-
Junior Member
- Вес репутации
- 60
Банер с вымоганием денег на счет
Внизу справа появилось окно с просьбой перечислить деньги на счет.
Разблокировку провел. Нашел где-то на сайте вебера код разблокировки.
Ввел код. После начал чистить систему, так как гугл хром закрывался, а IE выдавал ошибку 0000005 и тоже не запускался.
Удалил какой-то левый запуск из Run. (имя случайное)
Удалил запуск 2 файлов из UserInit.(имена случайные)
Нашел подозрительный файл znakkvvu.sys.
Стоял в скрытых драйверах системы. Удалил.
После перезагрузки висел модулем ядра.
Остановил сервис. Удалил его.
Удалил все временные файлы в папке Temp. В том числе и те, что указаны avz в логах.
Отправил файл касперу. Распознался как Rootkit.Win32.Agent.biiu.
Удалил из папки IE какой-то еще файл - прочел здесь же про него.
Что файл левый, определил по дате создания.
Но проблемы остались. В частности не заходит на сайт virusinfo.info, drweb.ru, kaspersky.ru. Хром закрывается через минуту полторы работы (опаньки произошла ошибка, до этого просто НЕ открывался).
Не запускается DrWeb Cure It и не обновляется avz ни через какие сайты.
В логах ничего не увидел. Проверил каждый подозрительный файл - ничего. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\Drivers\sfc.SYS','');
DeleteFile('%System32%\Drivers\sfc.SYS');
QuarantineFile('%system32%\sfcfiles.dll','');
RenameFile('%system32%\sfcfiles.dll', '%system32%\sfcfiles.bak');
CopyFile('%system32%\dllcache\sfcfiles.dll', '%system32%\sfcfiles.dll');
DeleteFile('%system32%\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
Executerepair(14);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 60
Новый лог и карантин отправил.
Карантин отправил как написано и приложил к сообщению.
Обновил avz с др. компа появилась такая красная строчка -
Обнаружен статический маршрут к сайту производителя антивируса
Профиксил через AVZ Файл-Восстановление системы п.20.
При повторной проверке красная строчка исчезла.
Но сайты антивирусов все равно не открываются.
Приложил созданный последней версией с последними базами virusinfo_syscheck.zip
Последний раз редактировалось Rene-gad; 20.08.2010 в 23:05.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
virus.zip - отсюда уберите, как присылать Вам написали.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Высылаю результаты уже с "больного" компьютера.
Карантин прислал по правилам.
Поставил Касперского.
-
Сообщение №6 прочтите и выполните
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
В папке logs программы указанной в мануале пусто.
Результаты сканирования сохранил.
Прилагаю в виде вложения.
-
1. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\LtuSoftware (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\SalesMon (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Application Data\SalesMon\Data (Rogue.Multiple) -> No action taken.
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Роман\Рабочий стол\info\znakkvvu.sys (Rootkit.Bubnix) -> No action taken.
C:\Program Files\ConnectionServices\Uninstall.exe (Trojan.BHO) -> No action taken.
C:\Documents and Settings\Роман\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\TempDir\rdb.bat (Trojan.Ransom) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\TempDir\start.bat (Trojan.Ransom) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 60
Скан провел. Логи прилагаю.
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 60
Работаем под антивирем. Все хорошо. Вроде не ругается.
Вирь прикольный. Я больше сам их удаляю, но этот мне понравился.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 60
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bism ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-