Win32/Wigon.BY (IT) и тыщи писем

[JusT]

доброго дня. столкнулся с проблемой. где и как словил - не знаю, но стабильно при отключении компа при пропадания света, после его включения начинается бешенная рассылка писем, которе проверяюстя
Symantek Corp Edition.. за 10 секунд в проверке уже до 100 писем, оно формируется, проверяется, но не отсылается. но комп за 30 сек встаёт на тугой ручник .. т.е. эти письма всё создаются и создаются.. проверка идёт и идёт, весь экран уже в проверках.. ну и комп почти висит.. помогает только выдернуть сетевой шнурок и сам передатчик (инет бесппроволной)..

пришлось сменить симантек на более мирно и тихоорущий нод32, но и он не в состоянии удалить hmq74.sys в C:\WINDOWS\system32\Drivers\Hmq47.sys - там вроде как вирус есть, но не лечится...

уже не знаю что делать. помогите. комп на работе, является "сервером" для 6 других.... надолго тушить не могу, да и люди очень нервничают...

Заранее большое спасибо!

[PavelA]

Скачать http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Выбрать File. Найти 'C:\WINDOWS\system32\Drivers\Hmq47.sys', 'C:\WINDOWS\system32\WinNt32.dll', нажать delete,
подтвердить Ок.

После этого выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  SetServiceStart('Uyc58', 4);
 QuarantineFile('C:\WINDOWS\system32\ntsim.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Hmq47.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uyc58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hmq47.sys');

 DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
BC_DeleteSvc('Uyc58');
BC_DeleteSvc('Hmq47');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин по ссылке вверху темы. Сделать новые логи.

З.Ы. У меня Симантек 10 Корп. достаточно успешно справляется с этими зверями.

[JusT]

при повторных сканах - появились новые *****.sys $((
таких раньше не было

кстати, той програмкой , которой надо было делать делит - оно не вытирало почемуто ;*(
вроде как функция срабатывала - но при повторном заходе в туже папку - искомый файл там был.

после всех манипуляций, и отключения антивиря - наблюдается процесс еже_двух минутной комутации инет соединения.. обрыв - и тут же подключение... и так каждые 2 минуты

архив карантина выслал по форме вверху

ЗЫ - а можно в личку ссыльку или точное название на пакет симантека , который справляется?
если это не запрещено конечно...

ЗЫЫ появилось ощущение, что это недолечиеный вирус, который мне менял beep.sys - 3 раза в секунду бип сис помещался в карантин... лечил dr web cure it

[PavelA]

У нас Симантек ядро 10.1.6.6010, сканер - 71.4.0.15

Еще один руткит в логах появился. Ситуация несколько ухудшился.
Скрипт для удаления нового гада:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbtenum.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('hkcom32.dll','');
 QuarantineFile('C:\WINDOWS\system32\vbcqttg.dll','');
 DeleteFile('C:\WINDOWS\system32\vbcqttg.dll');
 DeleteFile('hkcom32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\vbtenum.sys');
 DelBHO('{FFFFFFFF-8F0D-4322-B01F-B42439E0B71C}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если что-то попадет в карантин, то загрузить.

Добавлено через 15 минут

Кстати, давай и beep.sys за компанию присылай. Не помешает его проверить.

[JusT]

не хочет карантинится..может чтото не так делаю
да и наззвается он теперь beeper.sys а не beep.sys

логи новые + карантин высланы

[PavelA]

вот для этого в icesword сделай force delete.
C:\WINDOWS\system32\Drivers\Fjm36.sys
WinNt32.dll
'C:\WINDOWS\System32\drivers\tcpsr.sys'

После этого сразу же скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Fjm36.sys');
BC_DeleteSvc('Fjm36');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Вот это надо профиксить:
O20 - Winlogon Notify: vbcqttg - vbcqttg.dll (file missing)

После этого сделать новые логи.

[JusT]

уточните последовательность. после скрипта ребут и потом фиксить ?

[PavelA]

Да, именно так. Хотя профиксить можно и до скрипта, этот файлик мы уже удалили.

Самое главное убить то, что написано сверху.

[JusT]

'C:\WINDOWS\System32\drivers\tcpsr.sys'
не удалось обнаружить ничего подобного.
нив систем, ни в систем32

зато по логу зверёк Fjm36.sys стал с новым именем... *****,sys

там в логах будет процесс от intess-qdpro (єто рабочие библиотеки лиценз. софта)
огромная просьба не скриптовать против них ничего.

[Гриша]

Отключите антивирус и интернет!

В IceSword сделайте этим файлам WinNt32.dll,Xcf60.sys-Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;  
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Beep.sys','');
 QuarantineFile('C:\Program Files\Maxthon\SETUPAPI.dll','');
 DeleteService('Xcf60');
 DeleteFile('C:\WINDOWS\System32\drivers\Xcf60.sys');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xcf60 ');
BC_DeleteSvc('tcpsr ');
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.

Пришлите карантин,повторите логи.

[JusT]

перед последней зачисткой, дабы отрубить вход в инет и антивирь - в мсконфиге обнаружил новый процесс - glock32.exe -
//windows/system32/glock.exe

отключил на всякий.

логи и карантин прикладываю.

не рприкладывается.. ;(( говорит что уже было.

[Гриша]

Удалите старые логи через "Мой кабинет"=>"Управление вложениями"

[JusT]

вроде пока тихо...

логи и карантин выслал

[Гриша]

Пофиксить

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

По SETUPAPI.dll подождем ответа аналитиков.

[JusT]

пофиксено

огромное спасибо..
вроде картинка начинает блистать )
я совсем потерял надежду на ремонт

советом не обрадуете - что именно лучше использовать на 1600duron/512mb ram
машине, для предотвращения вот подобного
имеется ввиду, чтобы не грузило сильно, лечило, и блочило.
антивирная утилита авз - сгодится ? или это только мануальный чеккер ?

[kps]

AVZ - это ручной инструмент. Вам нужен постоянный мониторинг - антивирус. Рекомендуемые - http://virusinfo.info/showthread.php?t=1550

[PavelA]

Блин!!!! Как я забыл о перезагрузке после удаления в "Мече".

Пепел на мою уже седую голову!! Пора заниматься только со статистикой.

[kps]

Павел, Вы ничего не забыли. IceSword при использовании force delete спрашивает "Вы уверены? Вам лучше перезагрузиться", при нажатии "да" естественно никакой перезагрузки автоматом не происходит, это просто рекомендация
И перезагружать сразу после удаления самостоятельно совсем не обязательно. Лучше сразу после удаления в IceSword выполнить добивающий скрипт в AVZ, который перезагрузит компьютер.

[zerocorporated]

пофиксено

огромное спасибо..
вроде картинка начинает блистать )
я совсем потерял надежду на ремонт

советом не обрадуете - что именно лучше использовать на 1600duron/512mb ram
машине, для предотвращения вот подобного
имеется ввиду, чтобы не грузило сильно, лечило, и блочило.
антивирная утилита авз - сгодится ? или это только мануальный чеккер ?

Перейдите под учетную запись ограниченного пользователя, отключите глобально скрипты и плагины (только доверенным разрешайте), отключите автозапуск.

[Гриша]

SETUPAPI.dll - Trojan.Win32.Agent.qud

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Maxthon\SETUPAPI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи начиная с п.10 правил