iLite Net Accelerator

Printable View

16.12.2009, 18:24
Lestor

iLite Net Accelerator

Вчера поймал этого злобного зверя. Сижу себе никого не трогаю и неожиданно закрываются все программы из трэя, потом браузер... DLL и EXE (siszyd32.exe) удалил вставив хард в другой компьютер. В комплекте с этим зверьком поставлялся еще некий C:\windows\plugin.exe - выводил порно баннер "отправь смс" при заходе в нормальном режиме. iLite Net Accelerator вылезал в безопасном режиме. При загрузке системы вылезала ошибка Jar Instaler приложение svcnost.exe. Где лежал не помню. Кстати этот svcnost.exe появлялся и до этого (недели 2 назад), но был удален. Антивирус - Avast начинал на него кричать, когда я уже нажимал Shift+Del. После этого система заработала (мной были включены реестр, диспетчер и т.д.) и была проверена AVPTool. Трояны удалены\вылечены. Уже сейчас Ad-Aware ругается на C:\WINDOWS\system32\dllcache\notepad.exe
16.12.2009, 18:50
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
DeleteFile('c:\windows\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
16.12.2009, 19:05
Lestor

Карантин отправлен. В нем только netprotocol.dll. svcnost.exe в карантине не было. Логи добавлены
16.12.2009, 19:35
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
16.12.2009, 20:20
Lestor

Карантин пуст. Пробовал запустить скрипт еще раз. Все равно пусто. Логи готовы
17.12.2009, 00:42
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\browsel.dll','');
QuarantineFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Task');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Task');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Выполните скрипт из темы [url]http://virusinfo.info/showthread.php?t=43700[/url]

Сделайте новые логи
17.12.2009, 18:27
Lestor

Вложений: 3

Логи. Извиняюсь, забыл выполнить скрипт из темы 43700. Выполнил его после логов
17.12.2009, 19:34
thyrex

[QUOTE='Lestor;537638']забыл выполнить скрипт из темы 43700. Выполнил его после логов[/QUOTE]Больше плохого не видно. Что с проблемой?
17.12.2009, 20:01
Lestor

Вроде внешних признаков нет. Но хотелось бы знать как в дальнейшем защититься от подобной проблемы. В качестве браузера использую мозилу с adblock и noscript. Вирус поймал вероятнее всего в серфинге SafeSurf. Раньше с ним проблем не было. Использую уже месяца 4 каждый день. Поможет ли использование песочницы (Sandboxie)? Раньше ее почему то не использовал. Но похоже она не шибко помогает. Почему то кажется что вирус залез через acrobat reader. Видел его непрошенного в процессах.
Стоят бесплатный Avast, Ad-Aware. Где то раз в неделю проверяюсь AVZ.
17.12.2009, 20:44
thyrex

Кое-какой мусор зачистим еще

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O2 - BHO: (no name) - {77B6940A-ED7A-478B-8B38-291F7B0D1192} - C:\WINDOWS\system32\browsel.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)[/CODE]

Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL]

Логи больше не требуются

Почитайте [url]http://virusinfo.info/showthread.php?t=30339[/url]
18.12.2009, 20:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\netprotocol.dll - [B]Packed.Win32.Krap.ai[/B] ( DrWEB: Trojan.Click.37869, BitDefender: Gen:Trojan.Heur.P.cq4@fetIwAmi, AVAST4: Win32:Crypt-FPH [Trj] )[/LIST][/LIST]