Избавиться от Stration.XJ worm

[borilio]

Всем привет!

НОД32 с обновленными базами в среднем каждые 10 минут выдает сообщение с таким содержанием:

Object: file
Name: C:\WINDOWS\System32\msrdwint.exe
Threat: a variant of Win32/Stration.XJ worm
Action: quarantined - deleted
User: NT AUTHORITY\SYSTEM
Information: Event occurred on a new file created by the application \??\C:\WINDOWS\system32\winlogon.exe

Производил полную проверку НОД32 с последними на сегодняшний день базами. Ничего не находит. А через некоторое время опять появляется это сообщение про msrdwint.exe и про то, что он в очередной раз отправил его на карантин.

Пожалуйста, помогите кто чем может!

[pig]

Я склонен согласиться с мнением NOD.
AVZ - Файл - Выполнить скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\msrdwint.dll','');
 QuarantineFile('c:\windows\system32\msrdwint.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7974_quarantine.zip');
 DeleteFile('c:\windows\system32\msrdwint.exe');
 DeleteFile('C:\WINDOWS\system32\msrdwint.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки пришлите файл virusinfo_7974_quarantine.zip из каталога AVZ через ссылку Прислать запрошенные файлы.
Затем сделайте новые логи.

[borilio]

Выполнил скрипт.
Отправил файл virusinfo_7974_quarantine.zip.
Сделал новые логи.

[pig]

Зверь помер, больше ничего не видно. Пофиксите:

Код:

O20 - Winlogon Notify: msrdwint - C:\WINDOWS\

С MySQL, наверное, сами разберётесь, а то там что-то странное:

Код:

O23 - Service: MySQL - Unknown owner - c:\Program.exe (file missing)

[borilio]

Пофиксите:

Код:

O20 - Winlogon Notify: msrdwint - C:\WINDOWS\

Пофиксил. Спасибо, за помощь!

С MySQL, наверное, сами разберётесь, а то там что-то странное:

Код:

O23 - Service: MySQL - Unknown owner - c:\Program.exe (file missing)

Даже не знаю что это может быть. Файла c:\Program.exe действительно нет.

Сейчас, когда фиксил строку O20 обратил внимание, что кроме этой странной строки с MySQL есть еще и такая про Apache

Код:

O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)

Но если в случае с MySQL файл c:\Program.exe действительно не существует, то C:\Program Files\Apache Group\Apache\Apache.exe вполне нормально существует и исправно работает, запуская сервер как служба каждый раз при старте системы.

Есть ли какой-нибудь совет как поступить с этими двумя странными строками? Оставить как есть или тоже пофиксить?

[PavelA]

HijackThis не понимает сервисов, которые запускаются с параметрами.

Так что строчка про Апач вполне законная.

[pig]

А относительно MySQL - в таком виде сервису у вас точно нечего делать. Если MySQL вам нужен - переустановите сервис. Если нет - пофиксите.

[borilio]

Большое спасибо за помощь! Ваш ресурс вселяет надежду и вызывает уважение.
Всем удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\msrdwint.dll - Email-Worm.Win32.Warezov.la (DrWEB: Win32.HLLM.Limar)
  2. c:\\windows\\system32\\msrdwint.exe - Email-Worm.Win32.Warezov.ka (DrWEB: Win32.HLLM.Limar)