Вот эта проблема

Printable View

03.10.2008, 16:54
wolf-zver

Вот эта проблема

[QUOTE]Компания Symantec предупреждает о появлении новой вредоносной программы Kardphisher, пытающейся похитить конфиденциальную информацию о своих жертвах.
Троян Kardphisher маскируется под систему активации Windows. После проникновения на компьютер Kardphisher создает на жестком диске файл с именем keylog.dll и вносит ряд изменений в реестр операционной системы. Далее вредоносная программа отображает на экране диалоговое окно с заголовком "Microsoft piracy control" и сообщает пользователю о необходимости повторной активации Windows.
В случае, если потенциальная жертва отказывается пройти процедуру активации, компьютер выключается. Если же пользователь согласится выполнить требование, на экран выводится форма, в которой, в числе прочего, предлагается указать название и номер кредитной карты. Естественно, после отправки формы вся указанная в ней информация попадает не на сервер Microsoft, а в руки злоумышленников.
Диалоговые окна, отображаемые трояном Kardphisher, по стилю выполнения очень близки к настоящим окнам, отображаемым системой активации Windows. При этом после запуска вредоносная программа не дает пользователю ни переключиться в другое приложение, ни вызвать диспетчер задач Windows. Троян способен инфицировать компьютеры, работающие под управлением операционных систем Windows 2000, Windows ХР и Windows Server 2003.
Впрочем, в компании Symantec подчеркивают, что особого распространения вредоносная программа пока не получила. Эксперты также отмечают, что программные платформы Windows иногда нуждаются в повторной активации, однако Microsoft при этом никогда не требует указывать информацию финансового характера[/QUOTE]

Подхватил этот вирус! Посмотрите пожалуйста логи!

Получилось загрузиться только с "Безопасный режим с поддержкой командной строки".

Логи только не все удалось сделать. Надеюсь на ваш профессианализм.
03.10.2008, 18:07
Numb

Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKLM\..\Run: [systemsrvload] C:\WINDOWS\system32\drivers\svchost.exe[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\GenPort.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.[/code]
После перезагрузки, загрузитесь в нормальном режиме, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31388[/url] , как написано в прил.2 правил, и попробуйте повторить логи в нормальном режиме.
06.10.2008, 11:14
wolf-zver

Карантин выслал
Файл сохранён как 081006_014658_virus_48e9b4620e414.zip
Размер файла 3686
MD5 8cdd74f947c2cf8067a7f2aa35921524

Профиксить не удалось так как там не было этих строчек.

Логи прикрепил.

Жду ответа.

Господа, прошло четыре часа! никого нет что ли? на другие же темы отвечаете.
06.10.2008, 17:14
wolf-zver

Меня игнорируют?
06.10.2008, 18:28
Numb

[quote=wolf-zver;293531]Меня игнорируют?[/quote]
Ни в коем случае. Просто ответа по вашему карантину не видно пока. В дополнение, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\win2pdfm.dll','');
QuarantineFile('C:\WINDOWS\zakat.scr','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ, если будет не пустой, загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31388[/url] , как написано в прил. 2 правил.
07.10.2008, 10:18
wolf-zver

Файл сохранён как 081007_011701_virus_48eafeddd2bea.zip
Размер файла 1298121
MD5 a80998162e6d9e24bd53d7f0d06b5d5f

zakat это по моему заставка экранная.

Жду ответа.
07.10.2008, 12:49
Numb

В предыдущий карантин попал только C:\WINDOWS\system32\Drivers\GenPort.sys - он, вроде, чистый. В текущем - C:\WINDOWS\system32\win2pdfm.dll и C:\WINDOWS\zakat.scr - тоже чистые.
Файл
[code]C:\WINDOWS\System32\userinit.exe[/code] в карантин не попал. Попробуйте найти его самостоятельно, упаковать в архив с паролем virus и загрузить по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31388[/url] . [b]Ни в коем случае не удаляйте данный файл[/b], просто скопируйте в архив.
07.10.2008, 15:02
wolf-zver

Файл сохранён как 081007_060142_vitus_48eb41961f02f.zip
Размер файла 11999
MD5 9ba656acef21ea9c431cd9406d3e173c

прислал.
07.10.2008, 23:55
Гриша

userinit.exe_

Вредоносный код в файле не обнаружен.
22.02.2009, 08:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]