Показано с 1 по 14 из 14.

Странное поведение вируса... (заявка № 75296)

  1. #1
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53

    Thumbs up Странное поведение вируса...

    Два часа назад поймал СМС-вирус...
    Поведение: СМС баннер, какое-то бешенное кол-во постоянно открывающихся процессов командной строки (смотрел в ProcessExplorer), проблема запуска explorer'а, открытие Моих документов при загрузке, появление баннера только после ручного запуска explorer'а, самоликвидация(?).
    В итоге открыл Автозагрузку через CCleaner, нашел путь C:\Windows\systems.exe, снял загрузку, отправил систему на ребут...
    После ребута explorer не загрузился, вылетели Мои документы, загрузил вручную оболочку, баннера нет, пути к загрузке .exe файла тоже, и файл из системной папки пропал, оказались включены все пути Автозагрузки, пропал .exe файл Оперы.
    Поиск по системному диску был успешным, файл systems.exe я нашел в папке пользователей. Там же рядом обнаружил файл Оперы.
    Проверка обоих файлов на virustotal показала, что файл Оперы чист, найденный файл вируса показал следущее:
    http://www.virustotal.com/ru/analisi...d9e-1270365735
    Проверил файл на сайте Касперского, ноль.
    Сижу на Windows Seven Ultimate build 7260, под Администратором, стоит NOD32(бызы сегодняшние), дефендеры и защиты диска выкл, но AVZ, после начала скана, на втором этапе, при проверке памяти вылетает... (Как под Семеркой то нормально завести его?)
    В данный момент проверяю вчерашним CureIt'ом, нашло пока только вирус Trojan.Oficla.38 в темпе Application Data администратора (он не он? ).
    Файл упаковал в архив smsvirus.zip с пассом и отправил.
    Последний раз редактировалось SysF; 04.04.2010 в 12:13. Причина: отправил файл

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Как просили )

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: Shell=%windir%\Explorer.exe
    F2 - REG:system.ini: UserInit=\WINDOWS\system32\userinit.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe','');
     QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys','');
     DeleteFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Пофиксил.
    Скрипт не доработал... AVZ вылетел с ошибкой... Ребута небыло... (((

    Новые логи пока не делал...
    Выслал запрошенный лог virus.zip

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В Vista (Windows 7) при выполнении скрипта и создании логов AVZ запускать от имени Администратора по правой кнопке мыши

    Антивирус отключали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Антивирус выключил, работаю под главным Администратором, ничего не изменилось, AVZ вылетает на том же месте... (
    Перезагрузился вручную... попробовал еще раз, та же история...
    Последний раз редактировалось SysF; 04.04.2010 в 15:13.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте убрать из скрипта строку
    Код:
    SearchRootkit(true, true);
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Все, без антируткита AVZ отработал нормально!
    Вот новые логи

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Скрипт выполнил.
    Прикладываю лог...

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в Hijack
    Код:
    O20 - AppInit_DLLs:
    Больше плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    17.10.2009
    Сообщений
    16
    Вес репутации
    53
    Пофиксил! )
    Так вроде все тихо, только сегодня странно отказал поиск Google в Опере со строки в Экспресс панели (напомню, вирус перенес файл Opera.exe вместе с собой), но так потыкал разные поисковики туда-обратно в настройках, вроде отпустило, возможно лаг самой Оперы...
    Вобщем все нормально!
    Спасибо всем за помощь!
    Тему можно закрывать. )

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. \systems.exe - Trojan-Ransom.Win32.PinkBlocker.ajj ( DrWEB: Trojan.Winlock.1270, BitDefender: Trojan.Generic.3639040, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) SysF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Странное поведение XP
      От Панарин Александр в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.03.2009, 20:24
    2. Ответов: 8
      Последнее сообщение: 22.02.2009, 04:27
    3. Странное поведение
      От alex2san в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.11.2008, 16:21
    4. Странное поведение
      От Alexgood в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2008, 16:29
    5. Странное поведение
      От Alexgood в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.05.2008, 14:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01365 seconds with 19 queries