-
Junior Member
- Вес репутации
- 58
злостный порнобанер, серия вторая.
Новый пациент, комп исполнительного директора, сидел на mail.ru в почте и на bigmir.net.
Порнобанер появляется под учёткой пользователя, под учёткой администратора -- нет, NOD32 4 версия никоим образом не среагировал. В безопасном режиме запустил msconfig -- поотключал всё из автозагрузки, в том числе и антивирус.
Перезагрузился в обычный режим под учёткой администратора запустил переименованный AVZ с изменённым разрешением на *.pif.
Буду благодарен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
выполнил скрипт под учёткой Администратора, под ней же после перезагрузки
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
Никаких объектов там не оказалось.
Перелогинился под учёткой пользователя -- выскочило окно "ошибка CMD". Выполнил тот же скрипт, комп ушёл в перезагрузку, зашёл под учёткой пользователя -- сразу выскочил порнобанер.
В карантине так же ничего не оказалось....
-
Нужно делать логи из проблемной учетки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
сделал.
После этого снова залогинился под админом, удалил все временные файлы в каталоге пользователя документы--локал сеттингс.
Перезагрузился. Выдало ошибку "Виндовс не может найти файл такой-то.бат"
Релогин админ. Открыл регедит.ехе -- нашёл ветки на этот файлик и снёс. Ребуттнулся, учётка пользователя -- порнобанера нету, окна ошибок не выскакивает.
Цепляю логи, буду благодарен за диагноз "осталась ли ещё что-то из гадости или нет"
-
Пофиксите в HiJack
Код:
F3 - REG:win.ini: load=C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mCPDcnqT.bat
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ (в проблемной учетке)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\sdra64.exe','');
DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mCPDcnqT.bat');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\sdra64.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
карантин отослал.
повторные логи.
-
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
V_Bond
что с проблемами ?
порнобанер не высвечивается, AVZ восстановил систему (разблокировка диспетчера задач, стандартные настройки IE). Отослал повторные логи.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\андрей\application data\sdra64.exe - Trojan-Spy.Win32.Zbot.addm ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.AFDC, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.addm ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.AFDC, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-