Регулярно появляются шпионы со случайными именами

@Zoominger · Регистрация: 22.06.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте! Время от времени появляются вирусы:

В системных папках на обоих жёстких дисках, причём обнаружились случайно при сканировании Авастом (регулярно обновляется) и теперь там примерно раз в пять дней вылавливается по одному вирусу с подобным названием. При вскрытии exe - шника обнаружились 4 скрипта (?) Что это могут быть за черви и откуда они берутся? Так же уже 2 раза отлавливался баннер, происывавшийся в автозагрузку.
И ещё такой вопрос - при запуске Аваст нашёл батник Sh.bat, я в нём покопался - там скрытая команда, что - то делающая с обозревателем IE. Я его запустил, и он кажется его удалил) Откуда они могут взяться?

@Zoominger · 17.07.2010, 20:55 **[ТС]**

??? Жду уже больше недели)

@FilipFray · 18.07.2010, 02:19

Проблемы еще наблюдаются?
Подготовьте новый комплект логов (AVZ, HijackThis, RSIT). AVZ обновите до версии 4.34.

Код

C:\WINDOWS\system32\vtfcolumnext.dll
C:\WINDOWS\system32\VTFLib.dll
C:\Program Files\Progr 6.0\MSVBVM60.DLL

Проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки. Жмите кнопку "Повторить анализ сейчас", если будет указанно, что "Файл уже проанализирован".

@Zoominger · 24.07.2010, 11:23 **[ТС]**

Проблемы наблюдаются. Теперь некоторые вирусы не детектируются Авастом, сегодня нашёлся ещё один. Такие дела.
Internet Explorer, между прочим, зависает почему - то, особенно при вставке ссылки на virustotal)
Ссылки:
vtfcolumnext.dll:

https://www.virustotal.com/ru/... 1279955616

(ничего нет)

VTFLib.dll:

https://www.virustotal.com/ru/... 1279919322

(ничего нет)

Так же был проверен один файл со случайным именем - 27 антивирусов нашли Backdoor, ссылку посеял.

Логи сейчас будут... Спасибо за ответ.

@Zoominger · 24.07.2010, 11:54 **[ТС]**

В логах нашёлся кейлоггер (C:\Program Files\Common Files\keylog.txt),
C:\WINDOWS\system32\lzzmtfr.exe - троян (https://www.virustotal.com/ru/... 1279956624),
C:\WINDOWS\system32\wbwywg.exe даже проверять не стал - видно, что вирь.
Так - то.

@FilipFray · 24.07.2010, 14:45

c:\documents and settings\all users.windows\anyplace control 4\svcadmin.exe - утилиту удаленного администрирования устанавливали?
C:\Program Files\SchoolPak\NCD.EXE, C:\Program Files\SchoolPak\TURBOD.EXE - программы известны?

Код

C:\Program Files\IM Magician\Vicamon.exe
D:\Program Files\Magic Memory Optimizer\MagicMemoryOptimizer.exe
D:\Program Files\Smart PC Solutions\Smart PC\SmartPCBooster.exe

Программы известны?

Пофиксить в HijackThis

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,userinit.exe

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\wbwywg.exe','');
 QuarantineFile('C:\WINDOWS\system32\lzzmtfr.exe','');
 QuarantineFile('C:\Program Files\Common Files\keylog.txt','');
 DeleteFile('C:\WINDOWS\system32\wbwywg.exe');
 DeleteFile('C:\WINDOWS\system32\lzzmtfr.exe');
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните после перезагрузки

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

Проблем с безопасным режимом нет?

Повторите логи HijackThis, RSIT, virusinfo_syscheck.zip

@Zoominger · 24.07.2010, 17:05 **[ТС]**

c:\documents and settings\all users.windows\anyplace control 4\svcadmin.exe - утилиту удаленного администрирования устанавливали?

Да, недавно совсем, снёс вчера только, но не полностью.

C:\Program Files\SchoolPak\NCD.EXE, C:\Program Files\SchoolPak\TURBOD.EXE - программы известны?

Да, это Турбо Паскаль с компиляторами.

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,userinit.exe

Оно постоянно появляется...

В папке с AVZ появится архив с именем quarantine.zip, отправьте его

Отправил.

Проблем с безопасным режимом нет?

Недавно проверял - вроде нет. Перезагрузка для компьютера - очень большая проблема.

Логи сейчас сделаю...

@Zoominger · 24.07.2010, 17:27 **[ТС]**

Вот...

@thyrex · 24.07.2010, 18:18

Плохого не видно.

Установите верную системную дату

@Zoominger · 24.07.2010, 18:59 **[ТС]**

Установил) Логи повторить?

