Трояны возвращаются

[Andrey_s]

Часто стали обнаруживаться трояны, и даже после их удаления из карантина AVG (9 Free).

Название Downloader.Agent2.AUVY

Находятся чаще в D:\System Volume Information\_restore{...........}\RP906\... и здесь экзешный файл типа "A0236128.exe"

Система: Windows XP Pro SP3

 

Проделали процедуру по рекомендации http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Выкладываю 3 ЛОГА, ПОЖАЛУЙСТА, посмотрите - на что обратить внимание?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Andrey_s,

добро пожаловать на форум!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\303be.msi','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6757465501768265733.tmp','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6631454668982819242.tmp','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C5.tmp','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C4.tmp','');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C4.tmp');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C5.tmp');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6631454668982819242.tmp');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6757465501768265733.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) -  - (no file)

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Andrey_s]

Выкладываю лог Malwarebytes' Anti-Malware.

 

Можно ли удалить зараженный объект реестра, который находится сейчас в Карантине?

 

И можно ли - остальные 4 зараженные файла?

mbam_log_2011_09_26__01_57_57_.txt

[Roman_Five]

Можно ли удалить

 

Удалите в MBAM ТОЛЬКО следующие объекты:

c:\documents and settings\Андрей\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Проверьте на virustotal.com

c:\program files\avs video converter 7.1.3.484\patch\avs4you.all.products.activator.v1.3b-mpt.exe
d:\z_my_comp.programm\icon_empire_iconomaker_v320-1025-102064651.exe

2 ссылки на результат проверки приложите.

 

Сделайте контрольные логи по правилам.

что с проблемой?

[Andrey_s]

Первое выполнили.

Прикрепляю лог после MBAM

 

а чтобы проверить на virustotal.com вот эти файлы:

c:\program files\avs video converter 7.1.3.484\patch\avs4you.all.products.activator.v1.3b-mpt.exe

d:\z_my_comp.programm\icon_empire_iconomaker_v320-1025-102064651.exe

не удается найти (видим их только в Карантине МВАМ)

 

Проверили еще МВАМом - пишет всё чисто.

 

Контрольные логи вкладываю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2011_09_26__19_25_38_.txt

[Roman_Five]

не удается найти (видим их только в Карантине МВАМ)

Вы их поспешили удалить.

 

всё чисто.

 

деинсталлируйте MBAM.

[Andrey_s]

Вы их поспешили удалить.

 

всё чисто.

 

деинсталлируйте MBAM.

 

А из карантина МВАМ их можно удалить?

 

и

 

можно ли параллельно с KIS

пользоваться время от времени проверкой МВАМом?

[Tiare]

Andrey_s, файлы из карантина программы удаляются при ее деинсталляции.

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

Если будет необходимость, сможете всегда заново установить программу и провести проверку. Установочный файл же у вас сохраняется)

Изменено 29 сентября, 2011 пользователем Tiare

[Andrey_s]

Roman_Five и Tiare огромное вам спасибо!

[akoK]

пользоваться время от времени проверкой МВАМом?

 

Если не активировать платные функции MBAM, то можно использовать программу как сканер по требованию. Учтите, что MBAM не любит варез и часты ложные срабатывания.

[Andrey_s]

частые ложные срабатывания.

 

Можете уточнить, что это значит - на каком-то примере.

[akoK]

ммм... маил агент, системные файлы помеченные как зараженные, кейгены, кряки.....