-
Junior Member
- Вес репутации
- 52
следы после синего баннера "Windows заблокирован"
Походу,это был trojan.winlock.6234 (судя по картинке :-D).
После Kaspersky WindowsUnlocker удалил ms.exe из c:\documents and settings\mag - баннер пропал. AVPTool и cureIt следов винлока не нашли.
Проверил на virustotal и virusscan userinit,taskmgr,taskman:
1) userinit из system32 и C:\WINDOWS\ServicePackFiles\i386
и
все 3 файла taskmgr
(из system32,C:\WINDOWS\$NtServicePackUninstall$ и C:\WINDOWS\ServicePackFiles\i386)
- чистые,
2) userinit из C:\WINDOWS\$NtServicePackUninstall$ - nProtect детектит Trojan/W32.Small.25088.BP,а McAfee-GW-Edition - Heuristic.LooksLike.Win32.Suspicious.I,
3) в taskman (из system32 и system32\dllcache) и TASKMAN (из C:\WINDOWS) только CPsecure нашел Packed.W32.PolyCrypt.B.
После удаления баннера снова запустил Kaspersky WindowsUnlocker- по-прежнему:
"Userinit - подозрительная модификация: userinit.exe
Userinit - восстановлено в C:\WINDOWS\system32\userinit.exe".
userinit заражен? Какие-нибудь системные файлы нужно менять?
З.Ы. также проверил на virustotal wiasf.ax (от "MyCompanyName") в папке system32 - esafe определил как Win32.Banker. Даже в блокноте CPSecure c virusscan нашел Troj.W32.DNSChanger.hd. :-D
Отправлял оба файла в вирлабы каспера и веба - чистые. Ложное срабатывание esafe и CPSecure?)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ifstream, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 52
лог mbam прикрепил)
с avz траблы: скрипт выполняет,но архив пустой. Из лога:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\uphcleanhlp.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
Карантин с использованием прямого чтения - ошибка
+ Функция NtUnloadKey (107) перехвачена (806559A2->A227575C), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
упс :-D восстановление системы надо было выключать?
Последний раз редактировалось ifstream; 10.10.2012 в 01:00.
-
Удалите в MBAM найденное, смените пароли.
-
-
Junior Member
- Вес репутации
- 52
удалил)
это следы от винлока?
userinit,taskmgr,taskman чистые?
-
нет, это следы от банковского троянца ...
в остальном чисто. Удалите MBAM.
Советы и рекомендации после лечения компьютера
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
-
-
Junior Member
- Вес репутации
- 52
спасибо
- - - Добавлено - - -
Что насчет ошибок с карантином файлов (avz)?
-
ничего, всё в порядке )))
-
-
Junior Member
- Вес репутации
- 52