-
Junior Member
- Вес репутации
- 56
очередной зараженный комп из LAN
Что делает вирус
1. Изменяет файл хост.
2. Блокирует изменение настроек сетевого подключения
3. Модифицирует диспетчер задач
4. Мониторит сетку по 445 порту, инсталит свои копии на другие компьютеры локалки. Из тех, где стоит касперский - заражения ноль, из тех, где стоит trendmicro - 100% зараженность.
5. При подключении к компу флэшки сразу копирует туда autoran.inf и две папки "scan" и "driver"
Вирсу еще делает многое другое, перечислять долго, включая блокировку хайджека и авз(хорошо хоть переименование авз помогло, с hj так не получилось)
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
QuarantineFile('C:\WINDOWS\system32\sekoogilo.exe','');
QuarantineFile('C:\Cookie.bat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bbmygcxq.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\canehoyh.sys','');
DeleteService('canehoyh');
DeleteService('bbmygcxq');
QuarantineFile('c:\program files\stunnel\stunnel.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\canehoyh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bbmygcxq.sys');
DeleteFile('C:\Cookie.bat');
DeleteFile('C:\WINDOWS\system32\sekoogilo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quoubouw');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 56
Карантин закачан, логи прикрепил.
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
-
-
Junior Member
- Вес репутации
- 56
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
