Троян в системе =(

**BuTaJIe4ka** · 04.06.2009, 18:08

Доброго времени суток.
В моей системе появился троян, который сел конкретно =( Надеюсь на Ваше понимание и помощь.
Антивирус Касперского нашёл трояна под названием Trojan-Clicker.Win32.Delf.cbe. С помощью антивира вылечить не удалось, мало того он не удаляется (заражённый файл). Нашёл этот файл и пытался при помощи нескольких программ удалить - безрезультатно: заражённый файл используется Explorer'ом. Как только я разблокирую Explorer - сами знаете что происходит - всё закрывается и виснет. Может знаете как мне поступить в этой ситуации?? Заранее благодарен.
P.S. Прошу прощения, если данная тема оффтопная.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 04.06.2009, 18:20

Пожалуйста, внимательно прочтите и, по возможности, выполните правила раздела "Помогите".

**BuTaJIe4ka** · 04.06.2009, 21:39

Сделал диагностику согласно правилам раздела "помогите".

**Numb** · 05.06.2009, 01:56

Пофиксите с помощью Hijackthis строки:

Код:

O2 - BHO: (no name) - {2D875F34-1119-48DF-9DD3-A30AEFB3092d} - C:\WINDOWS\system32\gkyyilmc.dll
O2 - BHO: (no name) - {FE458A6E-D30E-4157-8D0A-8F3AF1069BDD} - c:\windows\system32\cajluui.dll

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('kcwaqvak');
 SetServiceStart('kcwaqvak', 4);
 SetServiceStart('PLFlash DeviceIoControl Service', 4);
 QuarantineFile('C:\WINDOWS\system32\ie4uinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kcwaqvak.sys','');
 QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\kcwaqvak.sys','');
 QuarantineFile('C:\WINDOWS\system32\gkyyilmc.dll','');
 QuarantineFile('c:\windows\system32\cajluui.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\kungsflmovatvc.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\kungsflmovatvc.dll');
 BC_DeleteFile('\\?\globalroot\systemroot\system32\kungsflmovatvc.dll');
 DeleteFile('c:\windows\system32\cajluui.dll');
 BC_DeleteFile('c:\windows\system32\cajluui.dll');
 DeleteFile('C:\WINDOWS\system32\gkyyilmc.dll');
 BC_DeleteFile('C:\WINDOWS\system32\gkyyilmc.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\kcwaqvak.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\kcwaqvak.sys');
 DeleteFile('C:\WINDOWS\system32\IoctlSvc.exe');
 BC_DeleteFile('C:\WINDOWS\system32\IoctlSvc.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\kcwaqvak.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\kcwaqvak.sys');
 DeleteFile('C:\WINDOWS\system32\ie4uinit.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ie4uinit.exe');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{FE458A6E-D30E-4157-8D0A-8F3AF1069BDD}');
 DelBHO('{2D875F34-1119-48DF-9DD3-A30AEFB3092d}');
 DeleteService('kcwaqvak');
 DeleteService('PLFlash DeviceIoControl Service');
 BC_DeleteSvc('kcwaqvak');
 BC_DeleteSvc('PLFlash DeviceIoControl Service');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=47222 , как написано в прил.3 правил, и повторите логи.

**BuTaJIe4ka** · 05.06.2009, 11:17

Итог после прописания скриптов и после того как пофиксил с помощью Hijackthis строки - Троян Trojan-Clicker.Win32.Delf.cbe антивирус Касперского уже не находит, видимо помогло. Но в AVZ во время сбора информации написано что есть ещё подозрение на трояна.
Карантин выслал по указанному адресу.
Вот логи.

