Показано с 1 по 20 из 20.

вирус просит денег (заявка № 31219)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110

    Exclamation вирус просит денег

    принесли машину
    на ней заблокирован рабочий стол, деспечер задач, редактор реестра, изчезла вклатка востонавления системы...
    на рабочем столе появилась картинка следущего содержания мол комп заражон злым и страшным вирем если хотите лечиться то плотите (содержание было на англиском так что я передал только смысл послания, а не исходный текст)
    тагже на машине заблокирован запуск ЕХЕ приложений....

    Сделать смог только логи авз HJ не запустился(

    С помощью авз => файл востонавление системы смог вернуть доступ к вкладке Востановление системы и отключил его, также удолось востановить рабочий стол и деспетчер задач с редактором реестра все астальное пока не работает....

    чую сам не осилю помогите плиз
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphc9m2j0e567.exe','');
     QuarantineFile('c:\windows\system32\lphc9m2j0e567.exe','');
     QuarantineFile('C:\WINDOWS\system32\karina.dat','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxq02.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwy04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwn43.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvf14.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wintr77.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqg80.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmq72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmk44.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjy80.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjy67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp58.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo12.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winji41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjc48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhw20.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhq60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn55.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhe42.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winei50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh61.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windc38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wincn10.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbo45.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winba23.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc9m2j0e567.scr','');
     DeleteService('Winxq02');
     DeleteService('Winwy04');
     DeleteService('Winwn43');
     DeleteService('Winvf14');
     DeleteService('Wintr77');
     DeleteService('Winsj21');
     DeleteService('Winqg80');
     DeleteService('Winmq72');
     DeleteService('Winmk44');
     DeleteService('Winkt11');
     DeleteService('Winkr67');
     DeleteService('Winjy80');
     DeleteService('Winjy67');
     DeleteService('Winjp58');
     DeleteService('Winjo12');
     DeleteService('Winji41');
     DeleteService('Winjc48');
     DeleteService('Winhw20');
     DeleteService('Winhq60');
     DeleteService('Winhn55');
     DeleteService('Winhe42');
     DeleteService('Wingk05');
     DeleteService('Winei50');
     DeleteService('Wineh61');
     DeleteService('Windc38');
     DeleteService('Wincr78');
     DeleteService('Wincn10');
     DeleteService('Winbo45');
     DeleteService('Winbe04');
     DeleteService('Winba23');
     DeleteService('VSSlanmanworkstationSharedAccessNetDDE');
     DeleteService('upnphostTuneUp.Defrag');
     DeleteService('TuneUp.DefragSchedule');
     DeleteService('TlntSvrHTTPFilter');
     DeleteService('TlntSvrCOMSysAppTuneUp.Defrag');
     DeleteService('SysmonLoglanmanworkstationSharedAccessNetDDE');
     DeleteService('SSScsiSVDcomLaunchVSSlanmanworkstationSharedAccessNetDDE');
     DeleteService('SSScsiSVDcomLaunch');
     DeleteService('SSDPSRVSNDSrvc');
     DeleteService('SSDPSRVALG');
     DeleteService('SPTISRVRasMan');
     DeleteService('ScheduleCiSvc');
     DeleteService('SBServiceClipSrv');
     DeleteService('RasManwuauservRSVP');
     DeleteService('RasManRasAutoMSIServer');
     DeleteService('RasManRasAuto');
     DeleteService('PACSPTISVRAppMgmtHidServFastUserSwitchingCompatibilityMSCSPTISRVose');
     DeleteService('PACSPTISVRAppMgmtHidServ');
     DeleteService('PACSPTISVRAppMgmt');
     DeleteService('oseSSDPSRVSNDSrvcSPTISRVRasMan');
     DeleteService('oseSSDPSRVSNDSrvc');
     DeleteService('oseEhttpSrv');
     DeleteService('NVSvcseclogon');
     DeleteService('NVSvcPACSPTISVR');
     DeleteService('NtmsSvcodserv');
     DeleteService('NtLmSspRpcSs');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityWebClient');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityaawservice');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibility');
     DeleteService('NetlogonMessenger');
     DeleteService('Netlogonlanmanworkstationekrn');
     DeleteService('Netlogonlanmanworkstation');
     DeleteService('NetlogonFastUserSwitchingCompatibilityMSCSPTISRV');
     DeleteService('MSCSPTISRVPACSPTISVRAppMgmt');
     DeleteService('MessengerRemoteRegistryr_server');
     DeleteService('MessengerRemoteRegistry');
     DeleteService('MessengerEventlog');
     DeleteService('LmHostsTlntSvrHTTPFilter');
     DeleteService('LmHostsCiSvc');
     DeleteService('lanmanworkstationSharedAccessNetDDE');
     DeleteService('lanmanworkstationSharedAccess');
     DeleteService('HTTPFilterr_server');
     DeleteService('FastUserSwitchingCompatibilityMSCSPTISRVose');
     DeleteService('FastUserSwitchingCompatibilityMSCSPTISRV');
     DeleteService('EventlogSchedule');
     DeleteService('ERSvcr_serverSPTISRV');
     DeleteService('ERSvcr_server');
     DeleteService('ERSvcNetDDE');
     DeleteService('ERSvcMSCSPTISRVPACSPTISVRAppMgmtEventlog');
     DeleteService('ERSvcMSCSPTISRVPACSPTISVRAppMgmt');
     DeleteService('EhttpSrvSwPrv');
     DeleteService('EhttpSrvCOMSysApp');
     DeleteService('CryptSvcNla');
     DeleteService('CryptSvclanmanworkstationSharedAccess');
     DeleteService('COMSysAppTuneUp.Defrag');
     DeleteService('CCALib8NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     DeleteService('ALGHidServ');
     DeleteService('aawserviceoseSSDPSRVSNDSrvc');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('F:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('c:\windows\system32\lphc9m2j0e567.exe');
     DeleteFile('C:\WINDOWS\system32\lphc9m2j0e567.exe');
     DeleteFile('C:\WINDOWS\system32\karina.dat');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxq02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwy04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwn43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvf14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintr77.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqg80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmq72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmk44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkt11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkr67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjy80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjy67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winji41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjc48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhw20.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhq60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhn55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhe42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingk05.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windc38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincr78.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincn10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbo45.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winba23.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\blphc9m2j0e567.scr');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winxq02');
     BC_DeleteSvc('Winwy04');
     BC_DeleteSvc('Winwn43');
     BC_DeleteSvc('Winvf14');
     BC_DeleteSvc('Wintr77');
     BC_DeleteSvc('Winsj21');
     BC_DeleteSvc('Winqg80');
     BC_DeleteSvc('Winmq72');
     BC_DeleteSvc('Winmk44');
     BC_DeleteSvc('Winkt11');
     BC_DeleteSvc('Winkr67');
     BC_DeleteSvc('Winjy80');
     BC_DeleteSvc('Winjy67');
     BC_DeleteSvc('Winjp58');
     BC_DeleteSvc('Winjo12');
     BC_DeleteSvc('Winji41');
     BC_DeleteSvc('Winjc48');
     BC_DeleteSvc('Winhw20');
     BC_DeleteSvc('Winhq60');
     BC_DeleteSvc('Winhn55');
     BC_DeleteSvc('Winhe42');
     BC_DeleteSvc('Wingk05');
     BC_DeleteSvc('Winei50');
     BC_DeleteSvc('Wineh61');
     BC_DeleteSvc('Windc38');
     BC_DeleteSvc('Wincr78');
     BC_DeleteSvc('Wincn10');
     BC_DeleteSvc('Winbo45');
     BC_DeleteSvc('Winbe04');
     BC_DeleteSvc('Winba23');
     BC_DeleteSvc('VSSlanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('upnphostTuneUp.Defrag');
     BC_DeleteSvc('TuneUp.DefragSchedule');
     BC_DeleteSvc('TlntSvrHTTPFilter');
     BC_DeleteSvc('TlntSvrCOMSysAppTuneUp.Defrag');
     BC_DeleteSvc('SysmonLoglanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('SSScsiSVDcomLaunchVSSlanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('SSScsiSVDcomLaunch');
     BC_DeleteSvc('SSDPSRVSNDSrvc');
     BC_DeleteSvc('SSDPSRVALG');
     BC_DeleteSvc('SPTISRVRasMan');
     BC_DeleteSvc('ScheduleCiSvc');
     BC_DeleteSvc('SBServiceClipSrv');
     BC_DeleteSvc('RasManwuauservRSVP');
     BC_DeleteSvc('RasManRasAutoMSIServer');
     BC_DeleteSvc('RasManRasAuto');
     BC_DeleteSvc('PACSPTISVRAppMgmtHidServFastUserSwitchingCompatibilityMSCSPTISRVose');
     BC_DeleteSvc('PACSPTISVRAppMgmtHidServ');
     BC_DeleteSvc('PACSPTISVRAppMgmt');
     BC_DeleteSvc('oseSSDPSRVSNDSrvcSPTISRVRasMan');
     BC_DeleteSvc('oseSSDPSRVSNDSrvc');
     BC_DeleteSvc('oseEhttpSrv');
     BC_DeleteSvc('NVSvcseclogon');
     BC_DeleteSvc('NVSvcPACSPTISVR');
     BC_DeleteSvc('NtmsSvcodserv');
     BC_DeleteSvc('NtLmSspRpcSs');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityWebClient');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityaawservice');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibility');
     BC_DeleteSvc('NetlogonMessenger');
     BC_DeleteSvc('Netlogonlanmanworkstationekrn');
     BC_DeleteSvc('Netlogonlanmanworkstation');
     BC_DeleteSvc('NetlogonFastUserSwitchingCompatibilityMSCSPTISRV');
     BC_DeleteSvc('MSCSPTISRVPACSPTISVRAppMgmt');
     BC_DeleteSvc('MessengerRemoteRegistryr_server');
     BC_DeleteSvc('MessengerRemoteRegistry');
     BC_DeleteSvc('MessengerEventlog');
     BC_DeleteSvc('LmHostsTlntSvrHTTPFilter');
     BC_DeleteSvc('LmHostsCiSvc');
     BC_DeleteSvc('lanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('lanmanworkstationSharedAccess');
     BC_DeleteSvc('HTTPFilterr_server');
     BC_DeleteSvc('FastUserSwitchingCompatibilityMSCSPTISRVose');
     BC_DeleteSvc('FastUserSwitchingCompatibilityMSCSPTISRV');
     BC_DeleteSvc('EventlogSchedule');
     BC_DeleteSvc('ERSvcr_serverSPTISRV');
     BC_DeleteSvc('ERSvcr_server');
     BC_DeleteSvc('ERSvcNetDDE');
     BC_DeleteSvc('ERSvcMSCSPTISRVPACSPTISVRAppMgmtEventlog');
     BC_DeleteSvc('ERSvcMSCSPTISRVPACSPTISVRAppMgmt');
     BC_DeleteSvc('EhttpSrvSwPrv');
     BC_DeleteSvc('EhttpSrvCOMSysApp');
     BC_DeleteSvc('CryptSvcNla');
     BC_DeleteSvc('CryptSvclanmanworkstationSharedAccess');
     BC_DeleteSvc('COMSysAppTuneUp.Defrag');
     BC_DeleteSvc('CCALib8NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     BC_DeleteSvc('ALGHidServ');
     BC_DeleteSvc('aawserviceoseSSDPSRVSNDSrvc');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    спасибо за скрипт щас делаю я изнего тока ауторан выкинул это мой ауторанчик забыл раньше онем сказать=)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    логи авз зделаю завтроа....
    после скрипта полегчало но зверь еще жив....
    причем не пойму зачем но он прописал свой скрин сервер который время отвремени создает илюзию перезапуска винды прияем с BSODом.....
    так же выкладываю скрин рабочего стола
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    замечена еще 1 странность хтмл открываются не через ИЕ а через какоето другое приложение причем поставить ИЕ по умолчанию не получаеться.....
    Логи делаються
    карантин отправлет
    Файл сохранён как
    081002_004600_virus_48e460183a4e5.zip

    Размер файла
    343378

    MD5
    74015a18701d9c60a573bbe046254c97
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110

    Exclamation

    Новые логи
    прозьба обратить внимание на скреены
    на первом помечены странность описаная выше а на втором сообщения выводимое зловедом из трея
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    IceSword имеешь? Если нет, то надо скачать.

    Через него force delete, предварительно куда-нибудь их скопировав:
    c:\windows\buritos.exe
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winei50.sys
    C:\WINDOWS\system32\Drivers\Winsj21.sys
    C:\WINDOWS\karina.dat

    Затем скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\karina.dat','');
     SetServiceStart('Winsj21', 4);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
     DeleteService('Winei50');
     SetServiceStart('Winei50', 4);
     BC_DeleteSvc('wuauservRSVP');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winei50.sys','');
     QuarantineFile('c:\windows\buritos.exe','');
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\karina.dat');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    end.
    ну, а далее все по стандарту.

    Еще надо почистить все временные файлы Инета.
    Последний раз редактировалось PavelA; 02.10.2008 в 12:10.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    ок ща сделаю тока меч у мя старенький надеюсь потянет

    Добавлено через 17 минут

    Павел совсем у вожением но вы зхабыли добавить в скрипт перезагрузку а я это заметил только после выполнения скрипта пришлось обычным путем ребутиться

    все выполнил щас начну делать логи

    Добавлено через 1 минуту

    видимых проевлений зверя пока не обнаружено делаю логи
    Последний раз редактировалось fotorama; 02.10.2008 в 14:43. Причина: Добавлено
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Извини, просто поторопился. Странно, что из наших никто не поправил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    новые логи
    в авто запуске осталось следущее
    WinCtrl32.dll
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName
    buritos.exe
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
    karina.dat
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
    самих файлов не нашол
    Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    в hj вот это еще есть
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Добавлено через 2 минуты

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winsj21');
     BC_DeleteSvc('Winei50');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
    BC_ImportDeletedList;
    BC_Activate;
    end.
    Сделать новые логи.
    Последний раз редактировалось PavelA; 02.10.2008 в 15:40. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    еще 1 вопрос если не сложно скажите названия этого кросавца
    и подскажите могли он стащить пароли на аську маил и прочее
    я человеку порекомендовал все это сменить а он терь с меня не слазит с прозьбой по пунктам обьяснить как это делать.....

    П/с
    сейчас он мне расказал что его сподвигло тащить комп мне.....
    оказываеться этот зверь у него сидел достаточно долго (минимум месяц)....
    сами понемаете работать на такой машине крайне сложно да и в игрульки не сыграеш.... его дочурка (папина помошница) пригласила какихто друзей (КРУТЫХ борцов с вирусней), те унего просидели целый день выпили все его пиво.... после чего поставили бесплатную Нодовскую тулзу, взяли за работу денег и ушли со словами, цитата с его слов"Не переживайте скоро все гикнеца"
    короче помогла дочка папе.....

    пп/с
    спс за скрипт щас все делаю
    Последний раз редактировалось fotorama; 02.10.2008 в 16:27.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Твое З.Ы. в Юмор надо поместить
    Вот что было:
    Beep.sys - Backdoor.Win32.UltimateDefender.a,
    buritos.exe_ - Hoax.Win32.Bravia.ir,
    karina.dat - Backdoor.Win32.Small.eug,
    lphc9m2j0e567.exe_ - Trojan.Win32.FraudPack.aeq,
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.bnw

    Еще одного забыли удалить
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Beep', 4);
     BC_DeleteSvc('Beep');
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    ок спс щас добью=)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    свежие логи
    Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    вроде все чисто или всеж ктота еще шивелитьс?
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, теперь чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    спасибо за помощ
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    снова ведь нахватают через день-другой, лучше бы объяснили:http://virusinfo.info/showthread.php?t=30339

  • Уважаемый(ая) fotorama, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. просит денег
      От Ilia14 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.07.2012, 20:35
    2. Вирус просит денег - [email protected]
      От nikolas12 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.07.2012, 10:04
    3. Билайн просит денег
      От 290nps в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.12.2010, 16:28
    4. Порнобанер просит денег! Помогите!
      От zozo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.06.2010, 15:34
    5. Порнобанер просит денег
      От Bizant в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2010, 12:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00478 seconds with 19 queries