Снова WinSpy.440. новая модификация?

**lacunacoil** · 18.02.2010, 11:08

Здравствуйте!
У вас на форуме уже была тема об этом вирусе. При лечении комп уходит в перезагрузку. Но естественно, случай уникален и скрипты из похожей темы не подходят. Надеюсь на вашу помощь, спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 18.02.2010, 11:39

virusinfo_cure.zip - удалите из темы!!!!

Добавлено через 1 минуту

приложите - virusinfo_syscheck.zip

Добавлено через 5 минут

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DelBHO('{88888888-8888-8888-8888-888888888888}');
 DelBHO('{332A3FE8-529B-47CB-A885-C1DBFA427E1A}');
 QuarantineFile('C:\Documents and Settings\CCBUser\Application Data\msmedia.dll','');
 DeleteFile('C:\Documents and Settings\CCBUser\Application Data\msmedia.dll');
 QuarantineFile('C:\WINDOWS\system32\win32extension.dll','');
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

логи сделайте в нормальном режиме

**lacunacoil** · 18.02.2010, 13:41

я выполнила скрипты и добавила логи согласно правил

**polword** · 18.02.2010, 13:52

Personal Security - программу устанавливали?
Если да, то удалите её.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**lacunacoil** · 18.02.2010, 14:22

Personal Security не удаляется. Выскакивает запрос на активацию, блокируется раб.стол

**polword** · 18.02.2010, 14:45

1.запустите Диспетчер задач. Откройте вкладку процессы и выберите процесс psecurity.exe.
После этого кликните по кнопке Завершить процесс и подтвердите свои действия выбрав ДА.
Закройте Диспетчер задач.

2. Сделайте лог MBAM.

3. лог прикрепите к сообщению

**lacunacoil** · 18.02.2010, 15:02

я удалила саму программу из автозагрузки, тоесть в задачах ее нет
Только в Установке программ, и при попытке ее удаления все вешается

**polword** · 18.02.2010, 15:26

- Сделайте лог MBAM.
-лог прикрепите к сообщению

**lacunacoil** · 18.02.2010, 16:36

сделала

**polword** · 19.02.2010, 07:40

1.профиксить в MBAM

Код:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\CCBUser\Desktop\Personal Security.lnk ','');
 DeleteFile('C:\Documents and Settings\CCBUser\Desktop\Personal Security.lnk ');
 QuarantineFile('C:\WINDOWS\system32\win32extension.dll','');
 DeleteFile('C:\WINDOWS\system32\win32extension.dll');
 DeleteFileMask('c:\Program Files\PSecurity', '*.*', true);
 DeleteDirectory('c:\Program Files\PSecurity');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PSecurity');
 RegKeyParamDel('HKEY_CLASSES_ROOT','CLSID','{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.0\User Agent\post platform','WinTSI 01.12.2009');
 DelBHO('{6551001F-A07B-40B1-8F55-B44BF35A42A6}');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные лог virusinfo_syscheck.zip;

Добавлено через 9 минут

скачайте вот такую программку CCleaner
почитать можно тут
после установки CCleaner
нажать=> Реестр(слева)=>поиск проблем=>после окончания поиска=>исправить..

Добавлено через 41 секунду

отпишитесь

**lacunacoil** · 19.02.2010, 15:20

Спасибо!
Значит так, по порядку

, MBAM пофиксила, авз скрипты выполнила, CCCleaner -ом почистила. Только програмка Personal Security все равно осталась и не удалялась стандартными средствами. Удалось удалить ее только через TotalUninstall. Новый лог прилагаю. Надеюсь, в системе уже ничего подозрительного не осталось.?

**polword** · 19.02.2010, 15:42

в логе чисто
вот это

Internet Explorer v6.00 SP2
Windows XP SP2

- надо срочно обновить

Необходимо :
- SP2 обновить до Service Pack 3(может потребоваться активация)
- поставить все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

- Установить Internet-Explorer 8.(даже если Вы его не используете)

**lacunacoil** · 19.02.2010, 16:14

поняла. спасибо большое!!!

**polword** · 19.02.2010, 18:11

Пожалуйста

**CyberHelper** · 20.02.2010, 18:11

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.440, AVAST4: Win32:Patched-KP [Trj] )
2. c:\windows\system32\win32extension.dll - Trojan.Win32.FraudPack.anuv ( DrWEB: Trojan.Packed.19697 )

Снова WinSpy.440. новая модификация? (заявка № 71598)

Опции темы

Снова WinSpy.440. новая модификация?

выполнено

Итог лечения

Похожие темы

Снова Trojan.WinSpy.440 плюс много всякой всячины

Windows заблокирована новая модификация

новая модификация onlinegames

Очевидно новая модификация трояна AutoIt

Новая модификация вируса Sober.N

Ваши права в разделе