-
Junior Member
- Вес репутации
- 57
Интересный вирус
Здравствуйте !
Ситуация такая - при попытке запуска любой программы (и avz тоже), посредством rundll32 выдаётся порнокартинка с требованием отправить sms. DrWeb нашёл Trojan.KeyLogger.4260 и всё. (После "излечения" ничего не произошло).
В безопасном режиме система не загружается. Диспетчер задач неактивен.
Вирус создаёт в TEMP папке пользователя dll с произвольным именем и при запуске программ запускает её через rundll32.
Вирус портит файл hosts.
Так как запустить ничего не удаётся высылаю -
1. dll - которая создаётся вирусом
2. Файл hosts - поменяный вирусом.
P.S. Странно - но regetd33.exe запустился
Ничего не понимаю :-(
P.P.S. заменил rundll32 на notepad - поэтому можно экспериментировать.
Последний раз редактировалось AndreyKa; 26.11.2009 в 12:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вредоносные файлы прикладывать к сообщениям запрещено.
Переименуйте файл avz.exe в какой-нибудь setup.bat или 123.pif и сделайте логи по Правилам.
-
-
Junior Member
- Вес репутации
- 57
AVZ не запускается ни в каком виде - не в переименованном exe ни в pif не в bat.
Каждый запуск порождает новую dll в TEMP
Добавлено через 37 минут
Пробую LiveCD натравить
Последний раз редактировалось igorchs; 26.11.2009 в 13:05.
Причина: Добавлено
-
Скачайте этот файл, переименуйте в idiot.pif (у Вас д.б. включён показ раширений известных файлов в Свойствах проводника) и попробуйте сделать им хотя бы лог по п. 2 Диагностики.
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Rene-gad
Скачайте
этот файл, переименуйте в idiot.pif (у Вас д.б. включён показ раширений известных файлов в Свойствах проводника) и попробуйте сделать им хотя бы лог по п. 2 Диагностики.
С помощью ковыряния в реестре запустил машину в safe-mode. Скачал файл, переименовал его в pif. Запустил. Результат - порнокртинка на экране. (И это в safe mode !!!). Запуск procmon из sysinternals привёл к тому же результату.
Запуск LiveCD никаких вирусов не обнаружил.
(А CureIT запускается !)
Что-то я не понимаю ничего.
Последний раз редактировалось igorchs; 26.11.2009 в 13:50.
Причина: добавка
-
Junior Member
- Вес репутации
- 57
Итак - удалось подсунуть avz в качестве run32dll.exe
Результаты в приложении (это запуск в обычном режиме)
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\PDShK.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61348).
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Не помогло ... Выслал весь каталог карантина ... Сейчас попробую запустить qmer в качестве rundll32
-
Сообщение от
igorchs
Выслал весь каталог карантина ...
Куда?
-
-
Junior Member
- Вес репутации
- 57
Вот сюда -
http://virusinfo.info/upload_virus.php?tid=61348
Пардон - зарапортовался ! :-( Послал ...
Последний раз редактировалось igorchs; 26.11.2009 в 16:13.
-
Сообщение от
Bratez
Сделайте лог gmer.
Не получается?
-
-
Junior Member
- Вес репутации
- 57
Лог gmer в приложении ...
Нашлась какая-то служба ! :-(
-
Запустите rundll32.exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
rundll32.exe -del service tviukwmo
rundll32.exe -del file "C:\WINDOWS\system32\zroldxn.dll''
rundll32.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tviukwmo''
rundll32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tviukwmo''
rundll32.exe -reboot
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 57
Нет - это не помогло (даже когда я исправил ' ' на ").
Но вот Fix этого -
O20 - AppInit_DLLs: C:\WINDOWS\system32\PDShK.dll
с помощью hijackthis - помог
-
Сообщение от
igorchs
Нет - это не помогло (даже когда я исправил ' ' на ").
Это против окна и не должно было помочь.
Это для другого зверя
Сообщение от
snifer67
Сделайте новый лог gmer.
+ набор стандартных логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Извините за задержку
Логи в приложении.
(а службу tviukwmo я ручками вычистил)
2thyrex - для трэда http://virusinfo.info/showthread.php?t=61476 посоветуй - если по сети есть возможность убить процесс rundll32.exe (taskkill /s <комп> /f /im rundll32.exe), если не по сети пусть первой запускает hijackthis.
Последний раз редактировалось igorchs; 27.11.2009 в 13:55.
-
В логах чисто, но надо еще выполнить такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\PDShK.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\pdshk.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.iyx ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.AFCZ, AVAST4: Win32:Malware-gen )
- \lvelb.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-