Снова вылупился - Win32:Warezov. Как придушить гада?

[TauruS]

Доброго времени суток!

03.03.2007 через майлру пролез червь.

Avast! долгое время выдавал сообщения следующего содержания:

03.03.2007 23:22:23 TauruS 244 Sign of "Win32:Warezov-AAV [Wrm]" has been found in "C:\WINDOWS\msys32.exe\[MEW]" file.
04.03.2007 0:03:14 SYSTEM 232 Sign of "Win32:Warezov-BDK [Wrm]" has been found in "C:\WINDOWS\system32\rsmpcomp.dll" file.

.......

...и так далее в том же духе.

Dr.Web никак не реагировал на появления этого паразита, впоследствии сам Др.Вэб был заблокирован, попытки установить другие антивиры (NOD32, Bit Defender) также блокировались.

в безопасном режиме удалось слегка нейтрализовать гада, а затем Каспером еще немного придушить:

удалено: вирус Email-Worm.Win32.Warezov.ls Файл: C:\WINDOWS\system32\e1.dll
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\system32\httpwiad.dll
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\system32\xpobmsr2.exe
удалено: вирус Email-Worm.Win32.Warezov.mf Файл: C:\WINDOWS\Temp\_avast4_\unp46930005.tmp


однако. есть опасения за адекватность и правильность принятых мер.
хотелось бы ознакомиться с мнением специалистов.
логи AVZ и hijackthis прилагаются.
может тут еще какая зараза сидит?

заранее спасибо.

[Numb]

В программе Hijackthis пофиксите строчку:

Код:

O20 - Winlogon Notify: creddgrp - C:\WINDOWS\

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\TauruS\Главное меню\Программы\Автозагрузка\toonel.jar','');
 QuarantineFile('C:\Program Files\hide2tray\mhook.dll','');
 QuarantineFile('C:\Documents and Settings\TauruS\Application Data\Mra\Update\menu.dll','');
 QuarantineFile('c:\program files\hide2tray\hide2tray.exe','');
 QuarantineFile('c:\program files\cdslow.exe','');
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ, как написано в прил.2 правил. Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=8277

[drongo]

Вдогонку к тому что сказал Numb....
C:\WINDOWS\C:\DOCUME~1\TauruS\LOCALS~1\Temp\hpdj.e xe
- скорее гадость, чем от принтера HP запаковать в ZIP с паролем virus и прислать по правилам .

[TauruS]

Спасибо за рекомендации.
скрипт выполнен, строка пофиксена, содержимое карантина выслано.

выполнил повторное обследование системы по правилам.
логи прилагаются.

гадость - C:\WINDOWS\C:\DOCUME~1\TauruS\LOCALS~1\Temp\hpdj.e xe
к сожаленью найти не удалось...
непонятненько...


однако. проведя полное сканирование системы каспером, выяснились следующие недоразумения:

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: C:\Program Files\Total Commander7\Plugins\wcx\MultiArc\Uha.exe//UPX

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: E:\-!!!-DISTRIB-!!!-\-^FILE MANAGERS\--=!TOTALCOM\Total Commander 6.55 PowerPack 1.10 Plus.exe//stream//data0334//UPX

обнаружено: троянская программа Trojan.BAT.Teldoor.b Файл: E:\-!!!-DISTRIB-!!!-\-^FILE MANAGERS\--=!TOTALCOM\Total Commander 7.00 PowerPack 0.20 pro\Total Commander 7.00 PowerPack 0.20 Pro.exe//stream//data0341//UPX

обнаружено: вредоносная программа HackTool.Win32.ICQIpDip Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=LAN\ipdip.rar/ipdip\IPDip 1.0.exe//UPX

обнаружено: вирус Virus.Win9x.CIH.dam Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=PAGERS\ICQ\ПРИМОЧКИ\avx4icq.rar/avx4icq.exe

обнаружено: программа-реклама not-a-virus:AdWare.Win32.Cydoor Файл: E:\-!!!-DISTRIB-!!!-\-^INTERNET\-=КАЧАЛКИ\FLASHGET\FlashGet 1.4\fgf140.exe//WISE0018.BIN/cd_clint.dll//PECompact


шо цэ такэ? вроде ранее не замечалось такого безобразия.

[pig]

В логах чисто, на мой взгляд.

HackTool - судя по названию, детект правильный. Адварь в составе FlashGet - тоже верно, он работает за показ рекламы. А вот трояны в TC и поломатый CIH в аське смахивают на ложные срабатывания. Перепроверьте эти файлы в олайне. Если детект остался - зашлите на разборки на [email protected]

[TauruS]

подкскжите пожалуйста как можно проверить файлы в онлайне. а то я что-то запутался слегка.

[PavelA]

См. тему
http://virusinfo.info/forumdisplay.php?f=73

[TauruS]

проверил.
всем большое спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены