-
Junior Member
- Вес репутации
- 54
Порно-баннер после загрузки пользователя в ХР
Доброй ночи! В опере щелкнул по закрытию баннера, не смотря на отключеные ява-скрипты мелькнуло дос-окно. После перезагрузки появился порнобаннер, отключивший запуск диспетчера задач и браузеры (оперу, фокса и ие). Эти программы закрывались сразу после запуска.
В темпе постоянно появлялся файл rdl283.tmp.exe, который, видимо грузил троянов, т.к. NOD32 несколько раз вылавливал вирусы
20.12.2009 23:23:44 Защита в режиме реального времени файл C:\temp\rdl1.tmp Win32/AutoRun.FakeAlert.M червь очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Common\svchost.exe.
20.12.2009 23:21:23 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\msvcrt57.dll модифицированный Win32/Spy.Webmoner.NCG троянская программа очищен удалением (после следующего перезапуска) - изолирован
и другие....
Файлы удалил, почистил автозапуск, AVZ сделал восстановление системы.
Опера, похоже, была заражена (очень долго запускалась) удалил и переустановил.
Просьба проверить все ли в порядке с системой (стал долго грузиться во время логона) или зараза до сих пор сидит?
Последний раз редактировалось cruel_hedgehog; 21.12.2009 в 00:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Metalex Soft\Tourney Master\TourneyMaster.exe','');
QuarantineFile('C:\Program Files\BRS\UserLayout.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tetris.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ithsgt.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\xplugLite.ocx','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 54
Карантин прислал, новые логи прикрепил. Запустил malware. Похоже, что процесс будет очень длительным .
-
Junior Member
- Вес репутации
- 54
Какая-то бяка в системе была? malware необходимость или "на всякий случай"? Оставляю до утра проверку, не дождаться результатов, еще до сих пор только системный диск проверяет
-
Какая-то бяка в системе была?
Была:
C:\Program Files\Microsoft Common\svchost.exe
Worm.Win32.Bezopi.wh
malware необходимость или "на всякий случай"?
Его лог не помешает.
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Temp\~DF7A3D.tmp','');
DeleteFile('C:\Temp\~DF7A3D.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ (если архив будет не пустой) закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Приложите лог mbam.
-
-
Junior Member
- Вес репутации
- 54
Карантин пустой. Лог mbam прикладыаю.
По результатам проверки mbam систему лечить? Или он паникует не по делу?
Последний раз редактировалось cruel_hedgehog; 21.12.2009 в 10:02.
-
Junior Member
- Вес репутации
- 54
Эх, похоже Мастер Ingener ушел офлайн . Как узнать когда появится?
-
Удалите в mbam:
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено папок:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> No action taken.
G:\install\!Antivirus\avz4\Quarantine\2009-12-21\avz00001.dta (Trojan.KillAV) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\Fonts\11MBTKFA.TMP (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\Fonts\LVHKRQ1T.TMP (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\Fonts\OG50NQ2B.TMP (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\Ner1\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Сделайте новый лог mbam.
Сами баловались?
Если нет - то это задаётся в этой ветке реестра:
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows
В параметре CSDVersion.
Задаёте там номер соответствующего SP.
-
-
Junior Member
- Вес репутации
- 54
- O_O не, не баловался. SP3 стоит
mbam запустил заново, т.к. авз-скрипт ребутнул компьютер. Поставил проверку только диска C:, судя по логу на других все чисто. Лог после очистки прилагаю. мбам просит ребут.
Последний раз редактировалось cruel_hedgehog; 21.12.2009 в 17:08.
-
ПК презагрузите, cделайте новый лог mbam.
-
-
Junior Member
- Вес репутации
- 54
Извините за задержку, долго проверяет майлваре. Результат проверки во вложении.
Стоит повторить проверку и логи AVZ?
-
В логе чисто.
Код:
Стоит повторить проверку и логи AVZ?
Нет - не нужно.
вы что не так задали в параметре CSDVersion - у вас в новом логе mbam отображается:
Код:
Windows 5.1.2600 Service Pack 0C
Поправьте значение параметра CSDVersion для SP3 на значение:
На будущее ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 54
вы что не так задали в параметре CSDVersion - у вас в новом логе mbam отображается:
- ноль забыл, спасибо за поправку.
- спасибо, все примерно так и естЬ, за исключением того, что пользовался оперой. Непривычно, но осваиваю огнелиса + носкрипт.
Огромное спасибо за помощь! С наступающим!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.Bezopi.wh
-