Комп заражон Trojan.generic - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Комп заражон Trojan.generic (http://forum.oszone.net/showthread.php?t=124011)

Комп заражон Trojan.generic

Недавно подхватил у друга на флеху Trojan.generic. У него стоит нод 32 и он его не видит, а у меня каспер и он сразу выдал "обнаружено: потенциально опасное ПО Trojan.generic Процесс: K:\EULRMU.EXE" я запретил выполнения этого процеса! Но после перезагрузки у меня началося тормажение , опера запускается с ошибками, включилась UAC защита (хотя галачка не стоит и не получается её поставить).
Когда вставил другую флеху каспер выдал:"обнаружено: потенциально опасное ПО Worm.P2P.generic Процесс: C:\WINDOWS\SYSTEM32\CSRCS.EXE" я опять запретил. У каспера базы старые (02.2008). Стоит Windows Vista SP1.
Нехочу опять переустанавливать систему, только переустановил после AUTORAN

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
проверьте на virustotal.com, результат сообщите
Multi Password Recovery удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');

 QuarantineFile('K:\wakfqg.exe','');

 QuarantineFile('K:\autorun.inf','');

 QuarantineFile('C:\Windows\system32\cftm.exe','');

 QuarantineFile('c:\windows\system32\csrcs.exe','');

 DeleteFile('c:\windows\system32\csrcs.exe');

 DeleteFile('C:\Windows\system32\cftm.exe');

 DeleteFile('K:\autorun.inf');

 DeleteFile('K:\wakfqg.exe');

 DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');

 DeleteService('mpr_freader');

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

RebootWindows(true);

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe

O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe

Советую выполнить рекомендации по защите от автозапуска
Повторите логи.

А чем Multi Password Recovery плох ?
Я его специально установил, что б просматривать свои логины и пароли.

Цитата:

Цитата ZaYAC-UA

А чем Multi Password Recovery плох ? »

mpr_freader.sys - Dangerous
mpr_freader.sys | ThreatExpert statistics
Можете удалить и после лечения заново установить, но в этом случае при повторном заражении обращайтесь на другой форум, пароли лучше держать в голове.

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
Нет этих файлов почему-тоЧерез тотал комадер смотрел со включеными срытыми файлами, так как в проваднике , когда я включаю показывать скрытые , системные файлы оно через секунды опять меняется и не показует)

K:\wakfqg.exe
K:\autorun.inf
C:\Windows\system32\cftm.exe
c:\windows\system32\csrcs.exe
Так и остались на свох местах

O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
хоть и выбирал их и нажимал на них они всё равно добавляются в автозакрузку и светятся в процесах деспечера задачь.

Зделал первый лог, перезагрузился зделал второй, сделал hijackthis и смотрю, что
O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
Уже нет, в деспечере весит csrcs.exe запущенно аж 2 (пользователь "систем"),
На флехе ( К:/) сколько не удаляй, всё равно создаётся wakfqg.exe и autorun.inf. Если эти файлы удалить с другого компа , они исчезнут, до того как я вставлю в свой!

ZaYAC-UA, Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)?
рекомендации по защите от автозапуска - выполняли?
C:\Windows\system32\cftm.exe по логу больше не наблюдается, если есть удалите вручную, KAV с новыми базами знает зловредов, обновите базы.
Удалите Bonjour Service см. здесь или здесь
c:\program files\ups\ippon_ups.exe - проверьте на virustotal.com
Запустите AVZ через правую кн. мыши от имени администратора, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('c:\windows\system32\csrcs.exe');

 SetServiceStart('mpr_freader', 4);

 QuarantineFile('c:\windows\system32\ice_time.dll','');

 DeleteFile('c:\windows\system32\csrcs.exe');

 DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');

 DeleteFile('K:\autorun.inf');

 DeleteFile('K:\wakfqg.exe');

 DeleteService('mpr_freader');

 DeleteFile('c:\windows\system32\ice_time.dll');

BC_ImportDeletedList;

ExecuteSysClean;

 BC_DeleteFile('K:\wakfqg.exe');

 BC_DeleteFile('c:\windows\system32\csrcs.exe');

 BC_DeleteFile('K:\autorun.inf');

 BC_DeleteSvc('mpr_freader');

BC_Activate;

ExecuteRepair(6);

ExecuteRepair(8);

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

RebootWindows(true);

end.

