Printable View
Добрый день! В компьютер попал вирус после которого при включении компьютера вылетал порно баннер про просмотр гей порно и просьбой отправить на вебмани 200грн. Проверил компьютер с Live CD утилитой CureIt, обнаружил backdoor.butirat., но баннер пропал только после замены userinit.exe Проверьте, не осталось ли каких либо последствий этого вируса.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{AE7AY1-A4G2-Z78D2-DS4X1S-4W1X3B}');
QuarantineFile('C:\Irvin\Kershner\Lullabies.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe');
DeleteFile('c:\windows\system32\vhosts.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Irvin\Kershner\Lullabies.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=106271[/url]
4. Пофиксите в HijackThis:
[CODE]O4 - Startup: PowerReg Scheduler V3.exe[/CODE]
5. Сделайте повторные логи.
Логи повторил, карантин загрузил)
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделал логи MBRAM
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Admin\application data\netprotocol.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\application data\1.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\documents and settings\Admin\application data\netprotdrvss.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\game[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\52I2IFMW\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\53M4BDG4\netprotocol[1].exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\RECYCLER\S-1-5-18\Dc3.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\WINDOWS\userinit.exe', 'MBAM: Heuristics.Reserved.Word.Exploit');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken.
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\Games\макс\republic heroes\1911.dll (Adware.Agent) -> No action taken.
d:\программы\sound forge 6.0\Keygen\keygen.exe (RiskWare.Tool.HCK) -> No action taken.[/code]
Файлы удалил, карантин отправил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken. - тоже удалите
Сделайте новый лог МВАМ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\netprotdrvss.exe - [B]Trojan.Win32.Yakes.aem[/B] ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] )[*] c:\\documents and settings\\admin\\application data\\netprotocol.exe - [B]Trojan.Win32.Yakes.aem[/B] ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] )[*] c:\\documents and settings\\admin\\application data\\netprotocol.exe - [B]Backdoor.Win32.Buterat.bnq[/B] ( DrWEB: BackDoor.Butirat.21, BitDefender: Trojan.Generic.6359018, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-IWQ [Trj] )[*] c:\\documents and settings\\admin\\application data\\1.exe - [B]Trojan-Ransom.Win32.Kargapo.o[/B] ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-18\\dc3.exe - [B]Trojan-Ransom.Win32.Kargapo.o[/B] ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen )[/LIST][/LIST]