-
Junior Member
- Вес репутации
- 54
Модификация hosts [not-a-virus:RiskTool.VBS.BitCoinMiner.a
]
Всех приветствую!
Друзья, помогите, пожалуйста.
Происходит постоянный редирект при попытке обратиться к ресурсу vk.com.
На машине стоит актуальный KAV WKS, однако проблему он не решает.
Сканировал CureIt'ом в безопасном режиме. Результаты:
C:\WINDOWS\system32\drivers\etc\hosts - probably infected with DFH.HOSTS.corrupted
C:\WINDOWS\system32\drivers\etc\hosts - infected
...
C:\WINDOWS\system32\drivers\etc\hosts - infected with Trojan.Hosts.6815
...
-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------
C:\WINDOWS\system32\drivers\etc\hosts - cured
Вроде бы после этого проблема пропала, но не надолго. Появились те же самые симптомы.
Решил обратиться к вам, очень надеюсь на помощь.
Благодарю!
P.S. Логи:
virusinfo_syscure.zip
Вложение 416021
Вложение 416022
Последний раз редактировалось The_Immortal; 24.04.2013 в 17:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) The_Immortal, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
thyrex, скрипт выполнил. Карантин загрузил. Новые логи также выложил.
Однако имеется один вопросик.
Код:
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');
Данный файл физически располагается по следующему пути:
C:\Documents and Settings\
buh6\Application Data\Flash\update.vbs
Соответственно, после выполнения скрипта он там и остался.
Непонятно, почему AVZ показывает путь с "Администратором".
Да, AVZ запускался именно от Администратора, как было указано в инструкции. Быть может из-за этого произошла путаница с путями?
P.S. Логи:
Вложение 416144
Вложение 416146
Вложение 416145
Последний раз редактировалось The_Immortal; 25.04.2013 в 15:42.
-
В новых логах этого файла нет
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
thyrex,
Сообщение от
thyrex
Что с проблемой?
Проблема осталась:
C:\Documents and Settings\buh6>ping vk.com
Обмен пакетами с
www.odnoklassniki.ru [37.10.117.87] по 32 байт:
Ответ от 37.10.117.87: число байт=32 время=59мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=61мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57
Сообщение от
thyrex
В новых логах этого файла нет
По факту же этот файл есть:
Вложение 416213
Я полагаю имеет смысл выполнить следующий скрипт:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
?
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Профиксите в HijackThis
Код:
O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
проверьте что с проблемой.
- - - Добавлено - - -
+ перенесите вручную куда-нибудь эту папку и убедитесь, что у вас всё работает нормально. После этого эту папку удалите. Судя по названию файлов все файлы (по крайней мере из тех, что видны на скрине) в этой папки относятся к майнеру.
-
-
Junior Member
- Вес репутации
- 54
regist, итак, по порядку.
Сообщение от
regist
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Скрипт выполнил - проблема никуда не ушла.
Сообщение от
regist
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Загрузил.
Сообщение от
regist
Профиксите в HijackThis
Код:
O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
Пофиксил. Сразу после этого проблема ушла.
Сообщение от
regist
+ перенесите вручную куда-нибудь эту папку
Данный каталог (C:\Documents and Settings\buh6\Application Data\Flash) удалил, предварительно его заархивировав.
Сообщение от
regist
Сделайте повторные логи
Сделал:
Вложение 416311
Вложение 416312
Вложение 416313
Внимание!
Прошло около часа, как ко мне опять прибегает бухгалтерша: проблема вернулась. Комп даже не перезагружался за это время.
Так что я выкладываю повторные логи (самые актуальные):
Вложение 416324
Вложение 416323
Вложение 416325
С Касперского я просто в шоке - ему совершенно до лампочки все
Последний раз редактировалось The_Immortal; 26.04.2013 в 20:00.
-
вложения не доступны, прикрепите пожалуйста логи заново.
