P2P-Worm.Win32.Palevo.yii

**jltfor41** · 25.03.2010, 13:48

wmfcgr.exe - этот файл постоянно появляется в папках C:\RECYCLER и лезет в автозагрузку (хотя в диспетчере задач не отображается). Еще в автозагрузке висит C:\WINDOWS\ndll.exe.
Вчера вручную удалил файлы jjdrive32.exe, umdmgr.exe, syre32.exe. Очень медленно работал интернет и время от времени вылетало окно

Generic Host Process for Win32 Services – обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

C помощью Kaspersky Virus Removal Tool удалил следующие файлы:
24.03.2010 22:11:52 Обнаружено: P2P-Worm.Win32.Palevo.yii C:\RECYCLER\S-1-5-21-9518453161-9782939014-978234319-2388\wmfcgr.exe

24.03.2010 22:17:21 Вылечено: P2P-Worm.Win32.Palevo.yii HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

24.03.2010 22:28:17 Обнаружено: Trojan.Win32.Scar.bxok C:\System Volume Information\_restore{46C5A5A6-0980-4B56-AC5E-C89C3B77C80F}\RP75\A0043069.exe

25.03.2010 0

30 Обнаружено: P2P-Worm.Win32.Palevo.yii C:\RECYCLER\S-1-5-21-9518453161-9782939014-978234319-2388\wmfcgr.exe

25.03.2010 0:18:57 Будет удалено при перезагрузке: P2P-Worm.Win32.Palevo.yii C:\RECYCLER\S-1-5-21-9518453161-9782939014-978234319-2388\wmfcgr.exe

25.03.2010 10:35:10 Обнаружено: Trojan.Win32.Scar.bxok C:\Documents and Settings\Лариса\Local Settings\Temp\405.exe

25.03.2010 10:35:10 Обнаружено: P2P-Worm.Win32.Palevo.xlw C:\Documents and Settings\Лариса\Local Settings\Temp\837.exe

25.03.2010 10:35:13 Обнаружено: Trojan.Win32.Scar.bxok C:\Documents and Settings\Лариса\Local Settings\Temporary Internet Files\Content.IE5\EMUO5L4P\v19[1].gif

25.03.2010 10:35:48 Обнаружено: P2P-Worm.Win32.Palevo.xlw C:\Documents and Settings\Лариса\Local Settings\Temporary Internet Files\Content.IE5\WH67WL2R\slow19[1].data

но тем не менее, после перезагрузки эта дрянь появляется вновь. Стоит Dr.Web Версия 5.0.3.0201

Затем выполнил следующий скрипт CyberHelper:

begin
SearchRootkit(true, true);
QuarantineFile('ACDV.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\ndll.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_Activate;
RebootWindows(true);
end.
Но и после этого в папке C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351 появились файлы desktop.ini и wmfcgr.exe, которые система удалить не дает. В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Taskman устанавливается значение C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe, которое восстанавливается через несколько секунд после удаления. В C:\WINDOWS опять появился файл ndll.exe со ссылкой на него в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Параметр: oo Значение: C:\WINDOWS\ndll.exe
В папке C:\Documents and Settings\Лариса\Local Settings\Temp я нашел файлы 399.exe и 737.exe

При этом все вышеперечисленные файлы имеют одинаковые иконки и больше не детектируются Kaspersky Virus Removal Tool

Вот результаты проверки на VirusTotal.com

Файл 399.exe получен 2010.03.25 08:59:37 (UTC)

Результат: 21/42 (50%)

Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.03.25 Virus.Win32.VBInject!IK
AhnLab-V3 5.0.0.2 2010.03.25 -
AntiVir 7.10.5.210 2010.03.25 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.03.24 -
Authentium 5.2.0.5 2010.03.25 -
Avast 4.8.1351.0 2010.03.24 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.24 Win32:Malware-gen
AVG 9.0.0.787 2010.03.25 Dropper.Generic.CATF
BitDefender 7.2 2010.03.25 -
CAT-QuickHeal 10.00 2010.03.25 -
ClamAV 0.96.0.0-git 2010.03.25 -
Comodo 4378 2010.03.25 -
DrWeb 5.0.1.12222 2010.03.25 Trojan.MulDrop1.9302
eSafe 7.0.17.0 2010.03.24 -
eTrust-Vet 35.2.7387 2010.03.25 -
F-Prot 4.5.1.85 2010.03.24 -
F-Secure 9.0.15370.0 2010.03.25 -
Fortinet 4.0.14.0 2010.03.24 -
GData 19 2010.03.25 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.03.25 Virus.Win32.VBInject
Jiangmin 13.0.900 2010.03.25 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.25 -
McAfee 5930 2010.03.24 Generic.dx!poc
McAfee+Artemis 5930 2010.03.24 Generic.dx!poc
McAfee-GW-Edition 6.8.5 2010.03.25 Trojan.Dropper.Gen
Microsoft 1.5605 2010.03.25 VirTool:Win32/VBInject.DN
NOD32 4972 2010.03.24 a variant of Win32/Injector.BBZ
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.25 -
Panda 10.0.2.2 2010.03.24 -
PCTools 7.0.3.5 2010.03.25 -
Prevx 3.0 2010.03.25 Medium Risk Malware
Rising 22.40.03.04 2010.03.25 Trojan.Win32.Generic.51FBEEA4
Sophos 4.52.0 2010.03.25 Mal/VBInject-D
Sunbelt 6075 2010.03.25 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.25 Suspicious.Insight
TheHacker 6.5.2.0.242 2010.03.24 Trojan/Injector.bbz
TrendMicro 9.120.0.1004 2010.03.25 WORM_PALEVO.CF
VBA32 3.12.12.2 2010.03.25 -
ViRobot 2010.3.25.2243 2010.03.25 Trojan.Win32.VBInject.102400
VirusBuster 5.0.27.0 2010.03.24 -

Файл ndll.exe получен 2010.03.25 09:05:33 (UTC)

Результат: 10/42 (23.81%)

Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.03.25 Virus.Win32.VBInject!IK
AhnLab-V3 5.0.0.2 2010.03.25 -
AntiVir 7.10.5.210 2010.03.25 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.03.24 -
Authentium 5.2.0.5 2010.03.25 -
Avast 4.8.1351.0 2010.03.24 -
Avast5 5.0.332.0 2010.03.24 -
AVG 9.0.0.787 2010.03.25 -
BitDefender 7.2 2010.03.25 -
CAT-QuickHeal 10.00 2010.03.25 -
ClamAV 0.96.0.0-git 2010.03.25 -
Comodo 4378 2010.03.25 -
DrWeb 5.0.1.12222 2010.03.25 -
eSafe 7.0.17.0 2010.03.24 -
eTrust-Vet 35.2.7387 2010.03.25 -
F-Prot 4.5.1.85 2010.03.24 -
F-Secure 9.0.15370.0 2010.03.25 -
Fortinet 4.0.14.0 2010.03.24 -
GData 19 2010.03.25 -
Ikarus T3.1.1.80.0 2010.03.25 Virus.Win32.VBInject
Jiangmin 13.0.900 2010.03.25 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.25 -
McAfee 5930 2010.03.24 -
McAfee+Artemis 5930 2010.03.24 Artemis!79C066AFBCA7
McAfee-GW-Edition 6.8.5 2010.03.25 Trojan.Dropper.Gen
Microsoft 1.5605 2010.03.25 VirTool:Win32/VBInject.DN
NOD32 4972 2010.03.24 a variant of Win32/Injector.BBZ
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.25 -
Panda 10.0.2.2 2010.03.24 Suspicious file
PCTools 7.0.3.5 2010.03.25 -
Prevx 3.0 2010.03.25 -
Rising 22.40.03.04 2010.03.25 -
Sophos 4.52.0 2010.03.25 Mal/VBInject-D
Sunbelt 6075 2010.03.25 -
Symantec 20091.2.0.41 2010.03.25 Suspicious.Insight
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.25 -
VBA32 3.12.12.2 2010.03.25 -
ViRobot 2010.3.25.2243 2010.03.25 -
VirusBuster 5.0.27.0 2010.03.24 -

Файл wmfcgr.exe получен 2010.03.25 09:08:40 (UTC)

Результат: 7/41 (17.08%)

Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.03.25 Virus.Win32.VBInject!IK
AhnLab-V3 5.0.0.2 2010.03.25 -
AntiVir 7.10.5.210 2010.03.25 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.03.24 -
Authentium 5.2.0.5 2010.03.25 -
Avast 4.8.1351.0 2010.03.24 -
Avast5 5.0.332.0 2010.03.24 -
AVG 9.0.0.787 2010.03.25 -
BitDefender 7.2 2010.03.25 -
CAT-QuickHeal 10.00 2010.03.25 -
ClamAV 0.96.0.0-git 2010.03.25 -
Comodo 4378 2010.03.25 -
DrWeb 5.0.1.12222 2010.03.25 -
eSafe 7.0.17.0 2010.03.24 -
eTrust-Vet 35.2.7387 2010.03.25 -
F-Prot 4.5.1.85 2010.03.24 -
F-Secure 9.0.15370.0 2010.03.25 -
Fortinet 4.0.14.0 2010.03.24 -
GData 19 2010.03.25 -
Ikarus T3.1.1.80.0 2010.03.25 Virus.Win32.VBInject
Jiangmin 13.0.900 2010.03.25 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.25 -
McAfee 5930 2010.03.24 -
McAfee+Artemis 5930 2010.03.24 -
McAfee-GW-Edition 6.8.5 2010.03.25 Trojan.Dropper.Gen
Microsoft 1.5605 2010.03.25 -
NOD32 4972 2010.03.24 -
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.25 -
Panda 10.0.2.2 2010.03.24 -
PCTools 7.0.3.5 2010.03.25 -
Rising 22.40.03.04 2010.03.25 Trojan.Win32.Generic.51FC2CD7
Sophos 4.52.0 2010.03.25 Mal/VBDrop-I
Sunbelt 6075 2010.03.25 -
Symantec 20091.2.0.41 2010.03.25 Suspicious.Insight
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.25 -
VBA32 3.12.12.2 2010.03.25 -
ViRobot 2010.3.25.2243 2010.03.25 -
VirusBuster 5.0.27.0 2010.03.24 -

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 25.03.2010, 14:00

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ndll.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\ndll.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**jltfor41** · 25.03.2010, 14:58

При этом при просмотре папок C:\RECYCLER\
S-1-5-21-0243936033-3052116371-381863308-1811
S-1-5-21-0572089776-2802407344-210906292-7936
S-1-5-21-1292428093-1682526488-1957994488-1004
S-1-5-21-1543188107-9766018058-139418517-1351
S-1-5-21-3697195426-2445346125-626125526-4255
S-1-5-21-3708603202-9827555670-845625993-9998
S-1-5-21-6375130521-8330506115-170535193-7402
S-1-5-21-8574770430-7325447591-460505849-3767

в Проводнике в каждой папке отображаются два одинаковых файла с названием wmfcgr.exe. В FAR manager этих файлов не видно, но в папке S-1-5-21-1292428093-1682526488-1957994488-1004 есть два ехе-файла
dc1.exe
dc2.exe

Иконки те же

Карантин прислал

Результат загрузки
Файл сохранён как 100325_145101_virus_4bab4e253e418.zip
Размер файла 317382
MD5 7a7d17b5b1535c7a0a386c131f3a88d7
Файл закачан, спасибо!

**V_Bond** · 25.03.2010, 17:00

выполните http://virusinfo.info/showpost.php?p=436397&postcount=5

**thyrex** · 25.03.2010, 18:51

+ к V_Bond

А после очистки такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**CyberHelper** · 26.03.2010, 18:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.VB.admf ( DrWEB: Trojan.MulDrop1.9302, BitDefender: Trojan.Agent.VB.BIE, AVAST4: Win32:Malware-gen )
2. c:\recycler\s-1-5-21-1543188107-9766018058-139418517-1351\wmfcgr.exe - Trojan.Win32.VBKrypt.ib ( DrWEB: Trojan.MulDrop1.9813 )
3. c:\windows\ndll.exe - Trojan.Win32.VBKrypt.ib ( DrWEB: Trojan.MulDrop1.9813 )

P2P-Worm.Win32.Palevo.yii (заявка № 74493)

Опции темы

P2P-Worm.Win32.Palevo.yii

Выполнил

Антивирусная помощь

Итог лечения

Похожие темы

p2p-worm.win32.palevo

p2p-worm.win32.palevo.npl и еще номера.exe

P2P-Worm.Win32.Palevo.ipn

Не лечится P2P-Worm.Win32.Palevo.ddm

P2P-Worm.Win32.Palevo.coa ?

Метки для этой темы

Ваши права в разделе