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

        

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

Скачайте и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Повторите лог virusinfo_syscheck.zip
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Результат проверки файла ippon_ups.exe:

Код:

Файл ippon_ups.exe получен 2008.11.26 14:40:25 (CET)

Антивирус;Версия;Обновление;Результат

AhnLab-V3;2008.11.24.3;2008.11.26;-

AntiVir;7.9.0.35;2008.11.26;-

Authentium;5.1.0.4;2008.11.26;-

Avast;4.8.1281.0;2008.11.26;-

AVG;8.0.0.199;2008.11.26;-

BitDefender;7.2;2008.11.26;-

CAT-QuickHeal;10.00;2008.11.26;-

ClamAV;0.94.1;2008.11.26;-

DrWeb;4.44.0.09170;2008.11.26;-

eSafe;7.0.17.0;2008.11.25;Suspicious File

eTrust-Vet;31.6.6228;2008.11.26;-

Ewido;4.0;2008.11.26;-

F-Prot;4.4.4.56;2008.11.25;-

F-Secure;8.0.14332.0;2008.11.26;-

Fortinet;3.117.0.0;2008.11.26;-

GData;19;2008.11.26;-

Ikarus;T3.1.1.45.0;2008.11.26;-

K7AntiVirus;7.10.533;2008.11.25;-

Kaspersky;7.0.0.125;2008.11.26;-

McAfee;5445;2008.11.25;-

McAfee+Artemis;5445;2008.11.25;-

Microsoft;1.4104;2008.11.26;-

NOD32;3642;2008.11.26;-

Norman;5.80.02;2008.11.26;-

Panda;9.0.0.4;2008.11.25;-

PCTools;4.4.2.0;2008.11.26;-

Prevx1;V2;2008.11.26;-

Rising;21.05.22.00;2008.11.26;-

SecureWeb-Gateway;6.7.6;2008.11.26;-

Sophos;4.35.0;2008.11.26;-

Sunbelt;3.1.1830.2;2008.11.26;-

Symantec;10;2008.11.26;-

TheHacker;6.3.1.1.163;2008.11.25;-

TrendMicro;8.700.0.1004;2008.11.26;PAK_Generic.001

VBA32;3.12.8.9;2008.11.26;-

ViRobot;2008.11.26.1487;2008.11.26;-

VirusBuster;4.5.11.0;2008.11.25;-



Дополнительная информация

File size: 34816 bytes

MD5...: 3f91c48822715371ca07a18530e3682f

SHA1..: 19e6515ea8f7b04d6381bd4b3f045e7034089e3a

SHA256: de49b080ff390b39b50dbfe916a19afe21fe7ae37bc008f95d726605f496c300

SHA512: ac2ac0cafdb1a087ca2a3fc0021e4e5f53f224508cdaeadba912877e53ad2827<BR>6b4001809ee3e58940ca44b82c9e4b90f3bfcb588570152aa83442ab221c9089<BR>

ssdeep: 768:Isu2sKzngv8K9KWWITv1XVXjiWGiuGlqHh:/h35KNXjiFGlqH<BR>

PEiD..: UPX 2.90 [LZMA] -&gt; Markus Oberhumer, Laszlo Molnar &amp; John Reiser

TrID..: File type identification<BR>UPX compressed Win32 Executable (39.5%)<BR>Win32 EXE Yoda's Crypter (34.3%)<BR>Win32 Executable Generic (11.0%)<BR>Win32 Dynamic Link Library (generic) (9.8%)<BR>Generic Win/DOS Executable (2.5%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x418b00<BR>timedatestamp.....: 0x46e1e756 (Sat Sep 08 00:05:42 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name        viradd    virsiz   rawdsiz  ntrpy  md5<BR>UPX0        0x1000   0x10000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<BR>UPX1       0x11000    0x8000    0x7e00   7.88  cacf3759c02fc058d203bfa50c2635a1<BR>.rsrc      0x19000    0x1000     0x600   3.92  d4174098bc37532bd6821e654b4f9af4<BR><BR>( 5 imports )  <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess<BR>&gt; ADVAPI32.dll: RegCloseKey<BR>&gt; ole32.dll: CoInitialize<BR>&gt; POWRPROF.dll: GetPwrCapabilities<BR>&gt; USER32.dll: MessageBoxA<BR><BR>( 0 exports ) <BR>

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

P.S.это програма для безперебойника(вольтаж, раряд батареи,... смотреть)

Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)? - ДА

рекомендации по защите от автозапуска - выполняли? - НЕТ, но уже зделал.

Прикрепляю логи, и щас посмотрю про "Удалите Bonjour Service см. здесь или здесь", так как с начала его не заметил.

В логах чисто. Проблемы ещё наблюдаются?

Да, опера запускается с ошибками, не удатся выключить UAC защиту (хотя галачка не стоит и не получается её поставить), Аимп не хочет воспроизводить музыку ( я его переустанавливал - безтолку) ,PhotoImpact 7 запускается с ошибками! Может надо реестр востанавливать ?

ZaYAC-UA, это уже проблемы, не связанные с вирусами, попробуйте удалить и установить снова данное ПО, по проблемам с конкретными программами можете обратиться в раздел Программное обеспечение Windows