Показано с 1 по 15 из 15.

Clever.sys, Twain16.dll, Trunk_16.dll (заявка № 26609)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35

    Thumbs up Clever.sys, Twain16.dll, Trunk_16.dll

    Доброй ночи.
    Посмотрел по тредам связанным с данными файлами
    - просят прислать данные файлы
    Высылаю вместе с папкой (лежала в system32), в которой лежали те же имена, но с другими расширениями.
    Каспер 7.0.1.325 не видит clever.sys (активный) и не может удалить dll файлы.
    procexp показал, что twain16 загружается с 99% процессов, включая системные.
    Последний раз редактировалось dime; 17.07.2008 в 00:44. Причина: Убрана неверная ссылка

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Давайте пока без самодеятельности. Внимательно прочитать, аккуратно выполнить.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    Вопрос. Все действия обязательно выполнять на зараженной машине или можно сделать на чистой, проверяя подключенный зараженный диск?
    Спрашиваю, потому что нереально сделать ни одно из действий Правил на зараженной машине - 99% загрузка. Запустить procexp удалось только через 2 часа после запуска машины.
    Последний раз редактировалось dime; 17.07.2008 в 09:50. Причина: орфография

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Пункт 2 можно на чистой. А вот логи делать - на заражённой.

    Из-под чистой системы попробуйте подозреваемых куда-нибудь переместить - авось, полегчает.

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    логи в безопасном режиме можно создать?
    Активный режим, боюсь, ничего не даст - 99% загрузка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Если другого выхода нет, то пойдёт безопасный. Хелперы потом подскажут, что ещё надо.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    делайте для началя хотя- бы в безопасном ...

  9. #8
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    В безопасном режиме. п.п. 1
    KIS нашел 10 вирусов (включая названные в теме - обновление от 17.07.08), сказал, что удалит после перезагрузки. Но после перезагрузки, все файлы остались на месте.
    Делать тоже самое с CuteIt (п.п.2) не стал, опасаясь той же реакции.
    Проверка со свежими базами (вчера вечером все те же файлы отправлял newvirus@kaspersky.com) с чистой машины удалила все 10 вирусов. Контрольная загрузка "зараженной" показала их (вирусов) отсутствие. Тормоза исчезли, но исчезли и возможность редактирования реестра (не разрешено администратором), запрещен локальных вход Администратору. "Локальная политика безопасности" - не работает (XP Home).
    Последний раз редактировалось dime; 17.07.2008 в 11:30. Причина: убраны смайлы

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    логи делайте ...

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    логи...
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Отключите антивирус и интернет!

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
    O2 - BHO: myiebho - {CAEF67AA-2E7F-444C-A7D6-E552DEF460DE} - %SystemRoot%\system32\twain16.dll (file missing)
    O4 - HKLM\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\RunServices: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\RunServicesOnce: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\twunk_16.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4386B820-176E-463D-9CC8-25461B1B4E63}: NameServer = 85.255.115.60,85.255.112.85
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.85
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4386B820-176E-463D-9CC8-25461B1B4E63}: NameServer = 85.255.115.60,85.255.112.85
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.85
    O20 - AppInit_DLLs: twain16.dll
    O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
     QuarantineFile('kdyev.exe','');
     QuarantineFile('twain16.dll','');
     QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
     QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
     DeleteService('clever');     
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
     DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
     DeleteFile('C:\WINDOWS\system32\winhelp.exe');
     DeleteFile('twain16.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe ');     
     DeleteFile('C:\WINDOWS\system32\kdyev.exe ');
     DeleteFile('C:\WINDOWS\system32\twain16.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('clever ');    
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(17 );    
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=26609

    Повторите логи...

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    Файлы clever.sys, twain16.dll и trunk_16.dll были удалены Каспером.
    У меня есть копия (включая папку, откуда, предположительно, они распаковывались).
    Если необходимо могу залить отдельно.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('kdyev.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    В логах чисто,жалобы есть?

  15. #14
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    23
    Вес репутации
    35
    Жалоб нет.
    Огромное спасибо!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. \\clever.sys - Rootkit.Win32.Agent.bmt (DrWEB: Trojan.NtRootKit.1344)
      2. \\msdts\\clever.bkp - Rootkit.Win32.Agent.bmt (DrWEB: Trojan.NtRootKit.1344)
      3. \\msdts\\twain16.bkp - Trojan-PSW.Win32.Agent.keg (DrWEB: Trojan.PWS.Clever.2)
      4. \\msdts\\twunk_16.bkp - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)
      5. \\msdts\\twunk_16.exe - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)
      6. \\twain16.dll - Trojan-PSW.Win32.Agent.keg (DrWEB: Trojan.PWS.Clever.2)
      7. \\twunk_16.exe - Trojan-PSW.Win32.Agent.keh (DrWEB: Trojan.PWS.Clever.2)


  • Уважаемый(ая) dime, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. twain и clever остатки после борьбы
      От xlukin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:35
    2. Доктор WEB определил вирус trojan.pws.clever.origin
      От рамиль в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.10.2008, 00:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00819 seconds with 17 queries