TR/Spy

[a1ess]

Здравствуйте!
У меня случилась беда, в моем компьютере поселился вирус TR/Spy (так его определяет антивирус avira)
Через некоторое время после удаления с помощью антивируса "слетает" процесс svhost и комп жутко тормозит.
У меня ОС Windows Xp SP-3, очень надеюсь на Вашу квалифицированную помощь! Заранее благодарен!!!

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-2795478566-9162544443-715606311-5150\syscr.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('1.exe','');
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\36.exe','');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 DeleteFile('1.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
 DeleteFile('C:\RECYCLER\S-1-5-21-2795478566-9162544443-715606311-5150\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[a1ess]

пРисылаю новые логи (вроде не помогло), так же слитает процесс svhost, лог mbam выполнил но прикрепить не смог так как нету команды "выполнить" пишет что операция отменена в виду ограничений на компе обратитесь к администратору сети...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
 DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeARMS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + попробуйте сделать еще раз и прикрепить лог МВАМ

[a1ess]

все сделал прикрепляю...

[thyrex]

Удалите в МВАМ

Код:

Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-3157229389-5888237044-271473636-9083\syscr.exe,explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
C:\RECYCLER\S-1-5-21-3157229389-5888237044-271473636-9083\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-6290256474-5384820813-122642811-6878\syscr.exe (Worm.Autorun.B) -> No action taken.

[polword]

- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip

[a1ess]

Стал жестко глючить интернет, такое ощущение что он мне мешает загрузить на сайт все необходимые приложения...еле еле залил....

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[a1ess]

хоть бы помогло, посмотрите пожалуйста я все сделал как Вы написали...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe','');
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk','');
 QuarantineFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('explorer.exe,C:\Documents and Settings\Коля и Катя\Application Data\ltzqai.exe,Explorer.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи (полный комплект) + лог МВАМ

[a1ess]

высылаю...

[polword]

C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk- что это такое в автозагрузке? Знаете, сами прописывали?

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении.

[a1ess]

все сделал...

[a1ess]

C:\Documents and Settings\Коля и Катя\Главное меню\Программы\Автозагрузка\mns.ru.lnk- что это такое в автозагрузке? Знаете, сами прописывали?

Да сам, это VPN соединение с интернет провайдером Matrix Network SOlution (MNS)

[polword]

больше плохого нет

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[a1ess]

Нашел 1 уязвимость (обновить Adobe Reader), обновил вроде теперь криминала нет.

Ребята!
Я хочу Вам выразить искреннюю признательность! Вы делаете благое дело, Вы настоящие профессионалы своего дела! Вы спасли наш отпуск, без ноутбука и фильмы не посмотреть! Огромное Вам человеческое спасибо!!!!Молодцы!!!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\коля и катя\application data\ltzqai.exe - Trojan.Win32.Agent.etji ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
  2. c:\documents and settings\коля и катя\application data\ltzqai.exe - Trojan.Win32.Agent.etge ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Worm.P2P.Palevo.BK, AVAST4: Win32:AutoRun-BNA [Wrm] )
  3. c:\recycler\s-1-5-21-1846412112-7175387440-112696943-7536\syscr.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
  4. c:\windows\cfdrive32.exe - Trojan.Win32.VB.aixv ( DrWEB: Trojan.Packed.20805, BitDefender: Trojan.Agent.VB.BOJ, AVAST4: Win32:Malware-gen )
  5. c:\windows\system32\36.exe - Backdoor.Win32.IRCBot.pze ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Delf.PYM, AVAST4: Win32:Malware-gen )
  6. c:\windows\system32\53.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )
  7. c:\windows\system32\64.exe - Trojan.Win32.Agent.etpf ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Agent.AQIW, AVAST4: Win32:AutoRun-BNA [Wrm] )