Баннер 3381

Printable View

20.05.2010, 16:19
ra4udc

Баннер 3381

Все попадавшиеся коды опробованы.
Запустить AVPTool и AVZ из системы не удается, IE блокируется.
С LiveCD AVPTool нашел кучу троянов, но после загрузки системы баннер снова проявился
При работе HiJackThis вылетает, но лог создается его только и могу приложить

Посоветуйте пожалуйста, как лечиться дальше
20.05.2010, 16:27
thyrex

LiveCD с возможностью просмотра и редактирования реестра понадобится. Например, [B]ERD Commander[/B]
20.05.2010, 17:03
ra4udc

LiveCD есть, возможность редактирования реестра есть
20.05.2010, 17:06
thyrex

Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите
20.05.2010, 17:18
ra4udc

Параметр AppInit_DLLs : c:\Windows\system32\qeisthh.dll
20.05.2010, 17:22
thyrex

Выполнять с помощью LiveCD

1. c:\Windows\system32\qeisthh.dll переименуйте
2. Очистите значение параметра AppInit_DLLs
3. В папке Documents and Settings\All Users переименуйте файл systems.exe
4. Пробуйте загрузиться в нормальном режиме

Если баннер не появляется, выполняйте логи по правилам + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
20.05.2010, 17:38
ra4udc

1. переименовал c:\Windows\system32\qeisthh.dll
2. Очистил значение параметра AppInit_DLLs
3. В папке Documents and Settings\All Users файл systems.exe не найден, на диске вообще не нашел такого файла
4. Загрузился в нормальном режиме

Баннер пропал
Готовлю логи как просили
21.05.2010, 11:21
ra4udc

лог combofix получить не удалось, не установлена консоль восстановления
пытаюсь ее установить
пока кидаю логи avz и hijackthis
21.05.2010, 11:26
thyrex

[QUOTE='ra4udc;641240']лог combofix получить не удалось, не установлена консоль восстановления[/QUOTE]Вообще говоря, программа предлагает ее установить. Вы вправе отказаться и выполнение пойдет дальше

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\Documents and Settings\taran-29\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
DeleteFile('C:\Documents and Settings\taran-29\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.05.2010, 14:01
ra4udc

поторопился, да в добавок плохо прочитал правила
скрипт выполнил в avptool, а где у него карантин найти не могу
поиск по имени ничего не дал
посылаю пока только логи
может подскажите, что можно сделать для поиска размещения карантина avptool
21.05.2010, 15:08
thyrex

Выполните скрипт
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code] c:\quarantine.zip отправьте по красной ссылке

В логах видны следы компонентов ComboFix. А лог можете предоставить?
21.05.2010, 16:26
ra4udc

ComboFix не отработал, попросил установить консоль восстановления
что-то никак не получилось ее поставить

карантин отправил
21.05.2010, 18:38
thyrex

[QUOTE='ra4udc;641421']ComboFix не отработал, попросил установить консоль восстановления[/QUOTE]Без ее установки (т.е. выбора [B]НЕТ[/B]) программа дальше не работает?

[QUOTE='thyrex;641245']Вообще говоря, программа предлагает ее установить. Вы вправе отказаться и выполнение пойдет дальше[/QUOTE]
22.05.2010, 18:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\taran-29\главное меню\программы\автозагрузка\wwwzuc32.exe - [B]Backdoor.Win32.Bredolab.erq[/B] ( DrWEB: Trojan.Packed.20265, BitDefender: Trojan.Generic.4009685, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] f:\autorun.inf - [B]Trojan.Win32.AutoRun.oc[/B] ( BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-AF [Wrm] )[/LIST][/LIST]