IRC Trojan
 

Раз или два на день Symnantec находит два файла типа: C:\user\{юзер}\appdata\local\temp\dwh3f50.tmp. Причем .tmp всегда разный. Ставил программы для удаления троянов, сканил систему другим антивиром (Авира) - ни чего не находит. Подскажите как с этим бороться?
ОС Vista Ultimate SP1 х64
Avz4 виснет и вылетает

Master-ok, c помощью cureit и AVPTool проверялись? AVZ запускали с правами администратора (прав. кн. мыши - запустить от администратора)? Могли бы и логи DSS сделать по правилам. Деинсталлируйте Trojan Remover

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению.

Попробуйте сделать логи AVZ, запустив его с правами администратора.

А сюда на онлайн проверку заходили ?

Malwarebytes' Anti-Malware после быстрой проверки (полная после ни чего не дала):
Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1141
Windows 6.0.6001 Service Pack 1

11.09.2008 18:38:52
mbam-log-2008-09-11 (18-38-36).txt

Тип проверки: Быстрая
Проверено объектов: 39700
Прошло времени: 2 minute(s), 23 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (Trojan.BHO) -> No action taken.

ComboFix не поддерживает операционку
AVZ4 (как я писал) запускается, но при выполнении 3-го скрипта зависает и вылетает
cureit : mycentriainfobar.dll c:\program files (x86)\mycentria\infobar

Один только лог HJT малоинформативен, нужны др. логи
Combofix and SDFix for Vista ? - MajorGeeks Support Forums
Vista Cleaning Procedure - MajorGeeks Support Forums
A guide and tutorial on using ComboFix
Вы кн. "Remove Selected" нажимали? Или сначала лог открыли, а потом "Remove Selected" нажали?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"
Остановите и удалите сервис appdrvrem01 - пуск - выполнить sc delete appdrvrem01 и файл C:\Windows\System32\appdrvrem01.exe (или можете перенести в др. место)
или выполните в AVZ скрипт
Попробуйте отключить антивирус (или деинсталлировать) и др. защитные программы и сделать логи AVZ и DSS

"Remove Selected" нажал сразу после сканирования
"Fix Checked" сделал, вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ...
А AVZ не за работал ни при каких уловиях. Останавливается после (красным пишет протоколе) Функция user32.dll:DefWindowProcW(151) перехвачена, метод ProcAddressHijack.GetProcAddress->77...

http://www.greatis.com/appdata/d/m/mycent~1.dll.htm

Попробуйте запустить combofix в безопасном режиме.
Попробуйте сделать логи так
AVZ - файл - исследование системы - пуск - сохранить протокол
Если не получится, то в безопасном режиме
AVZ - файл - исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - пуск - сохранить протокол
Запакуйте лог и прикрепите.
Логи DSS тоже не делаются? В таком случае скачайте RSIT и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите RSIT.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла log.txt и info.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из log.txt и info.txt и вставьте (Ctrl+V) скопированный текст из log.txt и info.txt в окно вашего сообщения, если логи окажутся большими, запакуйте файлы log.txt и info.txt и прикрепите к сообщению

Combfix не работает

Master-ok, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Повторите логи AVZ

Вообщем скрипт не выполнился - программа вывалилась с ошибкой (см. выше). Удалил все в ручную. После перезагрузки выкинуло ошибку на запуск программы управления звуковым кодеком СМ6501 (панель в трее тоже не заработала).
Что интересно, при удалении VMix.dll винда говорила о том, что используется другим приложением. Но удалить попыталась, при этом выскочил Symayntec. Были обнаружены файлы как описывал в топе с IRC Trojan

Этот файл скриптом не удалялся, только брался на карантин, проверьте файл на virustotal.com
Вручную удалять чревато, в реестре останется мусор, соответственно при старте могут появиться ошибки (т.к. не чиститься реестр)

Скрипт тут не причем - он не выполнился
это то понятно. Яно одно - этот файл к вирусу отношения не имеет, т.к. даже после его удаления вирус остался ...

Master-ok, по представленным логам, кроме файлов, которые карантились скриптом, не вижу к чему можно придраться. Другими антивирусами проверялись (AVPTool, cureit)?
Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на третью кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте лог и вложите в сообщение.
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

AVPTool, cureit и Avira ни чего не дали. Я и сам удивлен, что ни чего кроме этих tmp-ых файлов не нашел(по этому и обратился к вам).

Master-ok, по логам ничего плохого не видно

Тогда что это? Сегодня опять антивир выдал, но уже 16 файлов :(

С каким диагнозом? Возможно ложное срабатывание, рекомендую временно удалить антивирус SEP (для защиты можете вкл. встроенный брандмауэр), после чего попробуйте сделать нормальные логи AVZ (не забудьте запустить от администратора), ComboFix и Deckard's System Scanner(DSS)
Можете провериться другими антивирусами - free antivirus software , рекомендую (не забудьте обновить антивирусные базы) Avira AntiVir, F-Secure Online Virus Scanner, SUPERAntiSpyware
После проверки можете вернуться к SEP