-
Junior Member
- Вес репутации
- 53
Trojan.Downloader.Win32.Piker.bve (SMS K206724100 на 4460)
Здравствуйте.
Уважаемые знатоки, помогите добить гада.
Проблема, очень похожая на описанную здесь http://virusinfo.info/showthread.php?t=67596
Не работает редактор реестра, заблокировано восстановление системы, заблокирован KAV2009, при запуске программ выскакивал банер с вымогательством денег. Тоже не помогли основные средства лечения описанные на форуме. Поступил так - загрузился с другого жесткого диска, установил туда триал KAV2010 с последними базами и просканировал проблемный диск. Антивирус ничего не нашел. Далее пользуясь информацией с форума полез в папку system32 и нашел там несколько подозрительных dll одинакового размера со случайным именем файла и вчерашней датой создания. Отправил образец в Лабораторию Касперского. Они ему присвоили имя Trojan.Downloader.Win32.Piker.bve . Буквально через пару часов после обновления KAV стал его видеть - вычистил на проблемном диске несколько экземпляров. Но, вот что странно. Я поместил в карантинную папку 6 экземпляров этой dll. Но KAV признал за врага только один. А прочие, в том числе и те два экземпляра, которые я им отсылал, были признаны безопасными. Ну да ладно, ему виднее, главное систему вычистил и часть проблем ушло. Стали запускаться программы и пропал банер. Осталось разблокировать доступ к реестру, к диспетчеру задач и запуску KAV (пишет, что запрещено администратором). Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, отключите компьютер от интернета, а также антивирус и/или файрвол. Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J','');
QuarantineFile('C:\WINDOWS\tmp\oo.dll','');
QuarantineFile('C:\WINDOWS\tmp\leywgkomc.dll','');
QuarantineFile('C:\WINDOWS\tmp\ikozm.dll','');
QuarantineFile('C:\WINDOWS\tmp\dovore.dll','');
QuarantineFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll','');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153160.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153159.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153158.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153157.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153149.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153069.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153068.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll');
DeleteFile('C:\WINDOWS\tmp\oo.dll');
DeleteFile('C:\WINDOWS\tmp\leywgkomc.dll');
DeleteFile('C:\WINDOWS\tmp\ikozm.dll');
DeleteFile('C:\WINDOWS\tmp\dovore.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пофиксите в Hijackthis:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 53
Сделал как велено. Все прошло нормально за исключением того, что произошло зависание во время перезагрузки. Пришлось помочь кнопкой. После всех действий система внешне выздоровела! Огромное спасибо!
Логи и карантин высылаю.
Еще небольшое замечание - возможно это важно и как-то связано с трояном. Залез в статистику ожившего KAV и обнаружил, что в момент заражения орудовал некий вирус HEUR:Exploit.Script.Generic . Вроде KAV на него ругался и блокировал. Но именно после этого начались неприятности. Сохранился URL этого вируса, ведущий на некий американский сайт. Если нужно, я его предоставлю.
Знать бы еще где я эту заразу подцепил. Ходил в тот день по "обычныму маршруту" - новостные сайты, погода и по работе...
-
В логах ничего плохого. Обновите Internet Explorer до 8 версии. Ссылку на сайт в личку киньте.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-