Перейти к содержимому


Фото
- - - - -

Win32.virut.56


  • Закрыто Тема закрыта
17 ответов в этой теме

#1 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Сентябрь 2011 - 22:37

Добрый вечер!

Опишу по порядку свою проблему. Если кратко, то на нескольких машинах обнаружен вирус Win32.Virut.56. Далее описание ситуации в целом.

Имеется обычная домашняя сеть со следующей схемой: роутер + 2 ПК, соединенные с роутером по LAN + 2 ноутбука, соединенные с роутером по WLAN.

Вирус этот появился достаточно давно. Для лечения использовался свежий CureIt, который на ура с ним справлялся. Но через некоторое время этот вирус вновь всплывал, т.е. лечение до конца не проводилось.

Теперь решено провести капитальную чистку от вирусов, в частности навсегда хочется покончить с Virut.56. Его принцип работы приблизительно представляю, но он умудрялся даже попадать как-то на отфарматированную машину... В общем, жизни от него совершенно нет.

Прилагаю все необходимые логи с каждой машины. Очень рассчитываю на Вашу помощь.

Давайте, чтобы не было путаницы, я буду называть архивы со всеми логами для каждой машины как pc1, pc2, pc3, pc4. Соответственно, в дальнейшем хотелось бы получать указания по конкретным машинами, например, "на pc1 сделайте то-то". Буду благодарен за соблюдение данной схемы.

В архивах содержатся логи CureIt, HiJackThis, SysInfo, RkU.

Прикрепленные файлы:

  • Прикрепленный файл  pc1.rar   72,28К   6 Скачано раз
  • Прикрепленный файл  pc2.rar   221,34К   6 Скачано раз
  • Прикрепленный файл  pc3.rar   180,49К   5 Скачано раз
  • Прикрепленный файл  pc4.rar   331,38К   5 Скачано раз


#2 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 09 Сентябрь 2011 - 22:48

Добрый вечер!

Опишу по порядку свою проблему. Если кратко, то на нескольких машинах обнаружен вирус Win32.Virut.56. Далее описание ситуации в целом.

Имеется обычная домашняя сеть со следующей схемой: роутер + 2 ПК, соединенные с роутером по LAN + 2 ноутбука, соединенные с роутером по WLAN.

Вирус этот появился достаточно давно. Для лечения использовался свежий CureIt, который на ура с ним справлялся. Но через некоторое время этот вирус вновь всплывал, т.е. лечение до конца не проводилось.

Теперь решено провести капитальную чистку от вирусов, в частности навсегда хочется покончить с Virut.56. Его принцип работы приблизительно представляю, но он умудрялся даже попадать как-то на отфарматированную машину... В общем, жизни от него совершенно нет.

Прилагаю все необходимые логи с каждой машины. Очень рассчитываю на Вашу помощь.

Давайте, чтобы не было путаницы, я буду называть архивы со всеми логами для каждой машины как pc1, pc2, pc3, pc4. Соответственно, в дальнейшем хотелось бы получать указания по конкретным машинами, например, "на pc1 сделайте то-то". Буду благодарен за соблюдение данной схемы.

В архивах содержатся логи CureIt, HiJackThis, SysInfo, RkU.



pc2


O4 - HKUS\S-1-5-18\..\Run: [kiie] C:\Windows\System32\config\systemprofile\AppData\Roaming\t1tvgqb.exe (User 'система')
O4 - HKUS\S-1-5-18\..\Run: [fj849u] C:\Windows\System32\config\systemprofile\AppData\Roaming\2dgic.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [kiie] C:\Windows\System32\config\systemprofile\AppData\Roaming\t1tvgqb.exe (User 'Default user')

проверьте эти 3 екзешкина на VT http://www.virustotal.com/ru/

Если Доктор не знает в Вирлаб...и потом фикс.

pc3

O4 - HKUS\S-1-5-18\..\Run: [j949u33] C:\Windows\System32\config\systemprofile\AppData\Roaming\gicu4z.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [j949u33] C:\Windows\System32\config\systemprofile\AppData\Roaming\gicu4z.exe (User 'Default user')

тоже самое

Сообщение было изменено Dmitry Shutov: 09 Сентябрь 2011 - 22:50


#3 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 09 Сентябрь 2011 - 22:57

рс4

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe - не место ему здесь
O4 - HKLM\..\Policies\Explorer\Run: [apps] C:\Windows\system32\eghmi3.exe
O4 - HKUS\S-1-5-18\..\Run: [mqfaf] C:\Windows\System32\config\systemprofile\AppData\Roaming\99knoj0.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [mqfaf] C:\Windows\System32\config\systemprofile\AppData\Roaming\99knoj0.exe (User 'Default user')

И почему не на одно машине не установлен АВ?

Сообщение было изменено Dmitry Shutov: 09 Сентябрь 2011 - 23:00


#4 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Сентябрь 2011 - 23:17

На VT детектит вирусы в этих экзешниках. Вообще в этой папке (Roaming) много сомнительных .exe файлов и не только.

Все их просто удалять?

#5 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 09 Сентябрь 2011 - 23:23

На VT детектит вирусы в этих экзешниках. Вообще в этой папке (Roaming) много сомнительных .exe файлов и не только.

Все их просто удалять?



