Подозрения на Trojan-Downloader.Win32. Помогите справиться.

**udima1980** · 24.10.2008, 10:39

Подцепил вирус, который убил мой NOD 32, выбросил синий экран и перегрузил комп. После этого я по незнанию пытался загрузить на комп антивирусник Касперского, думая, что, может, тот убьет его, так как мой NOD был обезоружен. Вирус не дает загрузить никакие антивирусники. Прошу помощи.
Спасибо.

Логи AVZ и HIJACKTHIS:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 24.10.2008, 10:55

1. Отключите восстановление системы и антивирус.
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):

Код:

Comment:
Script to delete the Bagle worm

Drivers to disable:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld

Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt )

**udima1980** · 24.10.2008, 13:40

Вставил скрипт в Avenger, нажал execute, получил одно за другим следующие сообщения:
Error: can't open file 'c:\cleanup.bat' (error 2: Не удается найти указанный файл.)

Error: Сould not open cleanup batch.
Aborting execution! (Error 6: неверный дескриптор.)

Error: can't open file 'C:\avenger.txt' (Error 2: не удается найти указанный файл.)

Error: Сould not log error messages to file (Error 6: неверный дескриптор.)

**Гриша** · 24.10.2008, 13:46

Выполните скрипт 2 раза!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
 QuarantineFile('c:\documents and settings\Дима\application data\m\flec006.exe','');       
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
 DeleteService('hpdj');
 DeleteFile('c:\windows\system32\drivers\downld\68234.exe');
 DeleteFile('c:\documents and settings\Дима\application data\m\flec006.exe');
 DeleteFile('c:\windows\system32\drivers\winfilse.exe');
 DeleteFile('C:\WINDOWS\TEMP\hpdj.exe');     
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_DeleteSvc('hpdj');    
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**udima1980** · 24.10.2008, 14:17

Карантин отослал, сейчас сделаю логи.

**udima1980** · 24.10.2008, 15:54

Логи из файла AVZ:

**udima1980** · 24.10.2008, 15:56

Новые логи по правилам:

**Гриша** · 24.10.2008, 16:08

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;    
 QuarantineFile('C:\WINDOWS\system32\TPSMain.exe','');
 QuarantineFile('C:\WINDOWS\system32\TDispVol.exe','');
 QuarantineFile('C:\Program Files\uTorrent\uTorrent.exe','');
 QuarantineFile('C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe','');
 QuarantineFile('C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe','');
 QuarantineFile('C:\Program Files\Skype\Phone\IEPlugin\unins000.exe','');
 QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');
 QuarantineFile('C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe','');
 QuarantineFile('C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe','');
 QuarantineFile('C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe','');
 QuarantineFile('C:\Program Files\AdVantage\AdVantage.exe','');
end.

Загрузите карантин, берем в карантин все что есть в Run, т.к. багл подменяет некоторые исполняемые файлы в этом ключе своей копией...

**udima1980** · 24.10.2008, 16:30

Простите, немного не понял, что я должен сделать с карантином, какие мои действия? Загрузить AVZ, файл, просмотр карантина...??? Посылать все файлы вам по правилам или что-то другое сделать?
Еще раз мои извинения за глупый вопрос.

**Гриша** · 24.10.2008, 16:34

Да прислать все что есть в карантине по правилам...

**udima1980** · 24.10.2008, 16:38

Отослал карантин.

**Гриша** · 24.10.2008, 16:49

Сейчас скачаю и посмотрю...

Подменен вот этот файл C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

Скрипт выполнить 2 раза:

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
 DeleteFile('c:\windows\system32\drivers\downld\68234.exe');
 DeleteFile('c:\documents and settings\Дима\application data\m\flec006.exe');
 DeleteFile('c:\windows\system32\drivers\winfilse.exe');
 DeleteFile('C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe');        
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

Повторите логи...

И еще вопрос, что вы в последнее время такого подозрительного скачивали (кряки, кейгены и прочая ересь) ?

**udima1980** · 24.10.2008, 17:06

Сейчас все выполню. По поводу вашего вопроса: вчера жене скачал книжку из емула, там оказалась совсем не книжка, exe файл какой-то она открыла. В испуге я это все удалил быстренько, но отослал преварительно брату, который мне вот что дал по этому файлу:
http://www.virustotal.com/ru/analisi...1ed9ed52f61ed6

Добавлено через 4 минуты

Код запустить не могу, выдает следующую ошибку:
Ошибка: 'BEGIN' expected в позиции 1:1

**Гриша** · 24.10.2008, 17:07

Копируйте аккуратнее...

Так образец "книжки" остался или место откуда качали, если да, сообщите мне подробности в личку...

В Личку!!!! А не публичные сообщения...

**udima1980** · 24.10.2008, 18:05

Логи:

**Гриша** · 24.10.2008, 21:26

Все хорошо

Если не работает защитный софт переустановите, выполните полную проверку CureIT и не забудьте мне прислать ссылку в PM...

**udima1980** · 24.10.2008, 21:53

Огромное спасибо!!!
Загрузил я обратно свой нод, просканировал комп, все хорошо

Что бы я без вас делал

**Гриша** · 24.10.2008, 21:54

Не Нод, а CureIT и ссылку пришлите, посмотрю что там за "книжка", видно Bagle обновили, раньше не было некоторых файлов...

**udima1980** · 24.10.2008, 22:19

Хм, cureit при загрузке выдает: Ошибка загрузки поискового модуля.

**Гриша** · 24.10.2008, 22:25

Скачайте и запишите на диск...

Подозрения на Trojan-Downloader.Win32. Помогите справиться. (заявка № 32630)

Опции темы

Подозрения на Trojan-Downloader.Win32. Помогите справиться.

Похожие темы

Помогите справиться с вирусами Worm.Win32.Agent.adx и Trojan.Win32.Chydo.axd (заявка №108954)

Помогите справиться с Trojan.win32.ddox.ci

Помогите справиться с Trojan.Win32.Ddox.ci

Trojan-Downloader.Win32.Agent.acl как справиться?

Помогите справиться с Trojan.Downloader.small.cyn

Ваши права в разделе