Показано с 1 по 10 из 10.

Вирус (заявка № 82090)

  1. #1
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    5
    Вес репутации
    51

    Thumbs up Вирус

    Вирус «тормозит» загрузку интернет страниц(решается перезагрузкой), модифицирует ctfmon и отключает русскую раскладку, добавляет чего-то в автозагрузку в том числе запускает при входе в widows msconfig, постоянно дописывает чего-то в корзины на дисках(если я удаляю в ручную) и system32, постоянно сбрасывает галку «показывать скрытые и системные файлы», на некоторых папках во вкладке безопасность какой-то левый пользователь с длинным именем похожим на название файла(что-то вроде S-1-5-21-0741203276-5174745523-898393899-903, который периодически создается в корзине, вырубает AVZ, HijackThis, ProcessExplorer(решается переименование фалов), создает на флешке autorun и еще какую-то папку. Полная проверка Symantec в безопасном режиме ничего не дала, пару раз Symantec отлавливал вот это:
    Discovered: September 29, 2009
    Updated: September 30, 2009 8:32:32 AM
    Also Known As: W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
    Type: Worm
    Infection Length: 109,056 bytes
    Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
    When executed, the worm copies itself as the following file:
    %SystemDrive%\RECYCLER\[SID]\sysdate.exe

    It also creates the following file:
    %SystemDrive%\RECYCLER\[SID]\Desktop.ini

    Note: [SID] is a Security Identifier (SID) similar to the following example:
    S-1-5-21-0741203276-5174745523-898393899-9038

    It then creates the following registry entry so that it runs every time Windows starts:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Taskman" = "%SystemDrive%\RECYCLER\[SID]\sysdate.exe"



    Dr web cure it ничего не нашел, но правда в обычном режиме. Да еще вирус правил файл hosts пока не задал атрибут только чтение.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
     QuarantineFile('C:\Feast\Ival\Feast.exe','');
     QuarantineFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\hsipcidr.sys','');
     QuarantineFile('c:\windows\system32\wmpxt1.exe','');
    DelCLSID('67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521');
    DelCLSID('67KLN5K0-4OPM-00WE-AAX8-17EF1D187263');
     DeleteService('naecd');
     DeleteFile('c:\windows\system32\wmpxt1.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
     DeleteFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe');
     DeleteFile('C:\Feast\Ival\Feast.exe');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    5
    Вес репутации
    51
    Когда сохранял из браузера код скрипта, заметил такую вещь, если открывать текстовой файл блокнотом, то windows сначала выдает сообщение, что такой не может найти файл с таким путем, а затем все равно открывает, если открывать тот же файл, например, c помощью ultraedit, то такого сообщения не появляется.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Больше зловредного не вижу.
    Очистите временные папки интернета.
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.

  6. #5
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    5
    Вес репутации
    51
    Огромное спасибо!!!

  7. #6
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    5
    Вес репутации
    51
    Снова проявился вирус. Symantec ругнулся, удалил файл с расширением jpg и сказал что для полного удаления нужно перегрузиться, перегрузился. Вирус отключил русскую раскладку, но symantec ее восстановил, правда, без языковой панели. Вирус отключил видимость скрытых файлов и папок, в корзине опять лежит диспетчер задач для подмены, в temp windows появился файл tmp1.exe, в system32 исполняемые файлы, похожие на те, что вчера удаляли скриптом.(wmpx.exe - как-то так, точно сказать не могу т.к. после перезагрузки из-за symantec, они исчезли)

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от oleg_v_ Посмотреть сообщение
    Снова проявился вирус.
    так Вам же написали что сделать
    Цитата Сообщение от DefesT Посмотреть сообщение
    Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\System32\drivers\pxrts.sys','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
     TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
     DeleteFile('c:\windows\system32\wmpxt1.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  9. #8
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    5
    Вес репутации
    51
    Логи

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Плохого не видно. Обновляйте систему, а то опять заразу схватите!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\eomemmk7\2j[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.504 )
      2. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\gr0g5z16\ed[1].zip - Packed.Win32.Krap.hf
      3. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\dp[1].zip - Packed.Win32.Krap.hf
      4. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\h7[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.504 )
      5. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\kd[1].zip - Packed.Win32.Krap.hf ( DrWEB: Win32.HLLW.Lime.8 )
      6. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\debug[1].zip - Packed.Win32.Krap.hf ( BitDefender: Trojan.Generic.KD.17840 )
      7. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\jp[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )
      8. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\qt[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )
      9. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1451\games.exe - Trojan.Win32.Buzus.eozn ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Agent.APXW, AVAST4: Win32:Trojan-gen )
      10. c:\windows\system32\wmpxt1.exe - Packed.Win32.Krap.hf


  • Уважаемый(ая) oleg_v_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00633 seconds with 18 queries