Selook - вирус?!

**Shpinga** · 25.06.2009, 00:13

Вечер добрый всем!
Прошу помочь, вот уже три дня как борюсь с этой проблемой.

При входе в систему сразу-же начинает открываться куча окон ИЕксплорера, которые можно остановить только через диспетчер и то если успееш нажать. Причем это происходит в спонтанном порядке в разные интервалы времени. Это может быть сразу после входа в систему, а может быть и через 30 мин.
Все окна имеют этот адрес "http://selook.net/d/i.php?t=1&ver=4&r=179825786". Адрес удалось записать только сделав удачный скриншот, т.к. после закрытия процесса нет ни единой записи в журнале.
В момент запуска процесса, касперский начинает кричать "Попытка запуска браузера с параметрами командной строки -Embedding".
Через ProcessExplorer видно что процесс iexplore.exe запускается через svchost.exe.
Пробовал сканировать как сказано в правилах - ничего не обнаружилось, а после сканирования программой AVZ и перезагрузки - на некоторое время это все прекращается, но потом все заного начинается.
Даже пробовал (незнаю зачем) восстановить систему через мастер восстановления с установочного диска системы. Проблема осталась... Зделал только больше хлопот - на диске была система с SP2, а до этого стояла SP3.
Причем непонятно почему начал именно иэксплорер вылазить. Я им уже года 2 как не пользуюсь. Стоит Opera.

Помогите пожалуста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 25.06.2009, 05:55

Выполните скрипт:

Код:

begin
 SetAVZPMStatus(true);    
 RebootWindows(true);
end.

Повторите логи...

**Shpinga** · 25.06.2009, 19:48

Вчера начались галюники с интернетом, а сегодня вообще не могу попасть в систему. Не запускается explorer.exe, а точнее его там вообще нет. Благо есть второй компьютер. Щас попробую скопировать файл на него - может чего-то и выйдет...
-----------
Запустился! Последние пару дней при загрузке было заметное ториожение во время экрана приветствия.
Сделал новые логи.

**thyrex** · 25.06.2009, 21:03

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
 DeleteService('Winachcf');
 QuarantineFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys','');
 QuarantineFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll','');
 DeleteFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys');
 DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + такой лог http://virusinfo.info/showthread.php?t=40118

**Shpinga** · 26.06.2009, 02:39

Карантин переслал. Получили?
Сделал новые логи. Лог от Gmer не получился. В конце после 5 часового сканирования он завис и выдал BSOD. Попробую еще раз запустить.

А пока вот стандартные логи.

------------------------
Не получается завершить сканирование программой Gmer. В прошлый раз он завис на третьем диске, а щас пробовал по отдельности делать - тоже завис и BSOD в конце сканирования.
Код ошибки: 0x000000c2 (0x00000007, 0x00000cD4, 0x020a005, 0x88Da6450)
Прикрепил файл gmerPred.log это лог предварительного сканирования, которое делает программа при запуске.
В конце там есть запись с файлом который был помещен в карантин.

**Aleksandra** · 26.06.2009, 09:48

Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service wzszxserv.sys
gmer.exe -reboot

Эти адреса Вам известны?

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21

Если нет, то пофиксите.

**thyrex** · 26.06.2009, 10:33

wzszxymmwyqxt.dll - Trojan.Win32.Pakes.nnc
Детектирование файлов будет добавлено в следующее обновление

+ к предыдущему совету

Лог gmer попытайтесь сделать в безопасном режиме

**Shpinga** · 27.06.2009, 11:45

Сканирование в обычном режиме длилось всю ночь и еще продолжается, правда в данный момент это смахивает на то что он опять завис. В диспетчере видно что он еще занимает процессорный и оперативный ресурсы. Может так и должно быть? Пока BSOD'a небыло - попробую подождать еще немного.

После выполения скрипта из П.6 в предварительном сканировании в Gmer уже небыло записи с "файлом".

Я пофиксил адреса, т.к. они мне не знакомы.

**Aleksandra** · 27.06.2009, 11:52

Постарайтесь доделать все до конца и приложить лог gmer.

**Shpinga** · 27.06.2009, 14:49

Наконецто удалось сделать этот лог. Я его сжал, т.к. он занимал 16,5 мб

**thyrex** · 27.06.2009, 17:00

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del file "C:\WINDOWS\system32\wzszxnqwenvrx.dat"
gmer.exe -del file "C:\WINDOWS\system32\wzszxtlidwejp.dll"
gmer.exe -del file "C:\WINDOWS\system32\wzszxyfwkqpkp.dll"
gmer.exe -del file "C:\WINDOWS\system32\wzszxymmwyqxt.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\wzszxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wzszxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wzszxserv.sys"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer (из всех дисков отметьте только системный)

**Shpinga** · 27.06.2009, 18:12

Все сделал, но в процессе выскочило пару ошибок. Думаю это в связи с отсутсвием данных файлов.

**Aleksandra** · 27.06.2009, 19:15

Нужен лог gmer.

**Shpinga** · 28.06.2009, 03:51

Вот. Правда пришлось удалить предыдущий лог в связи с ограниченным местом.

**thyrex** · 28.06.2009, 11:09

В логе чисто? Что с проблемой?

**Shpinga** · 28.06.2009, 11:43

Проблема вроде исчезла. Больше ничего не выскакивает, но остался побочный эффект.
Входе в систему все равно занимает больше времени чем это было "до" заражения,а также в процессе работы наблюдаются периодические кратковременные подвисания.

Попробую поставить SP3.

**CyberHelper** · 29.06.2009, 11:43

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 23
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\drivers\wzszxdkssiyur.sys - Rootkit.Win32.Agent.lwd ( DrWEB: Trojan.Packed.2479, BitDefender: Gen:Trojan.Heur.TDSS.207D82B2B2 )
2. c:\windows\system32\wzszxymmwyqxt.dll - Trojan.Win32.Pakes.nnc ( DrWEB: Trojan.Packed.2463, BitDefender: Gen:Trojan.Heur.Hype.F0B8474747 )

Selook - вирус?! (заявка № 48653)

Опции темы

Selook - вирус?!

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Ваши права в разделе