Trojan.Downloader.62110 и как с ним бороться.

[Holst Vangoga]

Заранее извиняюсь за свою тупость, ибо дольше пользуюсь линуксом чем виндой.

Проблема такова: Винда стала глючить и тупить. Полез ее сканить и вылез "Альман". Штук 2000 копий. Снес их каспером... но оно снова лезит. Все библиотеки, которые Каспер посчитал опасными но удалить не смог, я снес руками в лине (возможно это было глупо с моей стороны). Снес каспер...
В DrWeb аналогично: Trojan.Downloader.62110 и root[1].gif вылезают при каждом ребуте компа в винду.

Вопросы таковы:
1) А он в принципе лечиться?
2) Если лечиться, то можно ли избавится от этого из под лина?
3) Если из-под лина нельзя, то в чем особенность этой твари и где она обычно сидит?

[Shu_b]

Описание Альмана: http://info.drweb.com/virus_description/154207
Рекомендация по лечению:

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированные компьютеры Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

1 В принципе лечиться, если новая модификация, тогда нужны экземпляры для исследования.
2 Если файлы лечатся, тогда можно.
3 см ссылку и ответ по первому пункту.

ps.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы. -- это обязательное условие, иначе будет перезаражение

[Holst Vangoga]

Спасибо за оперативность.

В безопасном режиме проверил с CureIt!. Тот нашел тока root[1].gif где тот обычно и появлялся.
Полез руками... Через линух нашел и потер еще один linkinfo.dll и папку AppPatch. Ребутнулся в винду (без LAN кабеля в разъеме и востановления системы) Минут десять поработал пока DrWeb сканил диск C

В итоге: DrWeb ничего не нашел, SpiderGuard молчал. Однако папка AppPatch опять появилась и удаляться не хочет. Подозреваю что вирус по английски уходить отказываеться =)

Можете еще что-нить еще посоветовать?

[Rene-gad]

Заранее извиняюсь за свою тупость, ибо дольше пользуюсь линуксом чем виндой.

Ну и хорошо-Тогда Вы знаете, что такое ntfs-3g. Просканируйте Виндосовский раздел с Линукса и удалите все зловредное

[Holst Vangoga]

2Rene-gad: Да, знаю. Но мне от этого пока не легче.

Я наверно неправильно сформулировал вопрос.

Все что описано в статье по ссылке http://info.drweb.com/virus_description/154207
я нашел и потер под Линухом.

Но если подключаю LAN попрежному вылазит:
"..\Temporal internet Files\..\ root[1].gif - инфицирован Trojan.DownLoader.62110"
и с ".. \system32\..\ wmsetup.dll" (или типа того) аналогичная ситуация.

?_1) Вирус у меня на винче или "Сантаклаус" сажает мне его через LAN?
?_2) Если вирус на винче, то через что его отловить? Или хотябы найти путь до его бинарников на винче. Ибо перепробывал 4 антивируса, а току 0.
?_3) Если через LAN, то чем порты пофиксить?

[Rene-gad]

Сорри, но наша гадалка взяла отпуск и уехала в Австрию на ЧЕ . Хотите по-серьезному говорить - сделайте логи по правилам. Можете еще перед выполнением логов почистить темп-папки и кэши браузеров.

[Holst Vangoga]

Ну вот собственно и они. Заранее спасибо.

[Rene-gad]

Пофиксите

Код:

O2 - BHO: (no name) - {13FD5987-65D2-C58D-D87E-987451F12531} - (no file)
O2 - BHO: (no name) - {22596546-2036-9451-6058-658402589722} - (no file)
O2 - BHO: (no name) - {27AC9076-C898-B098-D098-A18319080972} - (no file)
O2 - BHO: (no name) - {32023698-6984-8541-9654-698745012523} - (no file)
O2 - BHO: (no name) - {33512378-9874-5641-1025-985420368733} - (no file)
O2 - BHO: (no name) - {35671234-7890-ABCD-CDEF-567801237653} - (no file)
O2 - BHO: (no name) - {4A069845-2036-6084-9054-6087502480A4} - (no file)
O2 - BHO: (no name) - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - (no file)
O2 - BHO: (no name) - {4FD45A54-9875-698F-E56E-65102358FDF4} - (no file)
O2 - BHO: (no name) - {50940F85-F015-14F1-A05F-F69858AC6D05} - (no file)
O2 - BHO: (no name) - {6319A1F1-9410-9654-3201-345FFA349136} - (no file)
O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\system32\mnmhgsrv.dll (file missing)
O2 - BHO: (no name) - {81954FAC-1023-154F-895A-1458258AD818} - (no file)
O2 - BHO: (no name) - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - (no file)
O2 - BHO: (no name) - {91698482-6555-3666-1222-954784129019} - (no file)
O2 - BHO: (no name) - {9490415F-65F8-B5C5-D8BA-9405FB120549} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - shell32.dll (file missing)

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyDel('{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} ',' ');
 RegKeyDel('{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} ',' ');
 DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
 DelBHO('{22596546-2036-9451-6058-658402589722}');
 DelBHO('{27AC9076-C898-B098-D098-A18319080972}');
 DelBHO('{32023698-6984-8541-9654-698745012523}');
 DelBHO('{33512378-9874-5641-1025-985420368733}');
 DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
 DelBHO('{4A069845-2036-6084-9054-6087502480A4}');
 DelBHO('{4A698102-5904-AFD0-20DF-CD1A65829CA4}');
 DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
 DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
 DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
 DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
 DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
 DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
 DelBHO('{91698482-6555-3666-1222-954784129019}');
 DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
 QuarantineFile('C:\SC\WINMBR.EXE','');
 QuarantineFile('C:\WINDOWS\system32\jhrcar.dll','');
 QuarantineFile('C:\WINDOWS\system32\hhrdxd.dll','');
 QuarantineFile('C:\WINDOWS\system32\mnmhgsrv.dll','');
 DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
 DeleteFile('C:\WINDOWS\system32\hhrdxd.dll');
 DeleteFile('C:\WINDOWS\system32\jhrcar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачайте карантин по правилам и повторите логи.

[Holst Vangoga]

Логи я сделал, а вот карантин пуст =(

[V_Bond]

Пофиксите

Код:

O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll (file missing)

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('cdralw');
 QuarantineFile('C:\WINDOWS\AppPatch\Jview.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
 DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Holst Vangoga]

Карантин по прежнему пустует.

[Rene-gad]

Сейчас в логах чисто. Какие проблемы наблюдаете?

[Holst Vangoga]

На первый взгляд все в порядке. Большое спасибо за помощь.

[Rene-gad]

Систему обновить в ближайшее время необходимо

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Если проблем не наблюдается, то чам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[Holst Vangoga]

Спасибо за литературу.

Меня вот тока смущает Spoolsv.exe (Spool Subsiyem App) в процессах.
И наличие Apphelp.dll в winlogon.exe

[Rene-gad]

Меня вот тока смущает Spoolsv.exe (Spool Subsiyem App) в процессах.
И наличие Apphelp.dll в winlogon.exe

apphelp.dll

Spoolsv.exe