Атака троянов - много, разных видов!

[zmirno]

Уважаемые помощники, я подхватил ОДНОВРЕМЕННО всего за пару секунд целый «букет».

NOD32 удалил некоторые зараженные файлы:

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\9JBC4NF7\60787[1].exe - вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян – удален
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FYAGJGDD\nldr[1] - модифицированный Win32/TrojanDownloader.Agent.QN троян – удален
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GIK3L27L\new2[1] - вероятно модифицированный Win32/TrojanDownloader.Agent.AOX троян – удален
C:\Documents and Settings\User\Local Settings\TempKB39221.exe - Win32/Small.NR троян – удален
C:\WINDOWS\system32\update62523833.exe - вероятно модифицированный Win32/TrojanDownloader.Agent.AOX троян – удален
C:\WINDOWS\Temp\fydyoaky.exe - вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян - удален

Некоторые файлы удалены после перезагрузки:

C:\WINDOWS\system32\zAskop.dll - Win32/Spy.Small.DP троян - удален (после следующего перезапуска)
C:\System Volume Information\_restore{0F84102C-4DB3-45DF-A54F-0DDACB415588}\RP9\A0000447.exe - Win32/Small.NR троян – удален
C:\WINDOWS\Media\vcdb32.dll - модифицированный Win32/Spabot.NAC троян - удален (после следующего перезапуска)
C:\WINDOWS\system32\hygnvcw.dll - модифицированный Win32/Agent.NEJ троян - удален (после следующего перезапуска)

Было сообщение, что заражена память – модифицированный Win32/TrojanDownloader.Agent.QN
Источник заражения – C:\WINDOWS\system32\update21677000.exe.

Второе сканирование снова обнаружило вирусы:

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FYAGJGDD\ver0502[1] - модифицированный Win32/Agent.OH троян - удален
C:\System Volume Information\_restore{0F84102C-4DB3-45DF-A54F-0DDACB415588}\RP9\A0000450.dll - модифицированный Win32/Spabot.NAC троян - удален
C:\System Volume Information\_restore{0F84102C-4DB3-45DF-A54F-0DDACB415588}\RP9\A0000451.dll - модифицированный Win32/Agent.NEJ троян - удален
C:\System Volume Information\_restore{0F84102C-4DB3-45DF-A54F-0DDACB415588}\RP9\A0000452.dll - Win32/Spy.Small.DP троян - удален
C:\WINDOWS\system32\update00822631.exe - модифицированный Win32/Agent.OH троян - удален

В карантине остаётся и не удаляется файл
hттp://ms-counter.com/ms-counter/loadt/exe/loader.exe?9262074855963079
вирус Win32/Small.NR троян

Кроме того, исчезало и не настраивалось соединение с Интернетом по локальной сети, сообщение: «компьютеру не был назначен сетевой адрес». Сейчас восстановилось, но после такой атаки не знаю, чего ждать.

Помогите, пожалуйста.

[PavelA]

в AVZ выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\hygnvcw.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\svchost.exe','');
 QuarantineFile('C:\WINDOWS\Media\vcdb32.dll','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\18026590.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\18027982.exe ','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\18027652.exe ','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\18027652.exe ');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\18027982.exe ');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\18026590.exe');
 ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.

Карантин после перезагрузки прислать согласно Приложения 2 (см. рисунок внизу)
Ссылка на тему: http://virusinfo.info/showthread.php?t=7827

[zmirno]

Выполнил скрипт. Файлы из карантина выслал согласно правилам.
Только что выскочили два окна с предупреждением от NOD32 о заражении

<ссылки на зловредов - удалено>

Как действовать дальше?

[PavelA]

Предупреждение - не указывать прямой адрес на вирус в форуме

Дальше ждать ответа.

Какой пароль на архиве? Стандартный не проходит.

[zmirno]

Прошу прощенья. Удалить сообщения со ссылками?

[PavelA]

Отредактировать. Вместо http - hxxp.
Ответь насчет пароля

[zmirno]

Я пароль не ставил Открыл карантин в AVZ - пометил все файлы - архивировал - выслал
??

[Зайцев Олег]

Я пароль не ставил Открыл карантин в AVZ - пометил все файлы - архивировал - выслал
??

AVZ сам ставит пароль при сохранении архива из карантина.
Файлы:
DOCUME~1\User\LOCALS~1\Temp\18027652.exe
DOCUME~1\User\LOCALS~1\Temp\18027982.exe
WINDOWS\system32\msnetax.dll
WINDOWS\TEMP\svchost.exe
All Users\Документы\Settings\partnership.dll
являются троянами и их нужно удалить отложенным удалением AVZ. После удаления и перезагрузки нужны новые логи - для контроля.

