injector.ajx

Printable View

22.12.2009, 14:45
Petrovich2012

win32/ircbot.nbf + win32/injector.ajx

Во-первых...Правила читал... но пока не возьму в толк, каким образом передавать логи, если интернет на зараженном компе не работает [I]вообще[/I]. Без флешки и риска заразить второй комп (с которого пишу это) никак не обойтись? Поэтому пока описание проблемы, без логов:

В 4:00 утра интернет перестал работать. Точнее, при попытке законнектиться через VPN-соединение (нажатием на диал-ап иконку) стала вылазить "ошибка подключения" типа

[I]Ошибка 800: Не удалось создать VPN-подключение. VPN-сервер недоступен или параметры безопасности для данного подключения настроены неверно[/I]

в 11:00 утра (надеялся, что это проблемы у провайдера, а не у меня...) перегрузил компьютер пару раз. На второй раз вылезло сообщение "[I]Система восстановлена после серьезной ошибки[/I]" и НОД32 обнаружил win32/ircbot.nbf (5-6 раз) и win32/injector.ajx (1 раз). Также были упомянуты файлы датированные 27.11.2009 (месяц назад), как я понял - они якобы стали причиной "серьезной ошибки".

После этого отсканировал при помощи Norton Security Scan. Результаты: 22 угрозы

8 такого типа*
Имя угрозы: [I]Trojan Horse[/I]
Имя целевого объекта:[I] с:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\fx1n6rzu\24[1].exe[/I]
Тип целевого объекта: [I]Заражение или Кэш браузера[/I]

14 такого типа**
Имя угрозы: [I]Trojan Horse[/I]
Имя целевого объекта: [I]с:\windows\system32\66.exe или 74.scr[/I]
Тип целевого объекта: [I]Заражение[/I] или [I]Кэш браузера[/I]

-----------
* - папка [I] networkservice[/I] в [I]с:\documents and settings[/I] отсутствует
** - все файлы в [I]с:\windows\system32[/I] присутствуют... каждый из этих файлов (9шт., от 01.exe до 80.exe) был "изменен" как раз 27.11.2009... руки чесались удалить, но решил оставить все как есть и положиться на virusinfo

Я уже пользовался этим форумом, и логи высылал (т.е. знаю-умею, и главное - весь софт уже загружен и установлен на зараженном компе). Т.е. если есть рекомендации по тому как хотя бы восстановить связь - чтобы затем выслать логи по правилам - буду очень признателен. Спасибо заранее
22.12.2009, 16:07
light59

Ну раз не 1й раз, то знаете, как отключать автозапуск в флешек.
Ждём логи. Логи присылайте с машины, где есть интернет. Если есть АВ и отключен автозапуск, то не бойтесь.
22.12.2009, 16:37
Petrovich2012

[QUOTE=light59;542023]Ну раз не 1й раз, то знаете, как отключать автозапуск в флешек.
Ждём логи. Логи присылайте с машины, где есть интернет. Если есть АВ и отключен автозапуск, то не бойтесь.[/QUOTE]

Если можно... напишите [I]как [/I]отключить автозапуск
22.12.2009, 16:41
snifer67

[quote]Если можно... напишите как отключить автозапуск[/quote]

Выполните скрипт в avz
[code]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Жду логи...
23.12.2009, 01:14
Petrovich2012

Логи добавлены

.
23.12.2009, 02:55
gjf

В логах ничего вредоносного не обнаружено. Если найдены вирусы, то они неактивные. Вы их можете удалить вручную или с помощью Вашего антивируса.
23.12.2009, 08:43
Petrovich2012

Спасибо (и написал, и нажал!)

Главным симптомом было это:

"В 4:00 утра интернет перестал работать. Точнее, при попытке законнектиться через VPN-соединение (нажатием на диал-ап иконку) стала вылазить "ошибка подключения" типа

Ошибка 800: Не удалось создать VPN-подключение. VPN-сервер недоступен или параметры безопасности для данного подключения настроены неверно"

По-видимому, провайдер мне обрубил связь (за неуплату?... в 9 утра начну звонить...) т.к. и на втором компе этот кабель не подключается.

А вирусы понаходились, так сказать, "в нагрузку". И, похоже, уже обезврежены. Благодарю что успокоили =)