-
Junior Member
- Вес репутации
- 53
Странное поведение вируса...
Два часа назад поймал СМС-вирус...
Поведение: СМС баннер, какое-то бешенное кол-во постоянно открывающихся процессов командной строки (смотрел в ProcessExplorer), проблема запуска explorer'а, открытие Моих документов при загрузке, появление баннера только после ручного запуска explorer'а, самоликвидация(?).
В итоге открыл Автозагрузку через CCleaner, нашел путь C:\Windows\systems.exe, снял загрузку, отправил систему на ребут...
После ребута explorer не загрузился, вылетели Мои документы, загрузил вручную оболочку, баннера нет, пути к загрузке .exe файла тоже, и файл из системной папки пропал, оказались включены все пути Автозагрузки, пропал .exe файл Оперы.
Поиск по системному диску был успешным, файл systems.exe я нашел в папке пользователей. Там же рядом обнаружил файл Оперы.
Проверка обоих файлов на virustotal показала, что файл Оперы чист, найденный файл вируса показал следущее:
http://www.virustotal.com/ru/analisi...d9e-1270365735
Проверил файл на сайте Касперского, ноль.
Сижу на Windows Seven Ultimate build 7260, под Администратором, стоит NOD32(бызы сегодняшние), дефендеры и защиты диска выкл, но AVZ, после начала скана, на втором этапе, при проверке памяти вылетает... (Как под Семеркой то нормально завести его?)
В данный момент проверяю вчерашним CureIt'ом, нашло пока только вирус Trojan.Oficla.38 в темпе Application Data администратора (он не он? ).
Файл упаковал в архив smsvirus.zip с пассом и отправил.
Последний раз редактировалось SysF; 04.04.2010 в 12:13.
Причина: отправил файл
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=%windir%\Explorer.exe
F2 - REG:system.ini: UserInit=\WINDOWS\system32\userinit.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe','');
QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys','');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пофиксил.
Скрипт не доработал... AVZ вылетел с ошибкой... Ребута небыло... (((
Новые логи пока не делал...
Выслал запрошенный лог virus.zip
-
В Vista (Windows 7) при выполнении скрипта и создании логов AVZ запускать от имени Администратора по правой кнопке мыши
Антивирус отключали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Антивирус выключил, работаю под главным Администратором, ничего не изменилось, AVZ вылетает на том же месте... (
Перезагрузился вручную... попробовал еще раз, та же история...
Последний раз редактировалось SysF; 04.04.2010 в 15:13.
-
Попробуйте убрать из скрипта строку
Код:
SearchRootkit(true, true);
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Все, без антируткита AVZ отработал нормально!
Вот новые логи
-
- Выполните скрипт в AVZ
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил.
Прикладываю лог...
-
Пофиксите в Hijack
Больше плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пофиксил! )
Так вроде все тихо, только сегодня странно отказал поиск Google в Опере со строки в Экспресс панели (напомню, вирус перенес файл Opera.exe вместе с собой), но так потыкал разные поисковики туда-обратно в настройках, вроде отпустило, возможно лаг самой Оперы...
Вобщем все нормально!
Спасибо всем за помощь!
Тему можно закрывать. )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \systems.exe - Trojan-Ransom.Win32.PinkBlocker.ajj ( DrWEB: Trojan.Winlock.1270, BitDefender: Trojan.Generic.3639040, AVAST4: Win32:Rootkit-gen [Rtk] )
-