[zmirno]

еще раз архивировал и выслал файлы из карантина.
Опять были предупреждения от NOD,
теперь в карантине NOD уже шесть файлов
все Win32/Small.NR троян
hттp://ms-counter.com/ms-counter/loadt/exe/loader.exe? и разные цифры на конце

[zmirno]

Удалил указанные файлы через отложенное удаление в AVZ.
Сделал новые логи для проверки.
Жду указаний.

[Зайцев Олег]

Удалил указанные файлы через отложенное удаление в AVZ.
Сделал новые логи для проверки.
Жду указаний.

Судя по логам файлы на месте. Выполните скрипт AVZ (файл/выполнить скрипт):

Код:

begin
 // Снятие перехватов и активация AVZGuard
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 // Удаление файлов
 DeleteFile('c:\documents and settings\user\~tmp0374.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\WINDOWS\system32\msnetax.dll');
 DeleteFile('C:\WINDOWS\TEMP\svchost.exe');
 // Удаление SPI провайдера
 DelSPIByFileName('msnetax.dll', true); 
 AutoFixSPI; 
 // Импорт списка удаленных файлов
 BC_ImportDeletedList; 
 // Чистка ссылок на удаленные файлы 
 ExecuteSysClean;  
 // Активация драйвера Boot Cleaner 
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate; 
 // Перезагрузка 
 RebootWindows(true);  
end.

После выполнения скрипта компьютер автоматически перезагрузится. После этого как всегда - логи для контроля.

[zmirno]

Выполнил скрипт, но комп автоматически не перезагружается. как поступить?

[Зайцев Олег]

Выполнил скрипт, но комп автоматически не перезагружается. как поступить?

Странно - т.е. скрипт выполнился успешно, ошибок не было и перезагрузка не пошла ? Если это так, то нужно выйти из AVZ не выключая AVZGuard и пререзагрузиться вручную

[zmirno]

У меня прервалась связь с Интернетом, но я всё ещё надеюсь на помощь. Все указания выполнил.

Выполнил скрипт. Было сообщение - скрипт выполнен успешно. Но компьютер не перезагрузился автоматически. Завис, пришлось перезагружать вручную. После чего исчезла связь с Интернетом. Локальный администратор проверил параметры – всё в порядке. Но страницы не грузятся. Хотят загружаться с узла res://C:\Windows\system32\shdoclc.dll/dnserror.htm

Еще обнаружил, что не работает Брандауэр.

Ещё раз сканировал при помощи NOD32 – программа удалила два файла из папки Infected – AVZ

D:\AVZ\Infected\2007-02-07\avz00002.dta - Win32/Small.NR троян – удален
D:\AVZ\Quarantine\2007-02-07\avz00005.dta - модифицированный Win32/TrojanProxy.Xorpix троян - удален

Новые логи посылаю с другой машины. Можно ли ещё что-нибудь предпринять?

[Зайцев Олег]

Отлично, видимо зловреды погибли. Далее нужно выполнить скрипт:

Код:

begin
 AutoFixSPI; 
end.

после чего следует перезагрузиться. Если интернет заработает, то повезло, если нет, то нужно выполнить сканирование AVZ (диски можно не отмечать), но перед сканированием следует выставить птичку "Автоматически исправлять ошибки SPI/LSP" на закладке "параметры поиска". После сканирования нужно перезагрузиться.
Если и это не поможет, то в командной строке нужно выполнить команду netsh int ip reset и перезагрузиться.

[zmirno]

Спасибо за помощь. Смогу выполнить рекомендации только завтра к вечеру, обязательно сообщу результаты. Нужно ли сделать и прислать новые логи?

[drongo]

Спасибо за помощь. Смогу выполнить рекомендации только завтра к вечеру, обязательно сообщу результаты. Нужно ли сделать и прислать новые логи?

Не помешает посмотреть что получилось , только присылать не нужно . Логи нужно прикреплять к теме

[zmirno]

Уважаемые помощники, выполнил все три рекомендации поочерёдно. Но интернет так и не появился. Потом стали тормозить и слетать программы, исчез звук и пр. Попытался в Safe Mode сканировать в AVZ, чтобы прислать логи, но программа зависла. Короче, пришлось систему переустанавливать. После переустановки сделал новые логи, посмотрите, пожалуйста, всё ли сейчас в порядке. Ещё вопрос – стоит ли пользоваться CCleaner (я не очень в ней разобрался)?
Спасибо.

[zmirno]

Извините, напоминаю о себе. Посмотрите логи?

[Geser]

Логи чистые