Пачка вирусов, которые не хотят уходить

**maxich** · 13.01.2010, 13:06

Не удается справится с ними, сканировал DrWeb как обычном режиме, так и с LiveCD. Позже я понял почему DrWeb вяло реагировал на вирусные файлы, некоторые из них он не знал.
Мне помог virustotal, с точки зрения касперского вот что я отловил руками и проверил он-лайн сканером:
Trojan.Win32.Scar.bdah / файлы типа H001.exe и конкретный conime.exe
Backdoor.Win32.Chyopic.jc / файл ati2ess.exe
Backdoor.Win32.Chyopic.jd / файл G001.exe
Trojan-Clicker.Win32.VB.dkz / wmiprsve.exe
TRojan.Win32.VB.aacl / expIorer.exe
В процессах явно висел expIorer.exe и ,возможно, wmiprsve.exe .
Блокируется встроенный брендмауер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 13.01.2010, 13:45

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('Windows Workstation');
 StopService('sdewe DvvS Service');
 StopService('NesSrv');
 StopService('expIorer');
 QuarantineFile('C:\WINDOWS\system32\wmiprsve.exe','');
 QuarantineFile('C:\WINDOWS\System32\NeSrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\JMAHQJPTBV\J002.exe','');
 QuarantineFile('C:\WINDOWS\system32\expIorer.exe','');
 QuarantineFile('C:\WINDOWS\system32\3C4HCT2ZPN\J001.exe','');
 QuarantineFile('C:\WINDOWS\system32\275125.exe','');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe','');
 DeleteService('Windows Workstation');
 DeleteService('sdewe DvvS Service');
 DeleteService('NesSrv');
 DeleteService('expIorer');
 DeleteFile('C:\WINDOWS\system32\wmiprsve.exe');
 DeleteFile('C:\WINDOWS\System32\NeSrv.exe');
 DeleteFileMask('C:\WINDOWS\system32\JMAHQJPTBV\','*.*',true);
 DeleteDirectory('C:\WINDOWS\system32\JMAHQJPTBV\');
 DeleteFile('C:\WINDOWS\system32\expIorer.exe');
 DeleteFileMask('C:\WINDOWS\system32\3C4HCT2ZPN\','*.*',true);
 DeleteDirectory('C:\WINDOWS\system32\3C4HCT2ZPN\');
 DeleteFile('C:\WINDOWS\system32\275125.exe');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Windows Workstation');
BC_DeleteSvc('sdewe DvvS Service');
BC_DeleteSvc('NesSrv');
BC_DeleteSvc('expIorer');
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**maxich** · 14.01.2010, 04:52

Скрипт выполнил, новое устройство удалил.
Карантин отправил.
Диагностика выполнена.

PS. Кажется вирус внес изменения в систему, например, брендмауер в панели управления не открывается, пишет (не дословно) "по причине непонятной ошибки запустить неудалось". Может порекомендуете выполнить восстановление системы в AVZ, или что-нибудь другое..

**maxich** · 14.01.2010, 05:38

Внезапно NOD отловил в памяти (см.картинку).

Поэтому новые логи прилагаю.

**maxich** · 15.01.2010, 03:46

Уважаемый хелпер, который работает с моей проблемой, Вы про меня не забыли?

**AndreyKa** · 16.01.2010, 14:02

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ias');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\irmon');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\DltsSrv');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\dltsrunsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\khsla.bmp','');
 QuarantineFile('C:\WINDOWS\system32\ndhmi.bmp','');
 QuarantineFile('C:\WINDOWS\system32\JMAHQJPTBV\J002.exe','');
 QuarantineFile('C:\WINDOWS\system32\3C4HCT2ZPN\J001.exe','');
 DeleteService('hzddos_svcname');
 DeleteService('gs');
 DeleteFile('C:\WINDOWS\system32\3C4HCT2ZPN\J001.exe');
 DeleteFile('C:\WINDOWS\system32\JMAHQJPTBV\J002.exe');
 DeleteFile('C:\WINDOWS\system32\ndhmi.bmp');
 DeleteFile('C:\WINDOWS\system32\khsla.bmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\dltsrunsrv.dll');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','csrcs');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

**maxich** · 18.01.2010, 12:09

Сразу скажу, что перед выполнением последних указаний я исправил грубую свою ошибку, разграничив пользователя и админа в правах. AVZ запускал из учетки пользователя, который имел полные права ранее. Запускал от имени админа, как полагается.
В карантине судя по всему два файла.

Файл сохранён как 100118_120555_virus_4b54247334503.zip
Размер файла 210556
MD5 7ad1f3096c681774b8ee16d65eecb9aa

Логи сделаны.

**AndreyKa** · 18.01.2010, 12:22

Вирусов не видно, а вот дыр полно. См. в конце файла avz_log.txt
Начать лучше с Service Pack 3 для Windows ХР (может потребоваться активация).

**maxich** · 18.01.2010, 12:56

Что правда, то правда. Тема исчерпана значит?

**AndreyKa** · 18.01.2010, 13:05

Пока дыры не закроете, лечение не эффективно.

**CyberHelper** · 19.01.2010, 13:05

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\dltsrunsrv.dll - Trojan-Downloader.Win32.Agent.czkz ( BitDefender: DeepScan:Generic.Peed.86A89DBB )
2. c:\windows\system32\expiorer.exe - Trojan.Win32.VB.aacl ( DrWEB: Trojan.Siggen.49673, BitDefender: Trojan.Generic.2963265, AVAST4: Win32:Crypt-FQP [Trj] )
3. c:\windows\system32\khsla.bmp - Trojan-PSW.Win32.Bjlog.eax ( BitDefender: Trojan.Generic.IS.412346, AVAST4: Win32:Malware-gen )
4. c:\windows\system32\wmiprsve.exe - Trojan.Win32.VB.aacl ( DrWEB: Trojan.Siggen.49673, NOD32: Win32/VB.ORT trojan, AVAST4: Win32:Crypt-FQP [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Пачка вирусов, которые не хотят уходить (заявка № 67060)

Опции темы

Пачка вирусов, которые не хотят уходить

Итог лечения

Похожие темы

Подозрение на пачку вирусов, которые "выбивают" звуковую карту

На компьютере много вирусов которые тормозят систему

Похоже руткиты поселились и уходить не хотят

Метки для этой темы

Ваши права в разделе