-
Junior Member
- Вес репутации
- 50
Подцепил зверя...
Здравствуйте, проблема в следующем:
Перешёл на сайт, на который меня послал гугл по моему запросу, Аваст сразу же завопил что тут зловредный скрипт но я его победю.
Я решил не верить его словам и сразу же вышел с сайта. Примерно через час вылезло сообщение от того же Аваста что мол
пресечена попытка соединения процесса services.exe с сайтом ***.net/knok.php?id=тут_имя_юзера__йп__система_и_прочая_ин фа.
Тут я заподозрил неладное, решил проверить систему но зверёк оказался умным, Аваст его не находит, avz, avp, HijackThis и CureIt блокирует.
После некоторых размышлений и плясок с бубном фирмы гугл была выявлена потенциальная конспиративная квартира зверя.
Ею оказалась дериктория C:\Program Files\Common Files\18F44871a(папка "пуста", вес "0 байт", не удаляется ввиду блокирования её процессом) а в ней папка keys. в Common Files также был обнаружен файл jqyrg4inedzz13m
куда всё записывал кейлогер. Также через некоторое время там же была создана ещё одна директория вида 18F44871b куда зверь засунул мой WM сертификат.
После этого была замечена очередная активность, при открытии текстового файла быстро напечаталась строка вида testtesttesttest.
Безопасный режим не решил проблему, с виндоус_мини_сиди удалось запустить avz но он нечего криминального не нашёл.
После очередных плясок с бубном удалось запустить avz с ключом am=y уже с основной системы.
На мой взгляд нечего криминального он опять не нашёл.
Ещё из ненормальной активности: использую Фаерфокс, перед тем как запуститься он крэшиться раз десять, вместе с системой стартует ИЕ которым я некогда не пользуюсь, services.exe иногда не хило грузит цпу.
Помогите, Люди добрые.
virusinfo_cure.zip не влезает, залью отдельно.
http://dump.ru/file/4837200
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('QuarantineFile('C:\WINDOWS\colacoca.BAT','');','');
QuarantineFile('c:\windows\system32\3d9f4988.exe','');
QuarantineFile('c:\windows\system32\zgbrnc.exe','');
DeleteFile('c:\windows\system32\zgbrnc.exe');
DeleteFile('c:\windows\system32\3d9f4988.exe');
DeleteFileMask('c:\program files\Common Files\18F44871a', '*.*', true);
DeleteDirectory('c:\program files\Common Files\18F44871a');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
Карантин залил, только забыл про пароль, извините пожалуйста...
При выполнение скрипта, авз сказал что на 5-ой строке проблема с ")".
colacoca.bat делал я своими руками, пытался сделать что то на подобии напоминалки) Так что там нечего плохого нет в любом случае.
HijackThis запускается, также как и авз нормально, папки больше нету.
Все (no file) из HijackThis пофиксил.
-
Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
В остальном подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 50
Всё будет сделано, спасибо за лечение, Доктор =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\zgbrnc.exe - Backdoor.Win32.Shiz.ahb ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1809, AVAST4: Win32:Malware-gen )
-
