Показано с 1 по 14 из 14.

Вирус через аську. Snatch. (заявка № 85539)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54

    Thumbs up Вирус через аську. Snatch.


    Хорошая знакомая прислала файл через аську, передача была отключена. уточнил что такое, сказала, что прикольная мини-игра, мол, ставь поиграем. скачал, проверил антивирусом, запустил. тут же вырубилась аська, понял что сотворил глупость, но было уже поздно.. аська больше не запускалась до тех пор пока не снес процесс и не переустановил qip. за это время аналогичное сообщение успело разослаться от меня по контакт-листу..
    прошу проверить, есть ли что-нибудь подозрительное, т.к. у меня мутные сомнения что я так легко от этой гадости отделался..

    Прошу простить за то, что лишнюю работу вам создаю, но может ещё пригодится.. судя по всему распространяется она очень быстро..Первый раз сталкиваюсь с такими умными ботами, которые отвечают на твои вопросы как живые люди...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     TerminateProcessByName('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');     
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
     QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
     QuarantineFile('c:\program files\irotate\irotate.exe','');   
     QuarantineFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vpn.bat','');
     DeleteFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');     
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    А если vpn.bat на рабочем столе - нужный файл (скрипт автозапуска vpn-соединения)? Команду QuarantineFile для него все равно надо выполнять?

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Эта команда всего лишь скопирует его в карантин, убивать я его не планировал.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    ок, щас сделаю

    Добавлено через 17 минут

    карантин прислал
    Файл сохранён как
    100816_195826_quarantine_4c69602287b96.zipРазмер файла676331MD5003cfd684dbfc3c991d67c9b58e9be8a
    Последний раз редактировалось krexxxer; 16.08.2010 в 19:59. Причина: Добавлено

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    - Повторите лог virusinfo_syscure.zip

    - Сделайте лог МВАМ

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    порядок выполнения логов имеет значение? просто я вначале сделал лог другой - syscheck, потом mbam. а когда стал прикреплять, увидел, что надо syscure. mbab не переделывал, если надо переделаю
    логи прикладываю

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    У меня вопрос по одному файлу - C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe, знаком ли он Вам?

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    а я как раз думал у Вас спросить про этот файл..)
    не знаком.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Поищите его в АВЗ - Сервис - Поиск файлов на диске - выберите директорию C:\Documents and Settings\Admin\Local Settings\Temp\ в поле "Имя файла" введите Toolbar.exe. Если найдёт - отметьте его галочкой и нажмите "отправить помеченные файлы в карантин". Если не найдёт - сообщите.

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    не нашёл

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    В логах чисто. Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    54
    ясно. проблем вроде никаких не наблюдается.
    спасибо за помощь!
    *Thumbs up*

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) krexxxer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 11
      Последнее сообщение: 18.08.2010, 14:56
    2. Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия
      От XeNuM в разделе Новости компьютерной безопасности
      Ответов: 21
      Последнее сообщение: 17.08.2010, 10:36
    3. словил вирус через аську
      От R_Pavel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.03.2010, 09:31
    4. Рассылается спам через аську.
      От Pest в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2010, 16:15
    5. Вирус... рассылка спама через аську
      От sam в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00612 seconds with 19 queries