**AndreyKa** · 05.06.2009, 13:52

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
 DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelCLSID('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelCLSID('FE458A6E-D30E-4157-8D0A-8F3AF1069BDD');
 DelBHO('{FE458A6E-D30E-4157-8D0A-8F3AF1069BDD}');
 DeleteFile('\\?\globalroot\systemroot\system32\kungsflmovatvc.dll');
 DeleteFile('cajluui.dll');
 SysCleanAddFile('C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe');
 SysCleanAddFile('C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**BuTaJIe4ka** · 05.06.2009, 15:42

Скрипт выполнил =) Однако после перезагрузки система нашла новое оборудование и запросила установку... К сожалению не могу понять что это за оборудование, в следствие чего не поставил дрова...
Вот лог по пункту 2.

**AndreyKa** · 05.06.2009, 16:03

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\kungsfoptkjoex.sys','');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\kungsfoptkjoex.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**BuTaJIe4ka** · 05.06.2009, 16:29

Честно говоря не понял почему карантин не изменился после прописывания скриптов, но я его выслал.
Система всё равно находит неизвестное оборудование, которое не может быть установлено =(
Вот лог по пункту 2

**AndreyKa** · 05.06.2009, 16:39

Найдите и пришлите, как описано в Приложении 2 Правил, файлы:

Код:

C:\WINDOWS\system32\drivers\*.sys

**BuTaJIe4ka** · 05.06.2009, 19:16

Надеюсь на этот раз всё правильно сделал, если что-то не так опять - не корите, просто не всегда всё с первого раза получается сделать =(
карантин отсылаю

Добавлено через 2 часа 22 минуты

Когда получу ответ? Прошу прощения за нетерпеливость =)

**Aleksandra** · 05.06.2009, 20:16

Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

**BuTaJIe4ka** · 05.06.2009, 20:45

А как же предыдущие данные по логам??

**Aleksandra** · 05.06.2009, 21:21

Все данные для нас очень ценные. Лог будете делать?

**BuTaJIe4ka** · 05.06.2009, 21:28

Да да, конечно!! Уже делаю!! Правда уже почти час сканируется =( Пока не знаю надолго ли это =(

**BuTaJIe4ka** · 05.06.2009, 22:59

Всё, просканировалось =) Вот лог полученный

**Aleksandra** · 05.06.2009, 23:15

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine; 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETpegeibpx.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=47222

3. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service kungsfppmbapek
gmer.exe -del service SKYNETfulpspwt
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETpegeibpx.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek@start"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek@type"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek@group"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek@imagepath"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main@aid"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main@sid"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main@cmddelay"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main\delete"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main\injector"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main\injector@*"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\main\tasks"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\modules"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt@start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt@type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt@group"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt@imagepath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt\main"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt\main\injector"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt\modules"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfulpspwt\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek@start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek@type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek@group"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek@imagepath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main@aid"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main@sid"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main@cmddelay"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main\delete"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main\injector"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main\injector@*"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\main\tasks"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\modules"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfppmbapek\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt@start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt@type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt@group"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt@imagepath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt\main"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt\main\injector"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt\modules"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt\[email protected]"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfulpspwt\[email protected]"
gmer -reboot

**BuTaJIe4ka** · 06.06.2009, 13:04

Прошу прощения, но я не понял немного смысла вот этих Ваших строк:
"3. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer".
Можно по-подробнее? =(

**Aleksandra** · 06.06.2009, 13:09

http://virusinfo.info/showpost.php?p...5&postcount=19

Добавлено через 1 минуту

Перед этим пришлите закарантиненный файл.

**BuTaJIe4ka** · 06.06.2009, 13:36

окей, выслал только только =)

Добавлено через 18 минут

хм... Во время запуска Доса и в последующем действии вылазит сообщение: DeleteKey: Не найден указанный модуль. Так и должно быть? Просто раз 20-25 вылезло, приходилось ОК нажимать...

Добавлено через 5 минут

И ещё вопрос: а лог куда именно прописывать в Gmer?

Троян в системе =( (заявка № 47222)

Опции темы

Троян в системе =(

Похожие темы

В системе троян!!!

Троян в системе

Троян в системе!!!

Троян в системе

Троян в системе?

Ваши права в разделе