очередной порнобаннер

Printable View

24.05.2010, 18:23
owsla

очередной порнобаннер

в общем с утра вожусь с очередной заразой.
avz.exe, avz.com запустить не даёт, при запуске программу сразу сворачивает. totalcmd.exe запустить не даёт, проводник работает, но режим отображения скрытых файлов не включить.
эта зараза сидела несколькими dll и exe в system32, также сидела процессом systems.exe в documents and settings\all users\. путём подключения винта к другому компу эти файлы поудалял. но работу восстановить не удалось. из логов могу сейчас сделать только hijack, но не знаю насколько он информативен будет.
dr. web cure it находит трояны, удаляет их, но опять же, это не сильно помогает.

в баннере написан адрес www_pornhub_com, если это чем-то поможет
24.05.2010, 18:45
polword

Скачайте LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander
25.05.2010, 10:29
owsla

ок, ERD commander качаю, что делать дальше?
25.05.2010, 11:12
polword

Посмотрите в реестре:
ветка
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр
AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите
25.05.2010, 11:16
owsla

ок, спасибо, реестр уже почистил, посмотрев аналогичные темы, баннер пропал

чуть позже выложу логи AVZ, для того, чтобы посмотреть остался какой-нибудь мусор, или нет
26.05.2010, 11:14
owsla

как уже писал, вчера почистил реестр, переименовал .dll, всё заработало. потом обновил базы avz и запустил скрипты, чтобы сделать логи virusinfo, после этого перезагрузил комп и в итоге снова баннер, диспетчер задач заблокирован.

реестр с помощью ERD commander посмотрел, в Appint_Dlls пусто.

в system32 подозрительных dll вроде бы не появилось.

что делать?

проверяю винт на другом компе, уже нашёл Trojan.Winlock.1685, удаляем

в безопасном режиме запустил avz и hijack, сейчас будут логи
26.05.2010, 12:23
owsla

логи во вложении, баннер висит, сеть заблокирована
26.05.2010, 13:14
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
DeleteService('ixwydxwa');
QuarantineFile('C:\WINDOWS\system32\0121.tmp','');
DeleteFile('C:\WINDOWS\system32\0121.tmp');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
BC_ImportDeletedList;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать заново логи.
26.05.2010, 14:24
owsla

логи avz выложил, hijack запустить не даёт, антивирусные сайты не грузит, баннер пропал, сетка есть
карантин отправил
26.05.2010, 15:01
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
[QUOTE]Восстановление системы: включено[/QUOTE]
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('dybypx');
QuarantineFile('C:\WINDOWS\system32\0109.tmp','');
DeleteFile('C:\WINDOWS\system32\0109.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
26.05.2010, 15:33
owsla

Вложений: 2

логи во вложении, почему-то проинсталлированный hijack запустить не удаётся, запустил учу без инсталляции
карантин отправил
26.05.2010, 15:48
polword

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
26.05.2010, 17:00
owsla

[QUOTE=polword;644140]- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL][/QUOTE]
во вложении
27.05.2010, 07:19
polword

1. удалите в MBAM
[CODE]
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\3DBFBE1Fd01 (Adware.Seekmo) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\yWciyDkn.exe.part (Adware.Seekmo) -> No action taken.
E:\F-DATA\DrWeb Enterprise Suite\Installer\fix\avz4\Infected\2010-05-25\avz00001.dta (Backdoor.Bot) -> No action taken.
E:\F-DATA\DrWeb Enterprise Suite\Installer\fix\avz4\Infected\2010-05-25\avz00002.dta (Backdoor.Bot) -> No action taken.
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\0109.tmp','');
QuarantineFile('C:\Program Files\HyperSnap 6\HSTxtCap.dll','');
DeleteService('dybypx');
DeleteFile('C:\WINDOWS\system32\0109.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
27.05.2010, 13:04
owsla

лог во вложении, карантин выслал
27.05.2010, 14:27
polword

В логе чисто.

- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
27.05.2010, 14:48
owsla

спасибо!
полное обновление ОС уже сделал :)
28.05.2010, 14:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\sysaware soft\svhost.exe - [B]Trojan-Ransom.Win32.PinkBlocker.blb[/B] ( DrWEB: Trojan.Winlock.1765 )[*] c:\program files\drweb enterprise suite\infected.!!!\3proxy-0.6-devel-080513170128.zip - [B]not-a-virus:Server-Proxy.Win32.3proxy.al[/B] ( BitDefender: Trojan.Generic.1766947 )[/LIST][/LIST]