Так....покажите ссылки на все exe....что я выше указал (результаты VT), если нет детекта Drweb...отошлите сюда https://vms.drweb.com/sendvirus/

после этого продолжим....


t1tvgqb.exe, 2dgic.exe, t1tvgqb.exe, gicu4z.exe,

C:\Windows\system32\regedit.exe
C:\Windows\system32\eghmi3.exe
С:\Windows\System32\config\systemprofile\AppData\Roaming\99knoj0.exe

Вот этих..результаты с VT

Сообщение было изменено Dmitry Shutov: 09 Сентябрь 2011 - 23:26


#6 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Сентябрь 2011 - 23:40

pc3

http://www.virustotal.com/file-scan/report...7c01-1315599592

По Вашей просьбе добавил в вируслаб.

pc2

http://www.virustotal.com/file-scan/report...d284-1315598378
http://www.virustotal.com/file-scan/report...1ee4-1315598465

Тоже сейчас добавлю.

Сообщение было изменено indie: 09 Сентябрь 2011 - 23:42


#7 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Сентябрь 2011 - 23:52

pc4

http://www.virustotal.com/file-scan/report...a619-1315601038

Остальные файлы уже были удалены.

#8 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:01

pc4

http://www.virustotal.com/file-scan/report...a619-1315601038

Остальные файлы уже были удалены.




Отправьте в лабораторию....https://vms.drweb.com/sendvirus/ с запросом (Вирус не определяемый DrWeb).

#9 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:03

Вы умеете пользоваться утилитой? HiJackThis?

Нужно будут в ней кое что исправить....но перед этим вирусы вышлите...

#10 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:05

Я выслал этот файл как возможный вирус, т.к. только 4 антивируса определили его как вирус.
Остальные выслал как вирусы, не определяемые DrWeb.

Проблем с использованием ПО нет, так что можно приступить.

#11 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:11

РС2

Запускаем....HiJackThis - Do a system scan only

и ставим галки на против....

O4 - HKUS\S-1-5-18\..\Run: [kiie] C:\Windows\System32\config\systemprofile\AppData\Roaming\t1tvgqb.exe (User 'система')
O4 - HKUS\S-1-5-18\..\Run: [fj849u] C:\Windows\System32\config\systemprofile\AppData\Roaming\2dgic.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [kiie] C:\Windows\System32\config\systemprofile\AppData\Roaming\t1tvgqb.exe (User 'Default user')
O23 - Service: MouseDriver - Unknown owner - C:\Windows\System32\config\systemprofile\AppData\Roaming\MouseDriver.batC:\Windows\System32\config\systemprofile\AppData\Roaming\MouseDriver.bat

MouseDriver.bat - тоже в Вирлаб отправте.

и жмем Fix checked.


РС3

Запускаем....HiJackThis - Do a system scan only

и ставим галки на против....

O4 - HKUS\S-1-5-18\..\Run: [j949u33] C:\Windows\System32\config\systemprofile\AppData\Roaming\gicu4z.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [j949u33] C:\Windows\System32\config\systemprofile\AppData\Roaming\gicu4z.exe (User 'Default user')

и жмем Fix checked.

РС4

Запускаем....HiJackThis - Do a system scan only

и ставим галки на против....

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe
O4 - HKLM\..\Policies\Explorer\Run: [apps] C:\Windows\system32\eghmi3.exe
O4 - HKUS\S-1-5-18\..\Run: [mqfaf] C:\Windows\System32\config\systemprofile\AppData\Roaming\99knoj0.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [mqfaf] C:\Windows\System32\config\systemprofile\AppData\Roaming\99knoj0.exe (User 'Default user')

и жмем Fix checked.

Сообщение было изменено Dmitry Shutov: 10 Сентябрь 2011 - 00:15


#12 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:26

Потом все эти файлы удалить....Установить антивирус...


http://greatis.com/blog/virus/eghmi3-exe.htm..вот посмотрите....где еще может на следить...

#13 indie

indie

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:26

Все сделал, как Вы сказали.
Файл выслал в вируслаб.

#14 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 348 Сообщений:

Отправлено 10 Сентябрь 2011 - 00:35

Все сделал, как Вы сказали.
Файл выслал в вируслаб.




в личку я вам написал...(рекомендацию), завтра Хелперы детально посмотрят ваши логи.

Сделайте повторно только логи HiJackThis PC2,PC3,PC4.

#15 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 10 Сентябрь 2011 - 01:17

Хелперы детально посмотрят ваши логи.

Никакого смысла смотреть нету - пока детектится Вирут, повторного заражения не избежать. :lol:
С уважением,
Борис А. Чертенко aka Borka.

#16 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 10 Сентябрь 2011 - 07:20

Нужно полностью сканировать всю машину..вирут это файловый вирус...
http://vms.drweb.com/virus/?i=385780

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#17 ursawarion

ursawarion

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 25 Февраль 2016 - 21:33

подтверждаю очень живучии вирус, удалился не сразу



#18 VVS

VVS

    The Master

  • Moderators
  • 17 491 Сообщений:

Отправлено 25 Февраль 2016 - 21:48

ursawarion, писать что-то в тему, последняя активность в которой была более 4-х лет тому назад - это называется некропостингом.

Умение словить вирус, с которым разобрались в то же время... я даже не знаю, как это называется. :facepalm:

Тема закрыта.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых