-
Junior Member
- Вес репутации
- 57
Номер 3381 с текстом M20111714781
Появился вот такой баннер с двумя тетками по бокам. Я зашел под ERD Commanderом, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows в ключе AppInit_DLLs стояло значение c:\Windows\System32\yujkln.dll, я его убрал, и баннер пропал.
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\GameMon.des.exe','');
QuarantineFile('C:\WINDOWS\system32\zyncrkg.exe','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\Documents and Settings\USER\Application Data\pard.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\urjmlire.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\rtrlgfpn.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\isfpahmn.sys','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\dlovoa.sys','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\Documents and Settings\USER\Application Data\pard.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe');
StopService('ICF');
DeleteService('ICF');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Базы авз обновить и переделать логи.
-
-
Junior Member
- Вес репутации
- 57
карантин выслал, логи на подходе
вот и логи
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
-
Junior Member
- Вес репутации
- 57
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_DeleteSvc('akxspipw');
BC_DeleteSvc('urjmlire');
SetServiceStart('rtrlgfpn', 4);
BC_DeleteSvc('rtrlgfpn');
SetServiceStart('akxspipw', 4);
BC_DeleteSvc('isfpahmn');
BC_DeleteSvc('irkxphxtgildw');
QuarantineFile('C:\WINDOWS\System32\Drivers\akxspipw.sys','');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\akxspipw.sys');
DeleteFile('C:\WINDOWS\system32\zyncrkg.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 57
Карантина не было. После второго скрипта скачал по 2-м ссылкам флешплееры для браузеров. После перезагрузки и повторного прокручивания скрипта уязвимости обнаружены не были.
Высылаю логи
Последний раз редактировалось akalibr; 10.07.2010 в 14:33.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\wpv361276865916.exe');
QuarantineFile('c:\windows\temp\wpv361276865916.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\temp\wpv361276865916.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1 + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
карантин не получился, т.к. при очередной загрузке выскочил баннер с 3-мя тетками, и ни одна программа не захотела запускаться. пришлось подключать винт к машине с KISом 2010.
После чего подсоединил винт на место и сделал логи.
P.s. Во время сканирования к Интернету не подключался, уже боюсь.
Последний раз редактировалось akalibr; 10.07.2010 в 15:37.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe
C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe имеется в наличии?
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
нету такого в Хиякзисе и самого файла. Можно подключаться к Инету и обновлять антивирус?
Добавлено через 53 минуты
подключился к Интернету, обновил антивирус, вроде, ничего не лезет постороннего.
Спасибо за помощь
Последний раз редактировалось akalibr; 20.06.2010 в 18:04.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drwat32.exe - Trojan-Spy.Win32.BZub.hvp ( DrWEB: Trojan.Packed.20087, BitDefender: Rootkit.35489, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.evh ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-