Сообщение от
The_Immortal
С Касперского я просто в шоке - ему совершенно до лампочки все
извините за наверно глупый вопрос, а базы у вас обновлены ?
-
-
Junior Member
- Вес репутации
- 54
regist,
Сообщение от
regist
извините за наверно глупый вопрос, а базы у вас обновлены ?
Разумеется Каспер обновляется каждый раз при запуске.
Сообщение от
regist
прикрепите пожалуйста логи заново.
Логи сразу после выполнения Ваших указаний (выполнение скрипта в AVZ, в hijackthis, удаление и архивирование папки Flash):
Вложение 416342
Вложение 416343
Вложение 416344
Логи спустя час обычной работы:
Вложение 416345
Вложение 416346
Вложение 416347
-
опять в hosts записи добавились .
1) давайте сначала закроем уязвимости
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
2) Выполните скрипт в AVZ
Код:
begin
ClearHostsFile;
RebootWindows(false);
end.
компьютер перезагрузится.
3) - Сделайте лог полного сканирования МВАМ.
4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 54
regist,
Сообщение от
regist
опять в hosts записи добавились .
1) давайте сначала закроем уязвимости
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Все уязвимости устранил.
Сообщение от
regist
2) Выполните скрипт в AVZ
Код:
begin
ClearHostsFile;
RebootWindows(false);
end.
компьютер перезагрузится.
Выполнил.
Сообщение от
regist
3) - Сделайте лог полного сканирования МВАМ.
Сделал: Вложение 416629
Как видите, та заархивированная папка ("Flash") задетектилась.
Однако удалять, согласно рекомендациям, я пока ничего не стал.
Сообщение от
regist
4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
Данную процедуру провел. Результаты прилагаю: http://rghost.ru/45652392 (залил на обменник, т.к. доступный лимит на форуме исчерпан).
Ожидаю дальнейших указаний.
-
Удаляйте найденное и понаблюдайте, что с проблемой.
-
-
Junior Member
- Вес репутации
- 54
regist, найденное удалил. Но увы, после небольшой работы проблема вернулась...
Последний раз редактировалось The_Immortal; 30.04.2013 в 15:25.
-
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 54
regist,
Вложение 416697
Вложение 416696
Быть может попробовать снять логи не из-под локального Администратора, а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?
-
Сообщение от
The_Immortal
а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?
так логи и надо делать под проблемной учёткой . Если они сделаны не из под проблемной учётки, то переделайте.
- - - Добавлено - - -
+ Сделайте полный образ автозапуска uVS
если будете запускать из под учётки админа, то не забудьте на шаге №4 выбрать проблемную учётку.
-
-
Junior Member
- Вес репутации
- 54
regist, я запутался...
Все логи я делаю под сеансом проблемной учетки (buh6). Но сами программы (AVZ, hijackhis) запускаю от имени Администратора (так сказано в правилах), не выходя при этом из сеанса проблемной учетки (buh6).
А как надо на самом деле?
-
для начала у вас XP а запуск от имени от администратора для систем Vista и старше (нужно для запуска с правами админа, но с проблемной учётки). Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.
Для того чтобы убрать симптомы, снова
Профиксите в HijackThis
Код:
O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
и жду лога uVS может там будет видно из-за чего эта зараза возрождается.
-
-
Junior Member
- Вес репутации
- 54
regist,
Сообщение от
regist
Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.
На всякий случай сделал логи просто по двойному щелчку:
Вложение 416722
Вложение 416723
Сообщение от
regist
Для того чтобы убрать симптомы, снова
Профиксите в HijackThis
Код:
O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
Пока фиксить не стал, ибо бесполезно.
Сообщение от
regist
и жду лога uVS может там будет видно из-за чего эта зараза возрождается.
Лог uVS: Вложение 416724
Однако эта дрянь скорее всего в автозапуске не сидит, т.к. проблема возникает без завершения сеанса пользователя.
Последний раз редактировалось The_Immortal; 30.04.2013 в 18:52.