Показано с 1 по 19 из 19.

Пришло письмо с вирусом в zip (заявка № 70096)

  1. #1
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28

    Question Пришло письмо с вирусом в zip

    Приветствую.
    Друг получил письмо с зип файлом и рапаковал его, в результате получил сообщение на рабочий стол, с предложением установить антивирусное обеспечение... Nod 32 вер. 4800, поймал Win32/TrojanDjwnloder.FakeAlert.AED - 2 шт, JS/TrojanCliker.Agent.FK - 5 шт.
    до этого стояла вер. 4545 которая всю эту дрянь пропустила...
    Помогите пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Обновите базы AVZ!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\smss32.exe');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\winlogon32.exe','');
     QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
     QuarantineFile('c:\windows\system32\smss32.exe','');
     DeleteFile('c:\windows\system32\smss32.exe');
     DeleteFile('D:\autorun.inf');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
    UserInit=C:\WINDOWS\system32\winlogon32.exe
    - userinit.exe походу подменен в реестре. Посмотрите, если ли он на диске

  4. #3
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Спасибо, сечас все сделаю, модемное соединение здесь, увы быстро скачать обнову не получается...

    Добавлено через 50 минут

    Карантин отправил, winlogon32.exe и userinit.exe присутствуют
    Последний раз редактировалось ViLev; 03.02.2010 в 13:43. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    winlogon32.exe - дата создания 02.02.10
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Жаль что сегодня нет решения проблемы...
    Хорошие люди есть везде, просто их очень сложно найти...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Сейчас скриптик накидаю

    Добавлено через 10 минут

    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\smss32.exe');
     QuarantineFile('c:\windows\system32\smss32.exe','');
     DeleteFile('C:\WINDOWS\system32\winlogon32.exe');
     DeleteFile('c:\windows\system32\smss32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    winlogon32.exe можете не выбирать в списке карантина.

    Повторите логи.
    Последний раз редактировалось light59; 03.02.2010 в 21:30. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    light59,
    Спасибо... жду, вот только опробовать его смогу только завтра, я уже дома, а друг совсем не может ни чего, кроме ловли вирей.
    Хорошие люди есть везде, просто их очень сложно найти...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Тогда эта статья пригодится http://virusinfo.info/showthread.php?t=30339.

  10. #9
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Спасибо, завтра выполню и отпишусь.
    Хорошие люди есть везде, просто их очень сложно найти...

  11. #10
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Вроде все заработало, спасибо большое.
    Карантин выслал, логи добаляю.
    Вложения Вложения
    Хорошие люди есть везде, просто их очень сложно найти...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Это сами делали?
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080

    В остальном чисто

  13. #12
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    light59,
    Огромное спасибо за лечение!!!
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
    А что здесь не так?
    Хорошие люди есть везде, просто их очень сложно найти...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Ну если IE у вас в интернет нормально выходит, то ничего плохого в этом нет

  15. #14
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    light59,
    Вобще не выходит, только через Оперу.
    Можно както исправить?
    Хорошие люди есть везде, просто их очень сложно найти...

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

  17. #16
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Профиксил, перезагрузил, проверил... его нет, запускаю IE, не работает, проверяю, опять находит R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
    Хорошие люди есть везде, просто их очень сложно найти...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    пуск- панель управления - свойства обозревателя.
    Закладка "Подключения" -> Кнопка "Настройка сети"

    В поле Прокси сервер удалите всё и снимите галочку.

  19. #18
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    28
    Все сделал, но IE не работает, да и фиг с ним...
    Огромное спасибо за помощь, тему можно закрывать.
    Хорошие люди есть везде, просто их очень сложно найти...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\smss32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\winlogon32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) ViLev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 08.08.2012, 12:26
    2. Пришло письмо от Сбербанка
      От Rudder в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.06.2012, 21:46
    3. Ответов: 4
      Последнее сообщение: 31.12.2011, 13:16
    4. Ответов: 11
      Последнее сообщение: 28.06.2007, 20:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01269 seconds with 23 queries