Junior Member
Вес репутации
56
Не долечил фишинговый вирус?
Поймал заразу.
При попытке открытия yandex - попадал на фишинговую подделку
(погоду показывали киевскую вместо московской, в остальном не отличить)
Глянул таблицу маршрутизации - там с полсотни постоянных маршрутов добавилось.
Маршруты сбросил, пролечился загрузившись с Drweb liveCD.
Яндекс стал снова яндексом с московской погодой
Но одна из программ, упорно не желает подключаться к серверу на котором находятся фотографии. (пишет что сервер недоступен)
Глянул нетстатом - она вообще не пытается коннектиться, вместо неё пытается соединиться какой-то левый процесс, по совершенно другим адресам.
Выполнил два скрипта AVZ, - программа стала коннектиться куда надо.
Перегрузил машину, снова те же проблемы.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user\s87ekhv.exe','');
QuarantineFile('C:\WINDOWS\system32\crvdll.dll','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Pyxuxa\iceg.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx05.sys','');
DeleteService('Winsx05');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\system32\drivers\iuqfcujpy.sys','');
DeleteService('gkpqnjlixdmp');
DeleteFile('C:\WINDOWS\system32\drivers\iuqfcujpy.sys');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx05.sys');
DeleteFile('C:\Documents and Settings\user\Application Data\Pyxuxa\iceg.exe');
DeleteFile('C:\Documents and Settings\user\s87ekhv.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Сделайте лог MBAM
Junior Member
Вес репутации
56
Скрипты выполнил.
Карантин отправил.
Новые логи приложил.
Проблема с коннектом осталась.
1. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aliserv (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\All Users\Application Data\MPK\mpk.db (Refog.Keylogger) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\kgctini.dat (HaxDoor.Trace) -> No action taken.
C:\Documents and Settings\Все остальные\Local Settings\Temp\wrdwn2 (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Все остальные\Local Settings\Temp\wrdwn3 (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Все остальные\Local Settings\Temp\wrdwn4 (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Все остальные\Local Settings\Temp\wrdwn5 (Trojan.FakeAlert) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\crvdll.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\crvdll\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Сделайте повторный лог virusinfo_syscheck.zip ;
- Сделайте лог MBAM
Junior Member
Вес репутации
56
сделано.
Проблема осталась...
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx05.sys','');
DeleteService('Winsx05');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx05.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- SP2 обновите до Service Pack 3 (может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8 .(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления отпишитесь о проблеме
Junior Member
Вес репутации
56
Скрипт выполнил,
SP3 IE8 и обновления поставил
Java обновил.
Проблема решена!
Спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 15 В ходе лечения вредоносные программы в карантинах не обнаружены