-
Junior Member
- Вес репутации
- 50
monoca32 и не только
Добрый день, поймал заразу через сплойт какой-то (предположительно через уязвимость в JAVA, потому что она крашнулась в то время когда я поймал вирус)
Он сделал два файла в system32, прописал их в "Userinit" в реестре. Я их сразу удалил. Один из них позже опознался на virustotal НОДом32 как Win32/Spy.Shiz.NAL, я архивировал. Ещё кинул в папку автозагрузки файл monoca32.exe (packed.win32.krap.ao по касперу).
Чудом скачал CureIt (зараза заблокировала все антивирус сайты), он нашел и удалил: bat.killfiles.33 и trojan.winspy.921.
Потом поставил каспера, он нашел Обнаружено: Trojan.Win32.BHO.ajcb C:\Program Files\Internet Explorer\setupapi.dll
Ещё два раза Explorer.exe крашнулся.
Не знаю осталась зараза или нет, вот логи
Последний раз редактировалось Idiot; 06.08.2010 в 20:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%SystemRoot%\system32\user32.exe','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','System Panel');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
quarantine.zip пустой.
syspanel32.exe - забыл про него написать, я его тоже ручками удалил.
user32.exe - это от винлока с смской давно видать осталось...
Это уязвимость в яве известная? где-нить поподробней прочесть можно?
-
- удалите в MBAM
Код:
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-