Ниссан...

Printable View

01.10.2009, 18:33
VK_

Ниссан...

Возникло подозрение на наличие вирусов:периодически открываются страницы в браузере " .com/index.php/promotion" или "http:// .com/index.php/components/family", я как то было удалял самомтоятельно подозрительный авторан Nissan, но он почему то снова появился
вот ссылка на лог файл [url]http://exfile.ru/62177[/url]

заранее благодарен
01.10.2009, 19:26
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearHostsFile;
ClearQuarantine;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\RECYCLER\S-1-5-21-0713120441-2244507376-172800439-5863\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0713120441-2244507376-172800439-5863\nissan.exe');
DeleteFile('C:\DOCUME~1\Vkolosov\APPLIC~1\FieryAds\FieryAds.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=56115[/url]

3. Повторите логи.
01.10.2009, 19:26
Макcим

Лог[B]и[/B] должны быть загружены на форум согласно правилам [url]http://virusinfo.info/showthread.php?t=1235[/url]
02.10.2009, 12:09
VK_

Скрипт отработал, файл карантина(с вирусом) загружен:

Файл сохранён как 091002_113407_virus_4ac5acef0e1ba.zip
Размер файла 105823
MD5 acc9014aec0b06b45a92db5a707bc6d8

повторяю логи... насколько я смог увидеть ничего не изменилось :(
02.10.2009, 12:26
thyrex

Вы случайно не выполняете скрипт из ограниченной в правах учетной записи?
02.10.2009, 12:37
VK_

администратор дальше некуда:)

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

если у вас есть информация о методе распространения этого вируса это было бы полезно, компьютер находится в сети и аналогичная ситуация(с автоматическим открытием страниц в браузере) происходит по крайней мере ещё на 4 компьютерах.
если он клонирует себя по сети,тогда проблема его возрождения ясна, вопрос как заблокировать ему миграцию
03.10.2009, 13:48
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0713120441-2244507376-172800439-5863\nissan.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
04.10.2009, 14:35
VK_

Удалил всё руками, вроде бы не обнаруживается более, лог прилагается
04.10.2009, 14:46
Aleksandra

Ничего зловредного в логах нет.
05.10.2009, 14:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0713120441-2244507376-172800439-5863\nissan.exe - [B]P2P-Worm.Win32.Palevo.jaz[/B] ( DrWEB: Win32.HLLW.Lime.18 )[/LIST][/LIST]