Junior Member
Вес репутации
56
Подозрение на троян (в списке процессов есть SOUNDMAN.EXE)) [Trojan-Downloader.Win32.Agent.ohi, Trojan.Win32.Vapsup.qis
]
Зловред удалил EXE-шник антивируса (Norton Antivirus), заблокировал диспетчер задач, и удалил в реестре ветку для загрузки в безопасном режиме. Ветку реестра я импортировал с такой же машины. После проверки AVP Tool и перезагрузки ветка опять была удалена без моего участия. Установить антивирус не получается.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Надо бы провериться Куреитом, записанным на СД.
Есть подозрение на файловый вирус.
AVZ неплохо повоевала, но это может оказаться бесполезным, если "Восст. системы" не отключено.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Проверил систему Куреит запущенным с СиДи, восстановление системы как и при предыдущих проверках было отключено. Удалена куча файлов. В списке процессов soundman.exe продолжает присутствовать. Блокируется установка антивирусов.Судя по всему система остается зараженной. Логи AVZ и Hijack прилагаю.
Вложения
Вот что получилось:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{281c7cb1-271c-42cc-abff-ef9796949bbb}');
QuarantineFile('C:\WINDOWS\qvlbodmnlaf.dll','');
QuarantineFile('C:\WINDOWS\wetkadmr.dll','');
QuarantineFile('cpyn563.exe/r','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
BC_DeleteSvc('Uck86');
BC_DeleteSvc('Ucj75');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
BC_DeleteSvc('Oxf18');
BC_DeleteSvc('Ksa88');
QuarantineFile('C:\WINDOWS\System32\Drivers\Isa75.sys','');
BC_DeleteSvc('Isa75');
QuarantineFile('C:\WINDOWS\system32\drivers\jkjkjn.sys','');
DeleteService('dpti930');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
BC_DeleteSvc('RemoteAccessAlerter');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\WINDOWS\tdomgafw.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jkjkjn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksa88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oxf18.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ucj75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uck86.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('cpyn563.exe/r');
DeleteFile('C:\WINDOWS\qvlbodmnlaf.dll');
DeleteFile('C:\WINDOWS\system32\WinData.cab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Куреитом проверяли полностью машину?
После выполнения скрипта загрузить карантин по Правилам.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Куреитом делал полную проверку. Скрипт выполнил, карантин отправил. SOUNDMAN.exe все так же в списке процессов
Junior Member
Вес репутации
56
Последний раз редактировалось Ookami15; 16.01.2009 в 16:19 .
Junior Member
Вес репутации
56
Прошу прощения, какая-то ерунда...не прикрепляются логи
Удалите старые через "Мой кабинет"=>Вложения"
Junior Member
Вес репутации
56
Вложения
Вот ответ по карантину.
asc3550p.sys
No malicious code was found in this file.
ntos.exe_ - Trojan-Spy.Win32.Zbot.cuo,
partnership.dll - Trojan-Proxy.Win32.Xorpix.ec,
WinData.cab - Trojan-Downloader.Win32.Agent.ohi
These files are already detected. Please update your antivirus bases.
qvlbodmnlaf.dll - Trojan.Win32.Vapsup.qir,
tdomgafw.dll - Trojan.Win32.Vapsup.qis
New malicious software was found in these files. Detection will be included in the next update.
Thank you for your help.
Soundman - управлялка звуковой карты, чаще всего совершенно безобидная вещь.
Добавлено через 6 минут
Вот это профиксить:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE0AA25-B0FC-4A39-90F5-6D100CF35B27}: NameServer = 85.255.115.238,85.255.112.78
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.78
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O21 - SSODL: tdomgafw - {C778391D-4EEE-4D26-B51E-0955B29ADF7D} - C:\WINDOWS\tdomgafw.dll
O21 - SSODL: wetkadmr - {586F1E1D-DDCE-4CC1-81E5-20949F275DBD} - C:\WINDOWS\wetkadmr.dll (file missing)
Локальную сетку скорее всего придется настраивать заново.
Еще один скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\tdomgafw.dll');
BC_Activate;
RebootWindows(true);
end.
Далее логи делать заново.
Последний раз редактировалось PavelA; 16.01.2009 в 16:32 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
SOUNDMAN.EXE иногда не совсем управлялка звуком . Пофиксил. Логи прикрепил. На флешке все так же продолжает появляться autorun.inf alrqpx.exe
Вложения
Вот это профиксить:
O21 - SSODL: tdomgafw - {18E8081A-4A23-495C-98B3-20D3D38F3465} - C:\WINDOWS\tdomgafw.dll (file missing)
Логи со вставленной флешкой делали?
Выполнить:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
пофиксил, скрипт выполнил. Логи и раньше и сейчас делал без флешки (саму флешку, перед подключением, проверяю антивирусами на чистом компе)... Последние логи прикрепил... флешка опять с этими двумя проклятыми файлами.
Вложения
Надо вот с этим бороться:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Пришли avz.exe через его карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Прошу прощения. не заметил что exe-шник AVZ был сам заражен... . Сейчас стандартные скрипты запустил с чистого (вроде бы). Логи прикладываю. Карантин отправил.
Вложения
Junior Member
Вес репутации
56
молчание понимать как то что все уже чисто?
C:\WINDOWS\system32\drivers\restore.sys - вот это найти через AVZ , поместить в карантин и прислать на проверку.
После Ваших проблем тяжело делать выводы о чистоте системы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
и в догонку найдите ещё файл C:\WINDOWS\system32\Drivers\asc3550p.sys
Junior Member
Вес репутации
56
restore.sys не добавляется в карантин "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\restore.sys), Карантин с использованием прямого чтения-ошибка"
C:\WINDOWS\system32\Drivers\asc3550p.sys - проверяли, чистый.
Раз не добавляется, значит оставим его в покое.
Можно считать, что лечение закончили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую