Показано с 1 по 9 из 9.

Блокировщик windows + net.exe (заявка № 47950)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    28

    Thumbs down Блокировщик windows + net.exe

    На днях появился блокировщик, предлогающий отправить смс на номер 3649 для активации копии windows. Через диспетчер задач его удалось завершить (процесс sound.exe - находится в папке windows/media). Также настораживают процессы
    sdra64.exe
    winlo_.exe

    и ключ реестра
    "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\sdra64.exe,"
    плюс ко всему в диспетчере задач постояно то появляется то исчезает процесс net.exe с переодичностья 2-3 секунды.

    upd
    также avz нашёл файлик SKYNETpyvimvww.sys
    Вложения Вложения
    Последний раз редактировалось bawka; 15.06.2009 в 13:13.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     QuarantineFile('C:\Windows\system32\kungsfwsp.dll','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\Windows\Media\sound098098','');
     QuarantineFile('crypts.dll','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('crypts.dll');
     DeleteFile('C:\Windows\Media\sound098098');
     DeleteFile('digeste.dll');
     DeleteFile('C:\Windows\system32\kungsfwsp.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать лог:www.Gmer.net/gmer.zip Как смотреть в "Чаво".
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47950

    Готовьтесь к серьезному лечению.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    28
    я уже понял, компьютер не мой, поэтому до завтра

    прошу тему не закрывать ибо она остаётся актуальной, просто нет времени пока продолжить, надеюсь завтра доберусь до компьютера
    Последний раз редактировалось Rene-gad; 17.06.2009 в 10:41.

  5. #4
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    28
    гмером логи то есть 2 раза сделать и оба выслать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от bawka Посмотреть сообщение
    гмером логи то есть 2 раза сделать и оба выслать?
    то есть - наоборот: 1 лог gmer + 3 лога по правилам

  7. #6
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    28
    Файл сохранён как 090617_180917_virus_4a38f90d8b7f7.zip
    Размер файла 429391
    MD5 23b9a57c541fdfd8bd8b8bcea3ff7191

    выкладываю новые логи
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service kungsfdbabigip
    gmer.exe -del service kungsfdqvsyxfa
    gmer.exe -del service kungsfmlxyirwx
    gmer.exe -del service SKYNETdieerchx
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsffqhtkkym.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfymhlhbqv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfompxnrwb.sys"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfcmd.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsflog.dat"
    gmer.exe -del file "C:\WINDOWS\temp\kungsfiennjhajnf.tmp"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfwsp.dll"
    gmer.exe -del file "C:\WINDOWS\temp\kungsfpciouqcycp.tmp"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETjuyuiqyl.sys"
    gmer.exe -del file "C:\WINDOWS\system32\kungsftspdqbab.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfilixuwyr.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfbobvtmjp.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfimxewhur.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsflvjbrfuw.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsftewxrbey.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfciqhohci.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfdqlqpxvf.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfuyqidmet.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfuywhosie.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfqpwcmyrg.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETnsvbrnhk.dll"
    gmer.exe -del file "C:\Documents and Settings\Марьюшка\Local Settings\Temp\kungsfpeeqpciomk.tmp"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfdbabigip"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfdqvsyxfa"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfmlxyirwx"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETdieerchx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfdbabigip"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfdqvsyxfa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfmlxyirwx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETdieerchx"
    gmer.exe -reboot
    И запустите cleanup.bat

    Сделать новый лог gmer + новые логи AVZ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    28
    всем спасибо за помощь, но вероятно за время моего отсутствия вирус модифицировался и теперь нет возможности запистить виндоус не в безопасном режиме не с помощью экранной лупы, не с помощью восстановления каталогов...посему было принято решение переустановки ОС

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\csrcs.exe - Packed.Win32.Krap.l ( DrWEB: Win32.HLLW.Autohit.3438 )
      2. c:\windows\system32\kungsfwsp.dll - Trojan.Win32.Small.bzc ( DrWEB: Trojan.DownLoad.38278 )
      3. \\?\globalroot\systemroot\system32\kungsfwsp.dll - Trojan.Win32.Small.bzc ( DrWEB: Trojan.DownLoad.38278 )


  • Уважаемый(ая) bawka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Блокировщик Windows
      От MrWolf в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2012, 01:16
    2. Блокировщик Windows
      От Squirrel. в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 01.01.2012, 13:24
    3. Блокировщик Windows
      От grigorevas в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.11.2010, 07:47
    4. Блокировщик Windows
      От tehnik34 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.10.2010, 08:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01064 seconds with 23 queries