Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите пожалуйста! (заявка № 103629)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47

    Помогите пожалуйста!

    Только что снял синий баннер с компьютера. Просил закинуть 400 рублей на МТС номер. Грозился убить жесткий диск и BIOS.

    Перейду к делу. Почитав форумы у друзей, сразу удалил файл
    Documents and Settings/All Users/Application Data/22CC6C32.exe (подпись Rot and Grasp и Sweep Greed (Версия файла 120.35.78.90) Размер 22*528 байт.

    Программа AWL выдала что этот файл заменил собой стандартный USERINIT.EXE. Этот файл я копировал и упаковал в RAR. Если кому надо - скину.

    Продолжу общение о проблеме.
    Решил почистить автозагрузку. Увидел netprotocol.exe которого раньше НЕ БЫЛО В АВТОЗАГРУЗКЕ. Пройдя в каталог C:/Documents and Settings/Admin/Application Data. Данные о файле таковы: Подпись Delay Kick(Как удар с задержкой) и Poetry Soon Pore. Рядом с ним файлы с такой же подписью:
    b2_res.exe
    netprotdrvss.exe
    Если кто не знал, процесс netprotocol.exe загрузил на компьютер баннер снова, как я понял.

    Почитав далее, удалил эти файлы(тоже архивированны).
    Читая заметил что требуется проверить каталог Temp.
    Там обнаружены 2 странных файла:
    0.205673000070322.exe
    conime32.exe
    У обоих подпись состоит из набора букв. Обе подписи одинаковы.

    Погуглив немного, узнал что conime32.exe это системный файл.
    Проверил директорию system32 - тут странный аналог conime32.
    Не удалить не скопировать его нельзя. Прочитав лог hijackthis увидел что при перезагрузке он что-то сотворит с компом. Прошу помощи профессионалов! Извините за то что так много слов - писал всё максимально точно! Жду ответов 24/7. Компьютер не перезагружаю.

    Прилагаю лог HiJackThis. Не прилагаю лог AVZ т.к. при поиске опасностей ничего не было обнаружено. Помогите окончательно убибь червя!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте.
    Цитата Сообщение от Chep Посмотреть сообщение
    Если кому надо - скину.
    Загрузите через красную ссылку "Прислать запрошенный карантин" наверху темы.
    Цитата Сообщение от Chep Посмотреть сообщение
    Не прилагаю лог AVZ т.к. при поиске опасностей ничего не было обнаружено.
    Не, именно он нам и нужен, приложите.

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Вирус и его "порождения" загружены.
    Прилагаю лог AVZ.
    Не обращайте внимания на .scr файлы в логе. Вирус не активен. Всего лишь остатки.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Нам нужны логи virusinfo_syscure.zip и virusinfo_syscheck.zip

    Также сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Прилагаю.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и переделайте логи.

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Ой, извиняйте. Забыл лог Malwarebytes Anti-Malware. Держите.
    Кстати, после установки программы она стала ловить входящие вредоносные IP. Вроде на 89. начинается. Файлы не трогал.

  9. #8
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Окей. Сейчас обновил базы. Выполняю.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ только указанные строки
    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Test System Key (Spyware.Passwords.XGen) -> Value: Test System Key -> No action taken.
    
    Зараженные файлы:
    c:\WINDOWS\system32\conime32.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken.
    c:\$RECYCLE.BIN\S-1-5-18\$R0OVQV7.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\$RECYCLE.BIN\S-1-5-18\$RE6GQJE.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\$RECYCLE.BIN\S-1-5-18\$ROY58DS.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\$RECYCLE.BIN\S-1-5-18\$RP6G8EO.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\$RECYCLE.BIN\S-1-5-18\$RTWCXFY.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe (Heuristics.Shuriken) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\jar_cache7675992972607183507.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4N9WQEZ5\codi[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4N9WQEZ5\netprotocol1[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\568120KV\netprotocol[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[2].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[3].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\b2_res[1].exe (Spyware.Passwords.XGen) -> No action taken.
    Последний раз редактировалось thyrex; 14.06.2011 в 21:33.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    •Вредоносный входящий IP: 89.28.44.180
    •Через 5 минут: открывается еще одна Opera.... и... опа! IP Заблокирован. 109.236.81.163. Это я так понял IP на который Opera хотела зайти.
    •Файл conime32.exe НЕ УДАЛЯЕТСЯ => либо атрибут системный, либо висит в процессах.

    •Прилагаю лог файлы с обновлёнными базами. На этот раз подтверждается возможная опасность Conime32.exe

  12. #11
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Начинаю фикс в Anti-Malware

  13. #12
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Conime и Shuriken не удалились. Просит перезагрузку. Отказался. Прилагаю логи. Стоит ли перезагружаться? Ключ реестра удалён.

  14. #13
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Как вариант могу загрузиться с Live CD и удалить Conime32.exe из System32. Жду ваших ответов.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Цитата Сообщение от Chep Посмотреть сообщение
    Стоит ли перезагружаться?
    Стоит. MBAM удалит эти файлы на раннем этапе загрузки.

  16. #15
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Мои догадки по работе вируса (мб поможет)
    •Этот вирус Trojan-Ransom.Win32.PornoAsset.uj.
    •При попадении на компьютер заменяет собой Userinit.exe и Taskmgr.exe в директории System 32.
    •Устанавливает значение параметра Shell на зараженный Userinit.exe и 22CC6C32.exe
    •На рабочем столе создает якобы системный файл test.exe
    •При несрабатывании баннера при автозагрузке, запускает test.exe тем самым создавая файл netprotocol.exe и запуская его.
    •При подключении к интернету, процесс netprotocol.exe связывается с 89.28.44.180 и загружает файлы вируса в папки: Temp и Application Data.
    •Загруженные файлы ставит в автозагрузку.
    •Устанавливает conime32.exe в директорию System32
    •При последующей перезагрузке происходит что-то плохое.
    •Т.к. этот Баннер я уже удалял, а он появился сного => он имеет некий механизм "Регенерации" (После некоторого количества перезагрузок, баннер восстанавливается)

    •Это всё что я понял о действии вируса. Я надеюсь что это как-то поможет разработчикам антивирусных программ.



    •Точно стоит перезагружать? Я считаю что процесс в 25кб загрузится быстрее, чем MBAM. Или всё же стоит загрузиться с LiveCD?

    Добавлено через 3 минуты

    •Заменяет также файлы в dllcache!!!
    •Файл 22CC6C32.exe находится в директории Documents and Settings/All Users/Application Data по совместительству с файлом .exe состоящим из набора букв.
    (Считаю, что этот файл имеет отношение к вирусу)

    Добавлено через 5 часов 13 минут

    Требуется ли еще что-то сделать?
    Последний раз редактировалось Chep; 15.06.2011 в 15:06. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Цитата Сообщение от Chep Посмотреть сообщение
    Точно стоит перезагружать?
    Точно-точно.

  18. #17
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Перезагрузил. Стоит присылать логи сного?

    Добавлено через 52 секунды

    •Добавлен ли вирус в базы Dr.Web И Kaspersky?
    •Ну и его потроха тоже

    Добавлено через 2 минуты

    А и остался один вопрос: что за IP банит MBAM? После перезагрузки они всё еще приходят

    Добавлено через 3 минуты

    193.169.234.232
    193.169.234.234
    222.68.255.78
    Что за IP он банит?

    Добавлено через 1 минуту

    И как от этого избавиться наконец?!
    Последний раз редактировалось Chep; 15.06.2011 в 15:35. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Цитата Сообщение от Chep Посмотреть сообщение
    Стоит присылать логи сного?
    Да, делайте.
    Цитата Сообщение от Chep Посмотреть сообщение
    И как от этого избавиться наконец?!
    Либо отключить резидентную защиту, либо деинсталлировать MBAM.
    Цитата Сообщение от Chep Посмотреть сообщение
    Добавлен ли вирус в базы Dr.Web И Kaspersky?
    Анализ файла 22cc6c32.exe
    Проверка несколькими антивирусами: KIS 2011=Зловред Trojan-Ransom.Win32.PornoAsset.ut; DrWEB 6.0=Файл чистый; VBA32=Файл чистый; BitDefender=Зловред Gen:Variant.Kazy.26349; NOD32=Файл чистый; Avast4=Файл чистый (на 13.06.2011 8:07:06)

  20. #19
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    C вирями покончено.
    Осталось разобраться с вредоносными IP.

  21. #20
    Junior Member Репутация
    Регистрация
    14.06.2011
    Сообщений
    13
    Вес репутации
    47
    Log

  • Уважаемый(ая) Chep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите пожалуйста
      От ekuz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2012, 14:07
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 16:49
    3. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23
    4. Помогите пожалуйста!
      От Девочка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2008, 21:31
    5. ПОЖАЛУЙСТА ПОМОГИТЕ
      От владик в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2008, 23:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00445 seconds with 19 queries