helper-security.com или "you have a security problem" в трее [Trojan-Downloader.Win32.FraudLoad.cwg, Packed.Win32.Katusha.e ]

[bruceter]

Добрый день, возникла проблема, аналогичная описанной здесь. Симптомы: уведомления, сообщения в трее, самопроизвольные попытки установить интернет-соединение.
Внимательно прочел инструкцию и пошагово выполнил рекомендованные действия.
- Пункт #2 раздела «После загрузки инструментов» выполнялся с помощью AVPTool (лог работы сохранён). Было обнаружено и удалено 4 заражённых объекта. После этого уведомления, сообщения в трее и попытки автоматической установки соединения на какое-то время исчезли.
- В момент выполнения пункта #3 раздела «Диагностика» симптомы снова появились.
Буду очень признателен за помощь, заранее спасибо.

С уважением, Виктор

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\iKwLqqfh.exe','');
 DelBHO('{6E48A90C-F4BD-4E12-9DB4-C520EB9813F1}');
 DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
 DelBHO('{3322083F-5C61-4A51-A49E-F0D6EB9AD555}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\tlslib.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\hwllib.dll','');
 TerminateProcessByName('c:\docume~1\jfeja\locals~1\temp\yyy9760.exe');
 QuarantineFile('c:\docume~1\jfeja\locals~1\temp\yyy9760.exe','');
 DeleteFile('c:\docume~1\jfeja\locals~1\temp\yyy9760.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\hwllib.dll');
 DeleteFile('C:\WINDOWS\system32\msxml71.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\tlslib.dll');
 DeleteFile('C:\WINDOWS\system32\iKwLqqfh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
правил

[bruceter]

Сделал. Троян себя никак не проявляет, пока. Что можно сделать, чтобы понять сработало или нет?

[V_Bond]

логи повторите

[bruceter]

Вы имеете в виду пункты инструкции 1, 2 и 3 из раздела "Диагностика"?

[V_Bond]

да

[bruceter]

Сделано.
p.s. Перед снитием повторных логов было небольшое изменение софтверной конфигурации: проинсталирован "Avast!". Но скрипты и Hijackthis выполнялись при отключённом антивирусе и файерволе (системный Win XP).

[V_Bond]

удалите задания в планировщике ...
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\JFeja\LOCALS~1\Temp\1.tmp.exe','');
 DeleteService('UIUSys');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
 DeleteFile('C:\DOCUME~1\JFeja\LOCALS~1\Temp\1.tmp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[bruceter]

Сделано. Карантин выложил, логи прилагаю.

[V_Bond]

пофиксите

Код:

O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\JFeja\LOCALS~1\Temp\1.tmp.exe

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOCUME~1\JFeja\LOCALS~1\Temp\1.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи

[bruceter]

Hjack-ом пофиксил, скрипт выполнил, логи прилагаются.
ps
вы уж извините, за то что так много возни)

[Гриша]

В логах чисто...

[bruceter]

Значит, побороли? Ноут вроде как ведёт себя вменяемо.
Ребята, спасибо вам большое, с наступающим Рождеством.
Виктор.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\jfeja\\locals~1\\temp\\yyy9760.exe - Trojan-Downloader.Win32.CodecPack.cfy (DrWEB: Trojan.DownLoad.26774)
  2. c:\\docume~1\\jfeja\\locals~1\\temp\\1.tmp.exe - Trojan-Downloader.Win32.FraudLoad.cwg (DrWEB: Trojan.Siggen.1109)
  3. c:\\windows\\system32\\ikwlqqfh.exe - Trojan.Win32.Agent.bekv (DrWEB: Trojan.DownLoad.25695)