downloader.Win32.Small.iuq , ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.bs, zip.dll - Trojan-Dropper.Win32.Agent.qfy, xartcd5.dll - Trojan-Spy.Win32.Goldun.ma, по btkeyind.dll и tpkmpsvc.exe - подождём ответа аналитиков.

[M.Hamster]

Выполнил все рекомендации и скрипт.

Логи повторяю.

(карантин выслал только потому что так было сказано - по сути там только inf-файлы)

[wise-wistful]

Интересовал E:\autorun.inf. Он для установки беспроводной связи, насколько я понял.

[M.Hamster]

еще пока не все...

Все еще очень долго грузится (промежуток между вводом пароля и загрузкой explorer'а около 2-3 минут).

вылезает окно с предложением установить "защитный софт".

повторяю логи...

[M.Hamster]

попробовал поставить Касперского. Не получилось.
При первом запуске, как обычно, вылезает мастер для установки ключа, но в окне программы не видны радио-баттоны вместе с подписями и не работают кнопки, которых также не видно.

[V_Bond]

выполните скрипт ...

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\tp4ex.exe','');
 QuarantineFile('C:\Program Files\Norton AntiVirus\NavShExt.dll','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[M.Hamster]

папки

Код:

'C:\Program Files\Norton AntiVirus\NavShExt.dll'

не существует.
второй файл высылаю, но это не вирус - это айбиэмовский софт для трэкбола.

Кстати, бывали ли преценденты, когда вирус полностью выносил папку с Нортоном? У меня, похоже, это произошло.

После пары перезагрузок Касперский все-таки встал. Поросячий визг сразу наполнил кабинет. Сейчас запущу сканирование всей машины.

В остальном все вроде нормально смущает только странная трехминутная пауза при загрузке машины. Буду разбираться с этим завтра (итак уже засиделся).

Огромное спасибо всем за помощь.

Уже который раз выручаете. Придется проставляться пивом/соком

Добавлено через 11 минут

решил почистить остатки от Нортона полез на сайт за ремувером и ... оказалось, что что-то блокирует доступ на сайт www.symantec.com

Пытаюсь разобраться.

[V_Bond]

выполните скрипт ...

Код:

begin
 ClearHostsFile;
 RebootWindows(true);
end.

[M.Hamster]

ага. Уже нашел. Спасибо.

[M.Hamster]

При проверке дисков Касперский нашел еще кучу мусора, но ничего крмминального. Похоже, что теперь все чисто.Хозяин ноута говорит, что задержка при загрузке имела место быть уже очень давно, так что вряд ли это имеет отношение к вирусам.Еще раз огромное спасибо!

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".