SMS-вымагатель ПО File Downloader

Printable View

13.12.2009, 15:35
spoul

SMS-вымагатель ПО File Downloader

Классический баннер на полэкрана. Требует отправить sms на 1350.

Что делалось ДО составления логов - проверял DrWeb LiveCD. Читал темы с форума, сравнивал со своей ситуацией. Был найден CsinPlayer.exe + в system32/drivers и system32/dllcashe atapi.sys был явно сменен (смотрел по датам модификации). DrWeb и virustotal.com подтвердили завирусованность. exe снес, atapi.sys заменил на чистый из соседней системы. Были еще модифицированные файлы, но в них не уверен, не трогал. Толку ноль, после загрузки опять баннер.
Инета с компа нет, пишу сообщение с соседней машины.
Скачал софт, сделал логи, прошу помощи.
13.12.2009, 15:50
snifer67

Вложений: 1

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

Сделайте новые логи.
13.12.2009, 16:54
spoul

Еще до исполнения приложенного файла get.exe, после перезагрузки, баннера уже не было.
Карантин вроде был пуст, но отправил.
Нехорошая троянка успела стырить пока неизвестное количество локально хранившихся паролей (на будущее запомню)

Повторные логи прилагаются.
13.12.2009, 17:24
snifer67

Чисто
13.12.2009, 17:52
spoul

Благодарю, тему можно закрывать.
14.12.2009, 17:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]