Троян локер.

Printable View

Показывать 40 сообщений этой темы на одной странице

22.02.2010, 09:06
wintah

Троян локер.

Доброе утро.

Примерно 2 недели назад поймал скринлокер который "косит" под KYS, удалил его с помощье Kaspersky Rescue Disk.

На данный момент стоит NOD 32.

Сегодня утром поймал новый скрин локер, черный экран и опять просьба отослать СМС. С другого компьютера воспользовался сервисом "анлокер" от Dr Web , тоесть попросту получил код для разблокировки.

После этого получил доступ к системе, восстановил работу диспетчера задач, но он после запуска сразу же сварачивается.

Так же НОД32 кричит про файл autorun.inf на диске D.

Вообщем нужна ваша помощь, мне кажется мусор остался....

Все сделал по правилам, файлы прикрепил.
22.02.2010, 09:28
Шапельский Александр

Доброе утро.
Пофиксить в Hijack
[CODE]F2 - REG:system.ini: Shell=explorer.exe,user32.exe[/CODE]
Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\o.dll','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('c:\windows\system32\user32.exe','');
TerminateProcessByName('c:\windows\system32\user32.exe');
DeleteFile('c:\windows\system32\user32.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\o.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(16);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
22.02.2010, 10:13
wintah

Карантин:

Файл сохранён как 100222_095530_virusinfo_cure_4b822a629a3e9.zip
Размер файла 62210
MD5 f9ba7216ecce7ae1487f30c2dab1b7d2

Новые логи закачал.

ps Диспетчер задач стал вести себя нормально.
22.02.2010, 10:17
wintah

извините, в карантин закачал наверное не то, вот верный файл:

Файл сохранён как 100222_101653_virus_4b822f65e0cf6.zip
Размер файла 1688
MD5 2c2cf7a62cce27a7178dfade57fb3bb7
22.02.2010, 22:25
wintah

теме ап.
22.02.2010, 22:39
Шапельский Александр

Сделайте лог MBAM
22.02.2010, 23:19
wintah

Вложений: 1

Лог выложил.

PS Во время сканирования НОД32 выдал такое:

22.02.2010 22:53:51 файл D:\md.exe Win32/AutoRun.LockScreen.A червь очищен удалением - изолирован

22.02.2010 22:52:08 файл C:\Documents and Settings\MrTea\Local Settings\TEMP\GABb.exe Win32/AutoRun.LockScreen.A червь очищен удалением - изолирован

Но когда просто прогонял НОД32, ничего не находил...
23.02.2010, 00:39
Шапельский Александр

Сделайте комплект логов.
23.02.2010, 07:33
wintah

вот обновленные логи
23.02.2010, 11:13
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
RebootWindows(true);
end.[/CODE]
Сделайте новый лог virusinfo_syscheck.zip
23.02.2010, 14:57
wintah

скрипт выполнил, лог загружен.
23.02.2010, 18:13
Шапельский Александр

Сделайте лог Gmer, MBAM и Hijack
24.02.2010, 10:46
wintah

Вот обновил все логи, кроме Gmer .
Когда нажимаю Сохранить отчет - программа намертво подвисает и помогает только кнопка reset.

ps Во время сканирование МВАМ , НОД32 заругался :

24.02.2010 10:08:47 файл C:\Program Files\WEBMONEY\inetmib1.dll Win32/Spy.Webmoner.VM троянская программа очищен удалением - изолирован
24.02.2010, 11:14
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\webmoney\WebMoney.exe','');
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
QuarantineFile('C:\Скачивание\Alcohol120% 1.9.6.5429 Без ЗАМОРОЧЕК\crack\loader for all lang\Alcohol.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
24.02.2010, 11:34
wintah

Файл сохранён как 100224_113307_quarantine_4b84e4437e6b0.zip
Размер файла 1870
MD5 f2cebf9f503ed4cde09b252db567f68f

ps при загрузке перестали появляться иконки некоторых программ в трее справа (панель аудио настройки, icq) , хотя в процессах они висят. Так же пропал значек языковой панели (языковая панель включена).
24.02.2010, 12:22
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('2EAF5BB2-070F-11D3-9307-00C04FAE2D4F');
DelCLSID('2EAF5BB1-070F-11D3-9307-00C04FAE2D4F');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\o.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
Executerepair(5);
Executerepair(7);
Executerepair(9);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Сделайте новый лог virusinfo_syscheck.zip
24.02.2010, 14:07
wintah

Сделано.

ps Программы в трее стали видны. Языкового индикатора все так же нету.

pss Я посмотрел предыдущий скрипт - вебмани попал под подозрение как я понял. Можно им пользоваться, файл чист ?
24.02.2010, 14:16
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
24.02.2010, 15:11
wintah

Выполнил.

Скажите что с файлом webmoney.exe который я скинул в карантин.

И делать ли что-то дальше или все уже чисто ?
24.02.2010, 15:25
Шапельский Александр

[QUOTE='wintah;592831']Скажите что с файлом webmoney.exe который я скинул в карантин.[/QUOTE]
Карантин пуст. Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\webmoney\WebMoney.exe','');
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Показывать 40 сообщений этой темы на одной странице