Нашествие троянов

**Formuly** · 20.10.2009, 15:57

Доброго времени суток,

у меня следующая ситуация, на компе стоит лицензионный ZoneAlarm Security Suite с защитой браузера ForceField. До недавнего времени проблемы с безопастностью осутствовали, но после чего на компьютер скачали что-то непонятное с интернета (компом пользуюсь не только я), начались проблемы. Постоянно какие-то трояны ZoneAlarm обнаруживает и вроде и карантинит и лечит и удаляет что-то, но видно до конца проблему не решает. Компьютер работает в целом нормально, но были случаи что интернет не работает или же браузер при открытие пересылает сразу же на какой-то левый сайт.

Я произвел все действие по пунктам для решение проблем, при последней проверке ZoneAlarm-ом, он нашел 16 вредоносных обьектов с такими прекрасными названиями как:
RarePacker.Multi.Generic
Trojan.Win32.Buzus.cbgm.
P2P-Worm.Win32.Palevo.jpm.
Trojan.Win32.Delf.owo.
Trojan.Win32.Crypt.bgj.
P2P-Worm.Win32.Palevo.jov.
Trojan-Proxy.Win32.Agent.bub.
ZoneAlarm опять же утверждал что все нужное сделал и все уже в порядке, после этого в безопасном режиме AVPTool ничего не нашел, но все же хочется Вас попросить взглянуть на логи.

Заранее Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 20.10.2009, 16:06

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true);
 DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859','*.*',true);
 DeleteFileMask('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719','*.*',true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Formuly** · 22.10.2009, 13:01

Я выполнил прописанные пункты и сделал новые логи. Также заметил что Ваш сайт и сайты с похожим содержанием на проблемном компе не грузятся, пробовал во всех браузерах. До решение проблем зараженым компом никто не пользуется.

Жду дальнейших инструкций.

**PavelA** · 22.10.2009, 13:41

Карантин не прислали, почему?

**Formuly** · 22.10.2009, 18:39

Извините если до меня тяжело доходит, но вроде карантин не запрашивали или же я сделал что-то не так в процессе диагностики?

Подскажите пожалуйста.

**Rene-gad** · 22.10.2009, 19:41

Сообщение от Formuly

Извините если до меня тяжело доходит, но вроде карантин не запрашивали.

Действительно не запрашивали - моё упущение. А про Бонжур писал, а Вы не удалили.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\WINDOWS\jcdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Formuly** · 23.10.2009, 19:57

Bonjoura нигде не нахожу, удалял через Панель управления.
Через диспетчер устройств удалил одно неизвестное устройство.
Очистил кэш итд, загрузил карантин, выкладываю новые логи.

Жду дальнейших инструкций.

**Rene-gad** · 23.10.2009, 20:04

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('9new.exe','');
DeleteFile('%windir%\9new.exe');
DeleteFile('%windir%\system32\9new.exe');
DeleteFile('%windir%\system32\drivers\9new.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
DeleteService('bugkgehx');
DeleteService('wdwjgnkai');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bugkgehx');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\wdwjgnkai');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER.

**Formuly** · 25.10.2009, 20:54

Выполнил скрипт, закачал карантин и прикрепил лог GMER.

Жду дальнейших инструкций.

**Rene-gad** · 25.10.2009, 22:19

- Выполните код в GMER.

Код:

t8k6ugzq.exe -del file "C:\WINDOWS\system32\jpvwosp.dll"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bugkgehx"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wdwjgnkai"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bugkgehx"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wdwjgnkai"
t8k6ugzq.exe -reboot

После перезагрузки:
- Повторите лог GMER.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Formuly** · 27.10.2009, 00:04

Пробовал выполнять код в GMERе по правилам, до конца так и не понял выполнился он нормально или нет, после нажатия кнопки Run во второй командной строке (та что снизу) появляется такой текст и ничего больше не происходит:

"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¢«ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*ï¥¬®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.

Пробовал несколько раз, даже набрал код вручную, результат тот же. В любом случае после перезагрузки сделал диагностику и новый GMER лог, которые и прикрепил к данному сообщению.

**Rene-gad** · 27.10.2009, 10:32

Сделайте лог полного сканирования MBAM.

**Formuly** · 27.10.2009, 18:16

Выполнил скан, выкладываю лог.

**Rene-gad** · 27.10.2009, 18:27

-Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg',''); 
QuarantineFile('C:\WINDOWS\system32\jpvwosp.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**Formuly** · 27.10.2009, 20:01

Выполнил успешно скрипт, карантин закачал.

**thyrex** · 27.10.2009, 23:56

Выполните скрипт в AVZ

Код:

begin
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg');
 DeleteFile('C:\WINDOWS\system32\jpvwosp.dll');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**PavelA** · 28.10.2009, 10:10

Net-Worm.Win32.Kido.ih был в карантине. Значит, надо делать проверку КидоКиллером + устанавливать необходимые заплатки.

**Formuly** · 28.10.2009, 16:45

Так что же делать? Какие действие сперва? Что это за заплатки?

**PavelA** · 28.10.2009, 17:45

KidoKiller + инстр-я на сайте Касперского

**CyberHelper** · 29.10.2009, 17:45

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\mmzy2lcs\tvqovvr[1].jpg - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )
2. c:\windows\system32\jpvwosp.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )

Нашествие троянов (заявка № 57752)

Опции темы

Нашествие троянов

Антивирусная помощь

Итог лечения

Похожие темы

Нашествие вирусов

Нашествие

Нашествие троянов

Нашествие

Нашествие Лошадей

Ваши права в разделе