Email-Worm.Win32.Warezov.gq не удаляется

[Xin]

Здравствуйте
Касперский обнаружил:
explorer.exe\e1.dll
services.exe\e1.dll
avp.exe\e1.dll
lsass.exe\e1.dll
svchost.exe\e1.dll
winlogon.exe\e1.dll
notepad.exe\e1.dll
При попытке удалить отключаются все программы.. Вручную удалить не могу, не знаю, где всё это искать.
Что следует предпринять?

Только что выдал сообщение "Неожиданно завершён процесс C:\WINDOWS\system32\services.exe" и через минуту перегагрузился

[drongo]

Порядок действий следующий :
распечатаь правила поиска , отключиться от интернета , выгрузить из памяти антивирус (касперкого в данном случае )
Запустить АВЗ и поискать фалы с опцией блокировки руткитов )Полученный запароленный архив прислать поп равилам .
C:\WINDOWS\system32\spermastart.exe
C:\WINDOWS\system32\krln32.exe
C:\WINDOWS\cservv32.exe
C:\WINDOWS\SYSTEM32\brwmgr32.dll
C:\WINDOWS\SYSTEM32\mididpnh.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\confbrw.dll
C:\WINDOWS\system32\brwstat.dll
C:\WINDOWS\system32\brwmgr32.dll
IntEdReg.exe- Просто поискать по правилам

[MOCT]

в присланном файле - только ini-файлы.
повторите поиск через AVZ с включенным противодействием руткитам.

[Xin]

Попробовал ещё раз. В архиве всё равно .ini-файлы. В карантин не помещается intedreg.exe. "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode" включил. Вы ведь это имели ввиду?
Возможно, я чего-то не понимаю, но в справке нашёл такое: "Файлы в карантине (и соответственно в архиве) переименовываются - имена файлов формируются как avzNNNN.dta (где NNNNN - порядковый номер файла в папке). Для каждого файла avzNNNN.dta создается avzNNNN.ini, содержащий описание файла (исходное имя и местоположение файла в системе, дата и время помещения в карантин, причины карантина и размер файла).
AVZ, (C) Зайцев О.В."

[MOCT]

Возможно, я чего-то не понимаю, но в справке нашёл такое: "Файлы в карантине (и соответственно в архиве) переименовываются - имена файлов формируются как avzNNNN.dta (где NNNNN - порядковый номер файла в папке). Для каждого файла avzNNNN.dta создается avzNNNN.ini,

вот как раз DTA-файлов и не хватает...

[Xin]

вот как раз DTA-файлов и не хватает...

Попробовал составить архив вручную, выдал: "Невозможно открыть avz0001.dta. Отказано в доступе". Что с этим можно сделать?

[Alex Plutoff]

Попробовал составить архив вручную, выдал: "Невозможно открыть avz0001.dta. Отказано в доступе". Что с этим можно сделать?

-временно не имею возможности просмотреть логи... но попробую угадать, доступ к файлу блокирует монитор антивируса или AVZ Guard... попробуйте их отключить.

[Xin]

хм.. Касперский нашёл 3 файла, заражённых Email-Worm.Win32.Warezov.gz
C:\WINDOWS\system32\brwmgr32.dll
C:\WINDOWS\system32\confbrw.dll
c:\windows\system32\brwstat.dll
В папке они есть, но невидимые.
Но AVZ найти их не может... К чему бы это?

[pig]

1. Выключить KAV монитор
2. AVZ - Файл - Выполнить скрипт:

Код:

begin
  SearchRootkit(true,true);
  SetAVZGuardStatus(true);
  QuarantineFile('C:\WINDOWS\system32\brwmgr32.dll','');
  QuarantineFile('C:\WINDOWS\system32\confbrw.dll','');
  QuarantineFile('c:\windows\system32\brwstat.dll','');
  DeleteFile('C:\WINDOWS\system32\brwmgr32.dll');
  DeleteFile('C:\WINDOWS\system32\confbrw.dll',);
  DeleteFile('c:\windows\system32\brwstat.dll');
  ExecuteSysClean;
  RebootWindows(true);
end.

3. Карантин прислать. Во избежание проблем паковать при выключенном KAV мониторе.

[Xin]

Скрипт выполнил. После перезагрузки в папке ничего вроде бы нет, АВЗ ничего не нашёл, Касперский также молчит. ...неужто всё?)

[pig]

1. Сделайте полный скан системы KAV сканером и свежим CureIt.
2. Сделайте новые логи, начиная с пункта 10.

[Xin]

нашёл ещё какой-то Downloader.PopCapLoader .. хм..и что это такое?
CureIt ничего не увидел

[pig]

1. AVZ- Файл - Выполнить скрипт:

Код:

begin
  DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
  ExecuteSysClean;
end.

2. Пофиксить:

Код:

O4 - HKLM\..\Run: [cservv32] C:\WINDOWS\cservv32.exe s
O4 - HKLM\..\Run: [startup] C:\WINDOWS\system32\krln32.exe
O4 - HKLM\..\Run: [MicrosoftOffice] C:\WINDOWS\system32\spermastart.exe
O4 - HKCU\..\Run: [MicrosoftOffice] C:\WINDOWS\system32\spermastart.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)

3. Следующий текст:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

вставить в Блокнот и сохранить под именем "appinit.reg" (прямо так, с кавычками набирайте). Потом два щелчка мышкой по файлу и подтвердите внесение изменений.
4. Перезагрузитесь и сделайте логи ещё раз.

[Xin]

всё сделал

[pig]

Вот это недофиксили или оно возродилось?

Код:

O4 - HKLM\..\Run: [MicrosoftOffice] C:\WINDOWS\system32\spermastart.exe

Там были две похожие строки, ошибиться несложно.

Ещё меня смущает вот это:

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apeha.ru/
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm612YYRU

Первую строку кто-то недавно советовал пофиксить, а вторая просто ассоциативно похожа на бяку.

А больше всего меня засмущала вдруг нарисовавшаяся куча открытых портов и странные адреса "той стороны" на них. Прошу откликнуться тех, кто знает больше.

[MOCT]

Ещё меня смущает вот это:

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apeha.ru/
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm612YYRU

Первую строку кто-то недавно советовал пофиксить, а вторая просто ассоциативно похожа на бяку.

первую строку я советовал фиксить.
вторая строка - устанавливается AdWare.
так что обе строки нужно удалять.

[Xin]

чтож, пофиксил. ещё раз логи?

[anton_dr]

Не помешает.

[Xin]

высылаю