-
Junior Member
- Вес репутации
- 50
вирус смс на 7781
Вирус подменяет страницу vk.com и др. с последующей отправкой смс на номер 7781
Вирус создал в C\documents and settings\all users\application data\Mozilla - файлы exe и dll.
Exe удалил, dll не удаляется (т.к. используется чем-то), но переименовывается.
Сделал сканирование, логи ниже.
После перезагрузки компьютера DLL удалил.
Теперь вроде все в порядке, что еще сделать? Но в логах указано много перехватчиков
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
rsit:
log.txt
info.txt
Последний раз редактировалось Egorrr; 16.05.2013 в 14:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Egorrr, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 50
В логах указано много перехватчиков и тп. Как удалить вирусы? Ответьте хоть что-нибудь.
Последний раз редактировалось Egorrr; 16.05.2013 в 14:09.
-
Сделайте полный образ автозапуска uVS
- - - Добавлено - - -
ftp://10.0.3.10/XXX/
ProxyServer = 81.200.15.144:3128
сами прописывали ?
-
-
Junior Member
- Вес репутации
- 50
Ничего не прописывал.
При запуске любого браузера фаервол показывал что компонент FFNRWUM.DLL в папке Mozilla (см. выше) изменяется, за счет чего и действовал вирус, подменяя сайт vk.com. Хоть адрес был такой же и внешний вид как у оригинального, после ввода логина-пароля пришло смс с номера 7781. Файл hosts был чистый.
FFNRWUM.DLL не был заражен, Cure IT при проверке по умолчанию вирусов не нашел ( весь диск C: не сканировал)
Windows с 2006 года работает. Сделайте мне из нее конфетку : )
EGORRR_2013-05-16_14-30-36.rar
-
Выполните скрипт в uVS
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
breg
zoo %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\11497453.EXE
delall %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\11497453.EXE
zoo %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\DDXGB.SYS
delall %SystemDrive%\DOCUME~1\EGOR\LOCALS~1\TEMP\DDXGB.SYS
zoo %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\FFNRWUM.DLL
delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\FFNRWUM.DLL
delref 81.200.15.144:3128
restart
restart
сделайте новый лог uVS и новый лог hijackthis
что с проблемой ?
-
-
Junior Member
- Вес репутации
- 50
проблемы нет.
тут нет места в менеджере файлов и не удалить ранее загруженные файлы. логи:
http://yadi.sk/d/_92ha98V4tQ-q
-
Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://10.0.3.10/XXX/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.200.15.144:3128
Выполните скрипт в uVS
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\CRWKEPI.EXE
delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\MOZILLA\CRWKEPI.EXE
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-