Ekav атакует

Printable View

Показывать 40 сообщений этой темы на одной странице

06.01.2010, 15:45
Kurk_SS

Ekav атакует

вообщем проблема стандартная,
вышеуказаная вещь что-то типа сканирует и просит смс за 10 руб.
ЗЫ:чирика не жалко, только ведь знаю что не поможет :biggrinsanta:, а сдесь помогут :wink_3::)

вообщем логи не могу сделать, даже в безопасном режиме эта фигня запускаеться....
максим чего я добился, это то что на одном запуске в безопасном режиме смог установить утилиту авп-туул, но запустить ни какими способами через меню ран эта бяка не давала, а на второй загрузке она сама чтото начала делать(авп-туул), бяка заметила и выключила компьютер...

дайте что можно для разогрева запустить чтоб хоть както логи сделать :)

PS подбор кода не даёт результата, обмонные действия по запуску авз хайджека или авптуул приводят к выключению компьютера - попытка запуска в лоб приводит к повторному сканированию кампа ekav-ом, обманный = выключение

ЗЫ:мне интернет эксплоер выдал окошко что сне сообщение от uuu9960 вроде так, это ктото помочь пытаеться или как??? у меня просто сработала блокировка всплывающих окон, или я уже и другую машину чемто заразил :)
06.01.2010, 17:56
PavelA

Надо через LiveCd загружаться и AVPTool проверяться.
06.01.2010, 18:05
Kurk_SS

так это я делал, загружался с ливсд, где уже встроеный авп тул, друг админ подкинул.....

да просканил он, нашл два файлика, сказал что там кидо, и на этом всё.

несмотря на блокировку виндоус этим окном, можно всётаки както работать с программами, которые Екав разрешает к запуску.... утилиту от каспера против кидо брал, запускал, она полностью проводит скан ниначто не ругаеться.

Екав вообще никак не реагирует на запуск даной утилитки - она ему пофигу.

Счас качаю с дрвэб ливСиДи от 06/01/2010
07.01.2010, 06:52
Bratez

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Только измените расширение файла с [B].exe[/B] на [B].pif[/B], иначе скорее всего не запустится.
08.01.2010, 14:45
Kurk_SS

Помогите.... я просто в шоке.

вообщем скачаный и записанный на болванку образ liveCD DrWeb вообще ничего не нашол...

Gmer скачанный по ссылке, и переименованный в *.pif не запускаеться....
эта сволота его перехватывает......

что делать, как быть ?
08.01.2010, 16:34
Kurk_SS

вообщем из ливсд удалось следующее - до этого внимания не обратил

в реестре ......winlogon\userinit="...userinit.exe, ./sdra64.exe"
вообщем изменил на норм....

счас из пуск-выполнить смог запустить гмер, лог его прилагаю

любые попцски запуска таскменеджера или ещо чего приводят к активации этой заразы.... снова блокирующее окно...
зайти в папку где фар портабл тоже немогу... выключает explorer.exe сразу...

ключи в реестре про отключение диспетчера задач, и редактора реестра удалял, но всё равно они отключены...

файл sdra64.exe и рядом ещо файлы где начало имени такиеже я поместил в карантин (архив зиповский с паролем вирус)
надо??? .....пришлю
08.01.2010, 16:40
PavelA

Присылайте через красную ссылку.
08.01.2010, 16:57
Kurk_SS

прислал... а вообще антивир на другой машине его опознал

Banker.Bancos.kdx

детально
Virus or unwanted program 'TR/Banker.Bancos.kdx [trojan]'
detected in file 'C:\!my karantin\virus_sdra64.exe.virus.
08.01.2010, 17:03
Bratez

Под LiveCD запустите AVZ и выполните такой скрипт:
[CODE]begin
QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB');
end.[/CODE]
(папка с AVZ должна находиться на жестком или флэшке, т.е. с возможностью записи).

После этого запускайте зараженную систему и пробуйте работу AVZ в ней.
08.01.2010, 17:35
Kurk_SS

вообщем сделал.... логи авз и хайджека и красной ссылкой шлю то что авз брал на карантин (загрузка с ливсд)
08.01.2010, 17:58
PavelA

[QUOTE='Kurk_SS;555023']Banker.Bancos.kdx[/QUOTE] Злобный троян, ворующий пароли.
После окончания лечения придется их все поменять.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать логи заново.
Прислать карантин по Правилам, как обычно.
Диск "G" это что?
08.01.2010, 18:07
Kurk_SS

диск G - это флешка которой логи таскаю на рабочую машину с заражённой и обратно

да кстате , а диспетчер задач то отключон администратором, хотя как на регедит ключа в реестре нету про дисэйбл... точнее он был, но я из ливсд удалил оба.....

теперь ключа нету и всёравно не запускаеться диспетчер задач

с РегЕдитом всё нормально.....
08.01.2010, 18:33
Kurk_SS

вот пожалуста......

ещо разлочте плиз таскменеджер

карантина нету.... файл из папки со шрифтами брался ведь на карантин до этого и удалялся....

а из корзины... так корзину я чистил...
08.01.2010, 18:40
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE] >> Заблокированы настройки системы System Restore[/QUOTE]Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

[B]Обновите базы AVZ[/B]
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
08.01.2010, 18:51
Kurk_SS

содержимое авторана
[autorun]
Open=Rundll32.exe .\RECYCLER\dbbyrd.dll,Setup

мож сразу из корзины файл указанный... их там кстате 6 штук одинакового размера
в карантин взять?????????????
08.01.2010, 19:08
PavelA

Да, можно, если дадутся.
Только присылать через карантин AVZ.
08.01.2010, 20:01
Kurk_SS

вообщем вот..... так дались лёгко......файлики из корзины
09.01.2010, 00:38
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service ciigmusrv
gmer.exe -del file "C:\WINDOWS\system32\phpfvs.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ciigmusrv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ciigmusrv"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
09.01.2010, 11:54
Kurk_SS

а кто-то может помочь в такой ситуации....
машина удалёна счас от меня... на пинги всё ещо отвечает, но РПЦ накрылся.... нужно както её перегрузить, тчобы сделать этот лог....

Я лог делал удалённо радмином, потом радмин перестал отвечать... я с соседней машины штатными средствами ХР пытался чтото сделать.... случайно завалил работу РПЦ.... что-то можно сделать? или ждать пока люди прийдут и перегрузят
09.01.2010, 12:05
PavelA

Скорее всего, придется ждать пока придут люди.

Показывать 40 сообщений этой темы на одной странице