Рассылка ЧЕРВЕЙ

Printable View

17.03.2009, 10:06
alexsadko68

Рассылка ЧЕРВЕЙ

1.блокировка диспетчера задач.
2.самостоятельно открваетсю МОИ ДОКУМЕНТЫ - 1раз в 5-7минут.
3.Почтовые серверы сообщают о заражённых вложениях.
4.Исходящий трафик.
5.Блокируется доступ к настройкам обоев.
6.Изменяются свойства папки(СКРЫВАТЬ РАСШИРЕНИЯ ЗАРЕГИСТРИРОВАННЫХ, СИСИТЕМНЫЕ И СКРЫТЫЕ) после каждой перезагрузки.
7.на всех съёмных носителях создаются
КОРЗИНЫ, папки MSO, файлы с расширеиями. ini, htt, exe.
17.03.2009, 10:18
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\7\LOCALS~1\Temp\init.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cscripts.exe','');
DelCLSID('{18B0E5C2-99CB-11CF-AYX5-00401C648513}');
DelCLSID('{18B0E5C0-4FCB-11CF-AAX5-004016608512}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\DOCUME~1\7\LOCALS~1\Temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\UTSCSI.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\system32\cologsver.exe','');
QuarantineFile('c:\windows\system32\frmwrk32.exe','');
DeleteFile('C:\DOCUME~1\7\LOCALS~1\Temp\init.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe');
BC_Importall;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41871"]http://virusinfo.info/upload_virus.php?tid=41871[/URL]

Замените файлик
[CODE]C:\WINDOWS\system32\[B]userinit.exe[/B][/CODE]
на чистый из дистрибутива или др. чистой машины.

Сделайте полную проверку AVPTool и повторите логи.
18.03.2009, 00:18
alexsadko68

AVPTool на заражённой машине не могу даже загрузить!
если загрузка через IE, то он просто закрывается!
Если через ФЛЕШГЕТ, то последний коннектится с сервером- выдаёт кучу ошибок, пытается отправить отчёт об ошибке(может кто от его имени)если не даешь отправить падает сразу, даёшь отправить потом.
18.03.2009, 02:53
pig

Качайте на чистой. FlashGet, кстати, затроянен нынче, им сервера взломали.
18.03.2009, 08:09
light59

логи повторите.
Будем продолжать. Там ещё несколько троянов.
19.03.2009, 01:42
alexsadko68

флешгет

[quote=pig;373374]Качайте на чистой. FlashGet, кстати, затроянен нынче, им сервера взломали.[/quote]
А какая версия?
У меня 1.9.0.1012
вроде ещё 2007 года.
Скачивалась ещё летом или в начале осени 2008 года:?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[quote=light59;373434]логи повторите.
Будем продолжать. Там ещё несколько троянов.[/quote]
После замены [B]userinit.exe и перезагрузки машина сначала ушла в BSOD на стадии загрузки драйверов (включал протокол загрузки), при попытке загрузиться в безопасном режиме, подвисла и пока я сообразил, что грузится слишком долго, какая-то тварь разрушила часть файловой системы.[/B]
[B]Так что формат с::furious3:[/B]
20.03.2009, 01:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe - [B]Trojan.Win32.Buzus.byy[/B]( DrWEB: Trojan.MulDrop.17285, BitDefender: Trojan.Delf.Inject.F )[*] c:\windows\system32\cologsver.exe - [B]Virus.Win32.Agent.l[/B]( DrWEB: Win32.HLLW.Autoruner.324, BitDefender: Trojan.Clog.A )[*] c:\windows\system32\cscripts.exe - [B]Trojan.Win32.Small.uw[/B]( DrWEB: Trojan.Xispy, BitDefender: Trojan.Generic.554301 )[*] c:\windows\system32\frmwrk32.exe - [B]Trojan-Downloader.Win32.Agent.bjur[/B]( DrWEB: Trojan.Fakealert.4005, BitDefender: Trojan.FakeAlert.AXQ )[*] c:\windows\system32\userinit.exe - [B]Trojan-Dropper.Win32.Agent.aiub[/B]( BitDefender: Trojan.Downloader.JLRW )[/LIST][/LIST]