Подозрение на зловред!

Printable View

14.04.2009, 12:53
Ruslan13

Вложений: 2

Подозрение на зловред!

Не запускается скан диск, в IE появился порно банер. Помогите пожалуйста.
п.с при выполнение второго стандартного скрипта, програма виснет.
14.04.2009, 13:01
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('.exe','');
QuarantineFile('D:\WINDOWS\system32\mslpadap.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('D:\WINDOWS\system32\icq5e.dll','');
QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
DeleteFile('D:\WINDOWS\system32\csrcs.exe');
DeleteFile('D:\WINDOWS\system32\icq5e.dll');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('D:\WINDOWS\system32\mslpadap.dll');
DeleteFile('.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
ExecuteRepair(7);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Обновите Адоби Ридер
15.04.2009, 11:15
Ruslan13

Вложений: 3

Карантин выслал, но он что то большой получился.
15.04.2009, 11:29
Rene-gad

Скачайте [URL="http://winsockfix.en.softonic.com/"]WinsockFIX[/URL], запустите, перегрузитесь.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('.exe','');
QuarantineFile('mslpadap.dllmslpadap.dll','');
QuarantineFile('mslpadap.dll','');
QuarantineFile('icq5e.dll','');
QuarantineFile('D:\WINDOWS\System32\vispafza.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\ovfsthxonmnreaxwbeyjvndaswwkraecblovqd.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\ovfsthxonmnreaxwbeyjvndaswwkraecblovqd.sys');
DeleteFile('D:\WINDOWS\System32\vispafza.dll');
DeleteFile('icq5e.dll');
DeleteFile('mslpadap.dll');
DeleteFile('mslpadap.dllmslpadap.dll');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
ExecuteRepair(13);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.04.2009, 14:28
Ruslan13

Вложений: 3

запустился скан диск, исправил море разных ошибок! но порно информер висит. Карантин выслал.

не запускается опера, в диспечере задач, загружается и 50% ест, IE и мазила работают нормально.
15.04.2009, 19:04
Rene-gad

Удалите Оперу - как программу так и все профили Оперы. Установите последнюю версию Оперы, обновите Адоби Ридер.
В логах ничего подозрительного.
15.04.2009, 19:35
Ruslan13

оперу поставил заного, новую версию, не помогло тоже самое осталось. порно банер не исчез с мазилы. Адоби Ридер. поставил последнюю версию, только зачем? я ей не пользуюсь всеравно.
15.04.2009, 19:45
Rene-gad

[QUOTE=Ruslan13;387988]Адоби Ридер. поставил последнюю версию, только зачем? я ей не пользуюсь всеравно.[/QUOTE]Тогда удалите совсем: В старой версии оч. много уязвимостей.
Скачайте [url]http://www.malwarebytes.org/mbam.php[/url], обновите базы, просканьте систему полностью. Лог - в студию.
15.04.2009, 23:14
Ruslan13

Вложений: 2

Нашел и удалил несколько вирусов, но это все равно не помогло.
15.04.2009, 23:19
V_Bond

лог [url]http://www.gmer.net/[/url] сделайте ...
16.04.2009, 08:20
Ruslan13

Вложений: 1

Catchme.exe просканировал нормально. а вот gmer.exe начинает сканровать и через минуту где-то черный экран, пробывал подождать ни какой реакции, только ресет спасает.
16.04.2009, 10:09
Rene-gad

Повторите логи.
16.04.2009, 10:12
Ruslan13

Какие имено? с авз?
16.04.2009, 10:14
Rene-gad

[QUOTE=Ruslan13;388263]Какие имено? с авз?[/QUOTE]
С ним :)
16.04.2009, 11:25
Ruslan13

Вложений: 3

вот они...
16.04.2009, 11:29
Rene-gad

Ничего плохого не видно. Сделайте очистку мусора CCleaner + ClearProg.
16.04.2009, 11:41
Ruslan13

Сделал, все равно не помогло. Спасибо огромное за помощь и сорри за потраченое время.
17.04.2009, 11:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\documents and settings\руслан\application data\bpfeed.dll - [B]Trojan-Downloader.Win32.BHO.kgw[/B] ( DrWEB: Trojan.Blackmailer.1089 )[*] d:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: archive: archive: Win32.HLLW.Autoruner.based, BitDefender: Trojan.Heur.AutoIT.1 )[*] d:\windows\system32\drivers\ovfsthxonmnreaxwbeyjvndaswwkraecblovqd.sys - [B]Rootkit.Win32.Agent.ito[/B] ( DrWEB: BackDoor.Tdss.115 )[/LIST][/LIST]