в hosts добавляются записи [Trojan.Win32.Jorik.Androm.ug ]

Printable View

18.09.2012, 22:30
Duke_DiZel

Вложений: 2

в hosts добавляются записи [Trojan.Win32.Jorik.Androm.ug ]

В файл hosts после перезагрузки добавляются "левые" записи

W7 x64

[ATTACH]378270[/ATTACH] [ATTACH]378271[/ATTACH]
18.09.2012, 22:34
Info_bot

Уважаемый(ая) [B]Duke_DiZel[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.09.2012, 09:54
Techno

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O1 - Hosts: 217.23.12.177 vk.com www.odnoklassniki.ru odnoklassniki.ru m.vk.com m.odnoklassniki.ru www.vk.com wap.odnoklassniki.ru[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Windows\taskmrg.exe','');
QuarantineFile('C:\Windows\TEMP\237137FdOh','');
DeleteFile('C:\Windows\TEMP\237137FdOh');
DeleteFile('C:\Windows\taskmrg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','182427');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','237293');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','460967');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Task Manager for Plugins');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.
21.09.2012, 09:30
Duke_DiZel

Вложений: 2

Я чуть чуть не дождался ответа, почистил эти же файлы сам но без карантина, по этому щас карантин пустой.... Сделал новые логи. Там что то новое появилось.

[ATTACH]378495[/ATTACH]
[ATTACH]378496[/ATTACH]
21.09.2012, 10:07
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msookbl.bat','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20642');
DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msookbl.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.
21.09.2012, 10:18
Duke_DiZel

Вложений: 2

Опять появился msookbl.bat
[ATTACH]378502[/ATTACH]
[ATTACH]378503[/ATTACH]
21.09.2012, 12:20
миднайт

В AVZ выполните скрипт:

[code]
begin
ClearQuarantine;
QuarantineFile('C:\Windows\pluginb.exe','');
QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msookbl.bat','');
DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msookbl.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20642');
DeleteFile('C:\Windows\pluginb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Plugin container');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

+ Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
21.09.2012, 13:50
Duke_DiZel

Вложений: 2

Карантин пуст.
Логи mbam удалил одну заразу. Вроде теперь ничего не появляется.
[ATTACH]378531[/ATTACH]
[ATTACH]378532[/ATTACH]
21.09.2012, 14:31
Techno

Порядок.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
21.09.2012, 14:58
regist

+ обязательно [B]смените пароли ![/B]
24.09.2012, 08:04
Duke_DiZel

Вроде все нормальизовалось, насчет паролей это естесвенно.
24.09.2012, 08:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\progra~3\\locals~1\\temp\\msookbl.bat - [B]Trojan.Win32.Jorik.Androm.ug[/B] ( DrWEB: Trojan.PWS.Multi.858 )[/LIST][/LIST]