Показано с 1 по 8 из 8.

Тоже порнобаннер (заявка № 61884)

  1. #1
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    4
    Вес репутации
    26

    Thumbs up Тоже порнобаннер

    Схема стандартная, как и у других.
    Но, в пятницу этот же порнобаннер был совсем другой модификации - было несколько библиотек в system32, их видел NOD32 из-под чистой системы, после очистки всех временных папок, корзины, и этих файлов, а так же восстановления с помощью AVZ, вирус был поборот.
    Сегодня же попалась новая модификация:
    - AVZ, NOD32, Cureit ничего не видят из-под чистой системы.
    - попытка запуска в зараженной системе любого исполняемого файла (ехе, pif, com и др.) приводит к вылезанию порнобаннера, т.к. изменены параметры запуска этих файлов.
    - заблокированы диспетчер задач и редактор реестра
    - при попытке запуска хайджека, AVZ или combofix система уходит в завершение работы.

    Что удалось обнаружить - запускаемые файлы, положенные в автозагрузку, запускаются без вылезания порнобаннера и работают около 5 секунд, после чего либо закрываются, либо система выключается.
    Было вручную прибито пара десятков запускаемых файлов из корня диска, из темпа, файлы свежие.
    Экземпляр вируса пойман на сайте www.urod.ru, NOD32 даже не пискнул, просто система повисла. Достаточно просто было открыть сайт.

    Попытки сделать хоть какие-то логи пока безуспешны - не запускается вообще ничего. Безопасный режим - та же ситуация.

    Подскажите программку для анализа файлов реестра без загруженной системы, может там что-то найду в автозапуске и службах.

    Добавлено через 7 минут

    Запуск полиморфной версии AVZ, переименованной версии и попытки переименования всех остальных антивирусных программ - 5 секунд работают из автозагрузки, затем завершение работы.
    Последний раз редактировалось AndreyKa; 01.12.2009 в 00:44. Причина: Добавлено

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    4
    Вес репутации
    26
    Нет.
    В зараженной системе невозможно запустить никакие exe, com, bat, pif, scr файлы иначе, как через автозагрузку.
    Через автозагрузку есть только 5 секунд работы, я за это время успеваю только ткнуть в кнопку, затем программа прибивается, компьютер выключается.

    Добавлено через 1 час 14 минут

    с чистой операционки система просканирована свежим касперским (обновление базы 1 час назад) Чисто. Но не работает, вирус активен.

    Добавлено через 51 минуту

    Проблема устранена. Удалось через автозагрузку запустить gmer. В нем нашел библиотеку с непривычным именем - opYVu.dll, грохнул её. После перезапуска запустился AVZ.

    Библиотека не определяется антивирусами, могу скинуть для анализа, если кому-то надо.

    Метод лечения - в папку автозагрузки закинуть исполняемый файл gmer. C его помощью снять логи автозапуска и загружаемых драйверов. Он не вырубается данным вирусом.
    Всем спасибо. Готов сотрудничать дальше.
    Последний раз редактировалось Hexpl0rer; 01.12.2009 в 02:36. Причина: Добавлено

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    4
    Вес репутации
    26
    лог.
    Вот только систему я уже почистил немного
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    toy3hp8e.bat, toy3hp8e.exe в автозагрузке - это что?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS.0\system32\opYVu.dll','');
    DeleteFile('C:\WINDOWS.0\system32\opYVu.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    4
    Вес репутации
    26
    карантин прислать не могу, файл уже прибит и по месту прописки в реестре, уже давно не находится.
    Файлы в автозагрузке - это переименованый gmer

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Тогда лечение закончено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Hexpl0rer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 26.03.2012, 19:23
    2. и тоже порнобаннер
      От Straighthate в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.12.2009, 16:30
    3. Тоже Get Accelerator
      От tk2710 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 00:49
    4. Тоже Get Accelerator
      От sudosupply в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2009, 14:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01555 seconds with 21 queries