В ноутбук поймали смс попрошайку 8-911-291-76-49 (22CC6C32.exe)

Printable View

19.05.2011, 22:09
mera1

В ноутбук поймали смс попрошайку 8-911-291-76-49 (22CC6C32.exe)

Появился баннер с просьбой положить деньги на номер 8-911-291-76-49. Я снял диск и подключил к другому компу. Просканировал касперским обнаружил win32.Pornoasset.aj около 10 штук. Потом в реестре отредактировал:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение
Shell на Explorer.exe
(а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение
userinit на C:\WINDOWS\system32\userinit.exe,
(не помню но было добавлено что-то лишнее после userinit.exe)
в[FONT=monospace] [/FONT]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows значение AppInit_DLLs было нормальным
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
после этих манипуляций снова запустил диск на родном ноуте. Но увы заставка снова появилась и все вирусы вернулись на место после повторной проверки касперским. Снова повторил выше описанное но обнаружил что файл userinit.exe не родной. Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. Короче заменил Userinit.exe на здоровый в обоих местах. Снова запустил диск на родном ноуте. И о радость заставка исчезла! После проверил работоспособность перезагрузил ноутбук. При запуске появилась проверка диска D: на целосность файлов (windows Стоит на С:) и так при каждом запуске. Иногда выпадает ошибка при работе в windows (Память не может быть.... и так далее). Прошу помогите логи прилагаю!
19.05.2011, 22:11
Info_bot

Уважаемый(ая) [B]mera1[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
19.05.2011, 22:35
Nikkollo

Плохого не нашел.
При загрузке не нажимайте клавиш и дождитесь окончания проверки всех дисков, которые запросит система.

Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.
20.05.2011, 09:11
mera1

сделал лог MBAM прикрепил
20.05.2011, 09:38
crush13

[B]mera1[/B], здравтсвуйте.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL] [COLOR="Red"][B]только эти[/B][/COLOR] строки:[CODE]Заражённые папки:
c:\documents and settings\стас\application data\winxrar (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\стас\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\data (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sview (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\winxrar.exe (Trojan.Agent) -> No action taken.[/CODE]
Повторите лог.
20.05.2011, 10:39
mera1

удалил повторил МВАМ лог прилагаю
20.05.2011, 10:47
crush13

Чисто.

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) - [URL="http://download.microsoft.com/download/D/6/9/D693B7D9-C8E3-4D15-B3D2-59843A8DE90B/IE8-WindowsXP-x86-RUS.exe"]обновите IE[/URL] до 8.0 даже если вы им не пользуетесь.
Так же рекомендую устанавливать обновления через [URL="http://update.microsoft.com"]WindowsUpdate[/URL]
[URL="http://virusinfo.info/showthread.php?t=30339"]Напоследок[/URL] :)