@thyrex · 24.07.2010, 20:33

Зачем, если

Сообщение от thyrex

Плохого не видно.

@Zoominger · 24.07.2010, 22:13 **[ТС]**

Что ж... Поживём - увидим)
А пока - спасибо большое)

@Zoominger · 24.07.2010, 23:31 **[ТС]**

Включил Combo Fix - внезапно - заработал. Лог вложил.

@thyrex · 25.07.2010, 01:44

c:\windows\regedit.exe проверьте на virustotal
Ссылку на результат проверки сообщите

@Zoominger · 25.07.2010, 12:50 **[ТС]**

http://www.virustotal.com/ru/a... 1280047513

файла regedit.exe небыло, был regedt.exe. ComboFix обнаружил в нём вирус и заменил.
Редактор реестра запускается.

@Zoominger · 29.07.2010, 11:05 **[ТС]**

В общем - то, ничего не изменилось. В папке Common Files лежит кейлоггер, в HiJackThis снова строка про userinit, где он пишет что типа будет загружать два файла. Ну я кейлог вручную удалил, удалил файлы, которые должны загрузиться и удалил строку.

Добавлено через 21 минуту
Всё равно keylog.txt появляется(
А я его снова удалил, создал с таким же именем и поставил атрибут "Только чтение". Терь не обновляется)))

@FilipFray · 29.07.2010, 11:20

Вирусы пробираются через уязвимости в О.С. или ПО.

Сделайте новый комплект логов.

После лечения создайте учетную запись с правами пользователя и старайтесь работать только в ней. Используйте учетную запись с правами администратора только в экстренных случаях.
Почитайте книгу http://security-advisory.virusinfo.info/ В ней приводятся некоторые советы, которые могут поспособствовать повышению безопасности компьютера. Предупреждаю, что слепо следовать советам книги я не рекомендую. Все зависит от того, как и для каких целей используется компьютер.

@Zoominger · 29.07.2010, 12:14 **[ТС]**

Насчёт новой учётной записи - что - то там не сростается. Можно, конечно, с правами пользователей помутить...
Логи выложены. Строку с userinit`ом удалил. В папке WINDOWS появилась кучка файлов - на virustotal их принимает за вирусы около двух антивирусов.

@FilipFray · 29.07.2010, 13:51

Разработчик правил проектирования топологии (Product Engineer) 2000-2500$ - удалите ComboFix

Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код

begin
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сканирование запущено в 31.12.2001 23:05:19

Установите правильную системную дату.

Внимание !!! База поcледний раз обновлялась 22.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.34

Обновите базы AVz. Последние базы выпущены 28.07.2010 16:03.

Повторите только логи AVZ.

@Zoominger · 29.07.2010, 14:38 **[ТС]**

Базы обновил, дату поставил, ComboFix удалил.

@FilipFray · 29.07.2010, 16:14

c:\32788r22fwjfw\cmd.cfxxe - известно? Если не известно, тогда проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки. Жмите кнопку "Повторить анализ сейчас", если будет указанно, что "Файл уже проанализирован".

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код

begin
 DeleteFile('C:\ComboFix\catchme.sys');
 BC_DeleteSvc('catchme');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите virusinfo_syscheck.zip.

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	24.07.2010, 17:05 [ТС]	26
	c:\documents and settings\all users.windows\anyplace control 4\svcadmin.exe - утилиту удаленного администрирования устанавливали? Да, недавно совсем, снёс вчера только, но не полностью. C:\Program Files\SchoolPak\NCD.EXE, C:\Program Files\SchoolPak\TURBOD.EXE - программы известны? Да, это Турбо Паскаль с компиляторами. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,userinit.exe Оно постоянно появляется... В папке с AVZ появится архив с именем quarantine.zip, отправьте его Отправил. Проблем с безопасным режимом нет? Недавно проверял - вроде нет. Перезагрузка для компьютера - очень большая проблема. Логи сейчас сделаю... 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.07.2010, 20:33	30
	Зачем, если Сообщение от thyrex Плохого не видно. 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	29.07.2010, 11:05 [ТС]	35
	В общем - то, ничего не изменилось. В папке Common Files лежит кейлоггер, в HiJackThis снова строка про userinit, где он пишет что типа будет загружать два файла. Ну я кейлог вручную удалил, удалил файлы, которые должны загрузиться и удалил строку. Добавлено через 21 минуту Всё равно keylog.txt появляется( А я его снова удалил, создал с таким же именем и поставил атрибут "Только чтение". Терь не обновляется))) 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	29.07.2010, 11:20	36
	Вирусы пробираются через уязвимости в О.С. или ПО. Сделайте новый комплект логов. После лечения создайте учетную запись с правами пользователя и старайтесь работать только в ней. Используйте учетную запись с правами администратора только в экстренных случаях. Почитайте книгу http://security-advisory.virusinfo.info/ В ней приводятся некоторые советы, которые могут поспособствовать повышению безопасности компьютера. Предупреждаю, что слепо следовать советам книги я не рекомендую. Все зависит от того, как и для каких целей используется компьютер. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	29.07.2010, 16:14	40
	c:\32788r22fwjfw\cmd.cfxxe - известно? Если не известно, тогда проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки. Жмите кнопку "Повторить анализ сейчас", если будет указанно, что "Файл уже проанализирован". На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы! Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код begin DeleteFile('C:\ComboFix\catchme.sys'); BC_DeleteSvc('catchme'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Повторите virusinfo_syscheck.zip. 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	17.07.2010, 20:55 [ТС]	21
	??? Жду уже больше недели) 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	18.07.2010, 02:19	22
	Проблемы еще наблюдаются? Подготовьте новый комплект логов (AVZ, HijackThis, RSIT). AVZ обновите до версии 4.34. Код C:\WINDOWS\system32\vtfcolumnext.dll C:\WINDOWS\system32\VTFLib.dll C:\Program Files\Progr 6.0\MSVBVM60.DLL Проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки. Жмите кнопку "Повторить анализ сейчас", если будет указанно, что "Файл уже проанализирован". 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	24.07.2010, 11:23 [ТС]	23
	Проблемы наблюдаются. Теперь некоторые вирусы не детектируются Авастом, сегодня нашёлся ещё один. Такие дела. Internet Explorer, между прочим, зависает почему - то, особенно при вставке ссылки на virustotal) Ссылки: vtfcolumnext.dll: https://www.virustotal.com/ru/... 1279955616 (ничего нет) VTFLib.dll: https://www.virustotal.com/ru/... 1279919322 (ничего нет) Так же был проверен один файл со случайным именем - 27 антивирусов нашли Backdoor, ссылку посеял. Логи сейчас будут... Спасибо за ответ. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	24.07.2010, 14:45	25
	c:\documents and settings\all users.windows\anyplace control 4\svcadmin.exe - утилиту удаленного администрирования устанавливали? C:\Program Files\SchoolPak\NCD.EXE, C:\Program Files\SchoolPak\TURBOD.EXE - программы известны? Код C:\Program Files\IM Magician\Vicamon.exe D:\Program Files\Magic Memory Optimizer\MagicMemoryOptimizer.exe D:\Program Files\Smart PC Solutions\Smart PC\SmartPCBooster.exe Программы известны? Пофиксить в HijackThis Код F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,userinit.exe На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы! Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\wbwywg.exe',''); QuarantineFile('C:\WINDOWS\system32\lzzmtfr.exe',''); QuarantineFile('C:\Program Files\Common Files\keylog.txt',''); DeleteFile('C:\WINDOWS\system32\wbwywg.exe'); DeleteFile('C:\WINDOWS\system32\lzzmtfr.exe'); DeleteFile('C:\Program Files\Common Files\keylog.txt'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. Выполните после перезагрузки Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему. Проблем с безопасным режимом нет? Повторите логи HijackThis, RSIT, virusinfo_syscheck.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.07.2010, 18:18	28
	Плохого не видно. Установите верную системную дату 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	24.07.2010, 18:59 [ТС]	29
	Установил) Логи повторить? 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	24.07.2010, 22:13 [ТС]	31
	Что ж... Поживём - увидим) А пока - спасибо большое) 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.07.2010, 01:44	33
	c:\windows\regedit.exe проверьте на virustotal Ссылку на результат проверки сообщите 0

@Zoominger 368 / 256 / 65 Регистрация: 22.06.2010 Сообщений: 1,566
	25.07.2010, 12:50 [ТС]	34
	http://www.virustotal.com/ru/a... 1280047513 файла regedit.exe небыло, был regedt.exe. ComboFix обнаружил в нём вирус и заменил. Редактор реестра запускается. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	29.07.2010, 13:51	38
	Разработчик правил проектирования топологии (Product Engineer) 2000-2500$ - удалите ComboFix Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код begin ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. Сканирование запущено в 31.12.2001 23:05:19 Установите правильную системную дату. Внимание !!! База поcледний раз обновлялась 22.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.34 Обновите базы AVz. Последние базы выпущены 28.07.2010 16:03. Повторите только логи AVZ. 1