Показано с 1 по 12 из 12.

Модифицированный порно-информер (заявка № 51837)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27

    Модифицированный порно-информер

    Доброго времени суток. В общем при запуске любого интернет-браузера (IE, Opera, Mozilla) браузер блочится, а вместо него появляется окно с материалами порнографического содержания, а так же с предложением отправить СМС с кодом *** на номер ****, для, якобы, снятия информера.
    Так же блокируется редактор реестра, диспетчер задач, антивирус, и пр.
    Чтобы запустить AVZ и HiJackThis приходилось переименовывать исполняющие файлы:
    AVZ.exe в aa.exe
    HiJackThis.exe в H.exe

    Надеюсь на вашу помощь!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\VwWZPU.dll','');
     QuarantineFile('C:\WINDOWS\system32\ujiOMC.dll','');
     QuarantineFile('C:\WINDOWS\system32\TPxgZf.dll','');
     QuarantineFile('C:\WINDOWS\system32\RRTspD.dll','');
     QuarantineFile('C:\WINDOWS\system32\QQeghN.dll','');
     QuarantineFile('C:\WINDOWS\system32\IXLCOh.dll','');
     QuarantineFile('C:\WINDOWS\system32\HKhZWe.dll','');
     QuarantineFile('C:\WINDOWS\system32\gMJdiM.dll','');
     QuarantineFile('C:\WINDOWS\system32\dAlIgC.dll','');
     QuarantineFile('C:\Documents and Settings\SkyDancer\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
     DeleteService('TapiSrvSSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\1041a.exe','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\Players.exe','');
     DeleteFile('C:\WINDOWS\system32\Players.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\crypt.dll');
     DeleteFile('C:\WINDOWS\system32\1041a.exe');
     DeleteFile('C:\Documents and Settings\SkyDancer\Главное меню\Программы\Автозагрузка\rncsys32.exe');
     DeleteFile('C:\WINDOWS\system32\dAlIgC.dll');
     DeleteFile('C:\WINDOWS\system32\gMJdiM.dll');
     DeleteFile('C:\WINDOWS\system32\HKhZWe.dll');
     DeleteFile('C:\WINDOWS\system32\IXLCOh.dll');
     DeleteFile('C:\WINDOWS\system32\QQeghN.dll');
     DeleteFile('C:\WINDOWS\system32\RRTspD.dll');
     DeleteFile('C:\WINDOWS\system32\TPxgZf.dll');
     DeleteFile('C:\WINDOWS\system32\ujiOMC.dll');
     DeleteFile('C:\WINDOWS\system32\VwWZPU.dll');
     DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp\', '*.*', true);
     DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
     DeleteFileMask('%tmp% ','*.* ',true);
    BC_Importall;
     BC_DeleteSvc('TapiSrvSSDPSRV');
    ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(9);
     ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=51837
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27
    Карантин отрпавил (090812_143448_virus_4a829ac82be70.zip), логи сделал.
    Большое спасибо за помощь, проблема решена. Правда появилась другая - некоторые сайты (в том числе и virusinfo.info) отказываются грузиться в любом браузере, отображается сообщение "сайт временно недоступен", поэтому пишу с компьютера на работе...
    Но вполне возможно что это уже другая история

    upd: Прошу прощения, неправильно сделал архив с карантином. Отправил заново, имя в сообщении выше исправил (хотя вы наверное итак все видите)...
    Вложения Вложения
    Последний раз редактировалось MaxS; 12.08.2009 в 14:35.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от MaxS Посмотреть сообщение
    Но вполне возможно что это уже другая история
    Не, это все та же история..

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('crypt.dll','');
     QuarantineFile('M:\autorun.inf','');
     QuarantineFile('M:\jhmeas.exe','');
     DeleteFile('M:\jhmeas.exe');
     DeleteFile('M:\autorun.inf');
     ClearHostsFile;
     SetAVZPMStatus(true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 ).
    Hекоторых записей может не оказаться - это нормально.
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    3. Провести такую процедуру

    4.Повторить логи
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27
    Отправил карантин (090813_171124_virus_4a8410fc414e7.zip), сделал логи, пофиксил все 4 указанные вами строчки, выполнил п3 (там действительно была проблема )

    Сайты открываются, из симптомов... меня беспокоит разве что постоянная отмена отображения скрытых файлов (несмотря на то, что я каждый раз включаю нужную опцию) и периодически в наушниках слышны весьма странные щелчки (немного напоминает звук открытия папки, но тише и короче). Все остальное отступило =)
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Оно возвращается с флешек..

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('M:\autorun.inf','');
     QuarantineFile('M:\mvewmm.exe','');
     QuarantineFile('crypt.dll','');
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('crypt.dll');
     DeleteFile('M:\mvewmm.exe');
     DeleteFile('M:\autorun.inf');
     ExecuteRepair(16);
    ExecuteWizard('TSW', 2, 2, true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Повторить лог virusinfo_syscheck.zip

    Скачайте свежий CureIt (в правилах есть ссылка) и почистите им флешки.
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27
    Отправил карантин (090813_193643_virus_4a84330bbea77.zip).
    Лог сделал. Флешку почистил (она, к счастью, одна), CureIt ничего на ней не обнаружил, но зараженные файлы были удалены по ходу выполнения скрипта (директория M это она и есть). Пока все тихо и спокойно... надеюсь с этим покончено...
    Вложения Вложения
    Последний раз редактировалось MaxS; 13.08.2009 в 19:53.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    C:\Program Files\Multi Password Recovery - сами устанавливали?

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask('%temp%','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27
    Цитата Сообщение от Rene-gad
    C:\Program Files\Multi Password Recovery - сами устанавливали?
    Да, когда была необходимость восстановить пароль от ICQ (средства самой ICQ работать отказывались). Инсталлер проверял последней версией Касперского, ничего опасного он там не нашел.
    Лог сделал, неужели все?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от MaxS Посмотреть сообщение
    Да, когда была необходимость восстановить пароль от ICQ
    Не нравится она мне: службу запускает... Я бы на Вашем месте ее удалил.
    А в логе ничего враждебного.

    - Установите все важные патчи.
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  12. #11
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    24
    Вес репутации
    27
    Пожалуй так и сделаю, тем более что она мне больше не нужна.
    Ну на этом всё, все замечания учту, все поставлю, большое спасибо за помощь, всего вам самого наилучшего

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,547
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\skydancer\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Agent.ckqu ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.1989825, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen {Other} )
      2. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )
      3. c:\windows\system32\daligc.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      4. c:\windows\system32\gmjdim.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      5. c:\windows\system32\hkhzwe.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      6. c:\windows\system32\ixlcoh.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      7. c:\windows\system32\qqeghn.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      8. c:\windows\system32\rrtspd.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      9. c:\windows\system32\tpxgzf.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      10. c:\windows\system32\ujiomc.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      11. c:\windows\system32\vwwzpu.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
      12. c:\windows\system32\1041a.exe - Trojan.Win32.Agent.ckda ( DrWEB: BackDoor.IRC.Bot.114, BitDefender: Trojan.Generic.IS.509408, NOD32: Win32/Agent.CKDA trojan, AVAST4: Win32:Trojan-gen {Other} )
      13. m:\autorun.inf - Trojan.Win32.AutoRun.v ( BitDefender: Trojan.AutorunINF.Gen )
      14. m:\jhmeas.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )
      15. m:\mvewmm.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )


  • Уважаемый(ая) MaxS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ПОРНО ИНФОРМЕР
      От lavrov в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.07.2010, 18:23
    2. порно-информер
      От Таьяна в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.03.2010, 08:49
    3. Порно информер Срочно!!
      От Мурад в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.07.2009, 17:34
    4. порно-информер в IE
      От maxxxxx в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:25
    5. порно информер
      От pirog™ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2008, 18:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01350 seconds with 23 queries