Показано с 1 по 8 из 8.

вирус смс на 7781 (заявка № 138903)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50

    вирус смс на 7781

    Вирус подменяет страницу vk.com и др. с последующей отправкой смс на номер 7781
    Вирус создал в C\documents and settings\all users\application data\Mozilla - файлы exe и dll.
    Exe удалил, dll не удаляется (т.к. используется чем-то), но переименовывается.
    Сделал сканирование, логи ниже.
    После перезагрузки компьютера DLL удалил.
    Теперь вроде все в порядке, что еще сделать? Но в логах указано много перехватчиков

    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip

    rsit:
    log.txt
    info.txt
    Последний раз редактировалось Egorrr; 16.05.2013 в 14:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Egorrr, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    В логах указано много перехватчиков и тп. Как удалить вирусы? Ответьте хоть что-нибудь.
    Последний раз редактировалось Egorrr; 16.05.2013 в 14:09.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Ничего не прописывал.
    При запуске любого браузера фаервол показывал что компонент FFNRWUM.DLL в папке Mozilla (см. выше) изменяется, за счет чего и действовал вирус, подменяя сайт vk.com. Хоть адрес был такой же и внешний вид как у оригинального, после ввода логина-пароля пришло смс с номера 7781. Файл hosts был чистый.
    FFNRWUM.DLL не был заражен, Cure IT при проверке по умолчанию вирусов не нашел ( весь диск C: не сканировал)

    Windows с 2006 года работает. Сделайте мне из нее конфетку : )

    EGORRR_2013-05-16_14-30-36.rar

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    breg
    zoo %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\11497453.EXE
    delall %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\11497453.EXE
    zoo %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\DDXGB.SYS
    delall %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\DDXGB.SYS
    zoo %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\FFNRWUM.DLL
    delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\FFNRWUM.DLL
    delref 81.200.15.144:3128
    restart
    restart
    сделайте новый лог uVS и новый лог hijackthis

    что с проблемой ?

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    проблемы нет.

    тут нет места в менеджере файлов и не удалить ранее загруженные файлы. логи:
    http://yadi.sk/d/_92ha98V4tQ-q

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Профиксите в HijackThis

    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://10.0.3.10/XXX/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.200.15.144:3128
    Выполните скрипт в uVS

    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\CRWKEPI.EXE
    delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\CRWKEPI.EXE
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  • Уважаемый(ая) Egorrr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус 7781
      От женяяяяяяя в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2013, 00:12
    2. Ответов: 4
      Последнее сообщение: 19.04.2013, 23:10
    3. Ответов: 3
      Последнее сообщение: 17.04.2013, 11:57
    4. Ответов: 7
      Последнее сообщение: 10.04.2013, 23:28
    5. Ответов: 4
      Последнее сообщение: 31.05.2012, 18:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 20 queries