Номер 3381 с текстом M20111714781
Появился вот такой баннер с двумя тетками по бокам. Я зашел под ERD Commanderом, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows в ключе AppInit_DLLs стояло значение c:\Windows\System32\yujkln.dll, я его убрал, и баннер пропал.
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы, защитное ПО.
Профиксить:
Выполнить скрипт:Код:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Базы авз обновить и переделать логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\GameMon.des.exe',''); QuarantineFile('C:\WINDOWS\system32\zyncrkg.exe',''); QuarantineFile('C:\WINDOWS\system32\drwat32.exe',''); QuarantineFile('C:\Documents and Settings\USER\Application Data\pard.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\urjmlire.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rtrlgfpn.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\isfpahmn.sys',''); QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\dlovoa.sys',''); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('c:\windows\system32\userini.exe',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\Documents and Settings\USER\Application Data\pard.exe'); DeleteFile('C:\WINDOWS\system32\drwat32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe'); StopService('ICF'); DeleteService('ICF'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
карантин выслал, логи на подходе
вот и логи
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
прошу помочь
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); BC_DeleteSvc('akxspipw'); BC_DeleteSvc('urjmlire'); SetServiceStart('rtrlgfpn', 4); BC_DeleteSvc('rtrlgfpn'); SetServiceStart('akxspipw', 4); BC_DeleteSvc('isfpahmn'); BC_DeleteSvc('irkxphxtgildw'); QuarantineFile('C:\WINDOWS\System32\Drivers\akxspipw.sys',''); BC_DeleteFile('C:\WINDOWS\System32\Drivers\akxspipw.sys'); DeleteFile('C:\WINDOWS\system32\zyncrkg.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Карантина не было. После второго скрипта скачал по 2-м ссылкам флешплееры для браузеров. После перезагрузки и повторного прокручивания скрипта уязвимости обнаружены не были.
Высылаю логи
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\wpv361276865916.exe'); QuarantineFile('c:\windows\temp\wpv361276865916.exe',''); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('c:\windows\system32\userini.exe',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('c:\windows\temp\wpv361276865916.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1 + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин не получился, т.к. при очередной загрузке выскочил баннер с 3-мя тетками, и ни одна программа не захотела запускаться. пришлось подключать винт к машине с KISом 2010.
После чего подсоединил винт на место и сделал логи.
P.s. Во время сканирования к Интернету не подключался, уже боюсь.
Последний раз редактировалось akalibr; 10.07.2010 в 15:37.
Пофиксите в HiJack
C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe имеется в наличии?Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
нету такого в Хиякзисе и самого файла. Можно подключаться к Инету и обновлять антивирус?
Добавлено через 53 минуты
подключился к Интернету, обновил антивирус, вроде, ничего не лезет постороннего.
Спасибо за помощь
Последний раз редактировалось akalibr; 20.06.2010 в 18:04. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drwat32.exe - Trojan-Spy.Win32.BZub.hvp ( DrWEB: Trojan.Packed.20087, BitDefender: Rootkit.35489, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.evh ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
