-
Junior Member
- Вес репутации
- 47
Помогите пожалуйста!
Только что снял синий баннер с компьютера. Просил закинуть 400 рублей на МТС номер. Грозился убить жесткий диск и BIOS.
Перейду к делу. Почитав форумы у друзей, сразу удалил файл
Documents and Settings/All Users/Application Data/22CC6C32.exe (подпись Rot and Grasp и Sweep Greed (Версия файла 120.35.78.90) Размер 22*528 байт.
Программа AWL выдала что этот файл заменил собой стандартный USERINIT.EXE. Этот файл я копировал и упаковал в RAR. Если кому надо - скину.
Продолжу общение о проблеме.
Решил почистить автозагрузку. Увидел netprotocol.exe которого раньше НЕ БЫЛО В АВТОЗАГРУЗКЕ. Пройдя в каталог C:/Documents and Settings/Admin/Application Data. Данные о файле таковы: Подпись Delay Kick(Как удар с задержкой) и Poetry Soon Pore. Рядом с ним файлы с такой же подписью:
b2_res.exe
netprotdrvss.exe
Если кто не знал, процесс netprotocol.exe загрузил на компьютер баннер снова, как я понял.
Почитав далее, удалил эти файлы(тоже архивированны).
Читая заметил что требуется проверить каталог Temp.
Там обнаружены 2 странных файла:
0.205673000070322.exe
conime32.exe
У обоих подпись состоит из набора букв. Обе подписи одинаковы.
Погуглив немного, узнал что conime32.exe это системный файл.
Проверил директорию system32 - тут странный аналог conime32.
Не удалить не скопировать его нельзя. Прочитав лог hijackthis увидел что при перезагрузке он что-то сотворит с компом. Прошу помощи профессионалов! Извините за то что так много слов - писал всё максимально точно! Жду ответов 24/7. Компьютер не перезагружаю.
Прилагаю лог HiJackThis. Не прилагаю лог AVZ т.к. при поиске опасностей ничего не было обнаружено. Помогите окончательно убибь червя!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Сообщение от
Chep
Если кому надо - скину.
Загрузите через красную ссылку "Прислать запрошенный карантин" наверху темы.
Сообщение от
Chep
Не прилагаю лог AVZ т.к. при поиске опасностей ничего не было обнаружено.
Не, именно он нам и нужен, приложите.
-
-
Junior Member
- Вес репутации
- 47
Вирус и его "порождения" загружены.
Прилагаю лог AVZ.
Не обращайте внимания на .scr файлы в логе. Вирус не активен. Всего лишь остатки.
-
Нам нужны логи virusinfo_syscure.zip и virusinfo_syscheck.zip
Также сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
-
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и переделайте логи.
-
-
Junior Member
- Вес репутации
- 47
Ой, извиняйте. Забыл лог Malwarebytes Anti-Malware. Держите.
Кстати, после установки программы она стала ловить входящие вредоносные IP. Вроде на 89. начинается. Файлы не трогал.
-
Junior Member
- Вес репутации
- 47
Окей. Сейчас обновил базы. Выполняю.
-
Удалите в МВАМ только указанные строки
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Test System Key (Spyware.Passwords.XGen) -> Value: Test System Key -> No action taken.
Зараженные файлы:
c:\WINDOWS\system32\conime32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken.
c:\$RECYCLE.BIN\S-1-5-18\$R0OVQV7.exe (Spyware.Passwords.XGen) -> No action taken.
c:\$RECYCLE.BIN\S-1-5-18\$RE6GQJE.exe (Spyware.Passwords.XGen) -> No action taken.
c:\$RECYCLE.BIN\S-1-5-18\$ROY58DS.exe (Spyware.Passwords.XGen) -> No action taken.
c:\$RECYCLE.BIN\S-1-5-18\$RP6G8EO.exe (Spyware.Passwords.XGen) -> No action taken.
c:\$RECYCLE.BIN\S-1-5-18\$RTWCXFY.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe (Heuristics.Shuriken) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache7675992972607183507.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4N9WQEZ5\codi[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4N9WQEZ5\netprotocol1[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\568120KV\netprotocol[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[2].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[3].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\netprotocol[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\PGUP8U7Y\b2_res[1].exe (Spyware.Passwords.XGen) -> No action taken.
Последний раз редактировалось thyrex; 14.06.2011 в 21:33.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
•Вредоносный входящий IP: 89.28.44.180
•Через 5 минут: открывается еще одна Opera.... и... опа! IP Заблокирован. 109.236.81.163. Это я так понял IP на который Opera хотела зайти.
•Файл conime32.exe НЕ УДАЛЯЕТСЯ => либо атрибут системный, либо висит в процессах.
•Прилагаю лог файлы с обновлёнными базами. На этот раз подтверждается возможная опасность Conime32.exe
-
Junior Member
- Вес репутации
- 47
Начинаю фикс в Anti-Malware
-
Junior Member
- Вес репутации
- 47
Conime и Shuriken не удалились. Просит перезагрузку. Отказался. Прилагаю логи. Стоит ли перезагружаться? Ключ реестра удалён.
-
Junior Member
- Вес репутации
- 47
Как вариант могу загрузиться с Live CD и удалить Conime32.exe из System32. Жду ваших ответов.
-
Сообщение от
Chep
Стоит ли перезагружаться?
Стоит. MBAM удалит эти файлы на раннем этапе загрузки.
-
-
Junior Member
- Вес репутации
- 47
Мои догадки по работе вируса (мб поможет)
•Этот вирус Trojan-Ransom.Win32.PornoAsset.uj.
•При попадении на компьютер заменяет собой Userinit.exe и Taskmgr.exe в директории System 32.
•Устанавливает значение параметра Shell на зараженный Userinit.exe и 22CC6C32.exe
•На рабочем столе создает якобы системный файл test.exe
•При несрабатывании баннера при автозагрузке, запускает test.exe тем самым создавая файл netprotocol.exe и запуская его.
•При подключении к интернету, процесс netprotocol.exe связывается с 89.28.44.180 и загружает файлы вируса в папки: Temp и Application Data.
•Загруженные файлы ставит в автозагрузку.
•Устанавливает conime32.exe в директорию System32
•При последующей перезагрузке происходит что-то плохое.
•Т.к. этот Баннер я уже удалял, а он появился сного => он имеет некий механизм "Регенерации" (После некоторого количества перезагрузок, баннер восстанавливается)
•Это всё что я понял о действии вируса. Я надеюсь что это как-то поможет разработчикам антивирусных программ.
•Точно стоит перезагружать? Я считаю что процесс в 25кб загрузится быстрее, чем MBAM. Или всё же стоит загрузиться с LiveCD?
Добавлено через 3 минуты
•Заменяет также файлы в dllcache!!!
•Файл 22CC6C32.exe находится в директории Documents and Settings/All Users/Application Data по совместительству с файлом .exe состоящим из набора букв.
(Считаю, что этот файл имеет отношение к вирусу)
Добавлено через 5 часов 13 минут
Требуется ли еще что-то сделать?
Последний раз редактировалось Chep; 15.06.2011 в 15:06.
Причина: Добавлено
-
Сообщение от
Chep
Точно стоит перезагружать?
Точно-точно.
-
-
Junior Member
- Вес репутации
- 47
Перезагрузил. Стоит присылать логи сного?
Добавлено через 52 секунды
•Добавлен ли вирус в базы Dr.Web И Kaspersky?
•Ну и его потроха тоже
Добавлено через 2 минуты
А и остался один вопрос: что за IP банит MBAM? После перезагрузки они всё еще приходят
Добавлено через 3 минуты
193.169.234.232
193.169.234.234
222.68.255.78
Что за IP он банит?
Добавлено через 1 минуту
И как от этого избавиться наконец?!
Последний раз редактировалось Chep; 15.06.2011 в 15:35.
Причина: Добавлено
-
Сообщение от
Chep
Стоит присылать логи сного?
Да, делайте.
Сообщение от
Chep
И как от этого избавиться наконец?!
Либо отключить резидентную защиту, либо деинсталлировать MBAM.
Сообщение от
Chep
Добавлен ли вирус в базы Dr.Web И Kaspersky?
Анализ файла 22cc6c32.exe
Проверка несколькими антивирусами: KIS 2011=Зловред Trojan-Ransom.Win32.PornoAsset.ut; DrWEB 6.0=Файл чистый; VBA32=Файл чистый; BitDefender=Зловред Gen:Variant.Kazy.26349; NOD32=Файл чистый; Avast4=Файл чистый (на 13.06.2011 8:07:06)
-
-
Junior Member
- Вес репутации
- 47
C вирями покончено.
Осталось разобраться с вредоносными IP.
-
Junior Member
- Вес репутации
- 47