Здравствуйте. Проблема следующая, выскакивает баннер при попытке запустить любое приложение с просьбой отправить смс на номер 3381. Делал все из под LiveCD т.к. в безопасном режиме при запуске AVZ компьютер выключался.
Printable View
Здравствуйте. Проблема следующая, выскакивает баннер при попытке запустить любое приложение с просьбой отправить смс на номер 3381. Делал все из под LiveCD т.к. в безопасном режиме при запуске AVZ компьютер выключался.
1. Скачайте образ [b]ERD Commander[/b], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [b]erdregedit[/b]
3. Посмотрите в реестре:
[b]ветка[/b]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[b]параметр[/b]
[code]AppInit_DLLs[/code]
Содержимое этого параметра напишите в своем сообщении
C:\WINDOWS\Cursors\aero_move_x.cur:XJHPTL8ghw8c21meV6MT
1. Загрузитесь с ERD Commander
2. Переименуйте указанный Вами файл
3. Очистите значение параметра AppInit_DLLs
4. Загружайтесь в обычном режиме и делайте логи
баннер больше не появлялся, а вот диспетчер задач и реестр так и не работают.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\107.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1050995.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\0009.exe','');
QuarantineFile('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5\UBCJE7I1\fwemlom[1].exe','');
QuarantineFile('C:\Documents and Settings\Инна\Local Settings\Temp\921.exe','');
QuarantineFile('C:\WINDOWS\system32\yytkkfww.exe','');
QuarantineFile('C:\WINDOWS\system32\xyzz2fgb.exe','');
QuarantineFile('C:\WINDOWS\system32\wriiduup.exe','');
QuarantineFile('C:\WINDOWS\system32\wrhidtu6.exe','');
QuarantineFile('C:\WINDOWS\system32\t0zvqq6cc.exe','');
QuarantineFile('C:\WINDOWS\system32\snnjzzv67.exe','');
QuarantineFile('C:\WINDOWS\system32\s6i81ufgb.exe','');
QuarantineFile('C:\WINDOWS\system32\pq70rnii6u.exe','');
QuarantineFile('C:\WINDOWS\system32\pkk6ww6ii.exe','');
QuarantineFile('C:\WINDOWS\system32\ntop970brx.exe','');
QuarantineFile('C:\WINDOWS\system32\m6yy6kk6.exe','');
QuarantineFile('C:\WINDOWS\system32\k1gccxoo.exe','');
QuarantineFile('C:\WINDOWS\system32\jupq0mrcnj.exe','');
QuarantineFile('C:\WINDOWS\system32\e1awwrii.exe','');
QuarantineFile('C:\WINDOWS\system32\bxnnjzzvll.exe','');
QuarantineFile('C:\WINDOWS\system32\bb66s81epqr.exe','');
QuarantineFile('C:\WINDOWS\system32\15tuklq.exe','');
QuarantineFile('C:\WINDOWS\system32\2k5fbwx.exe','');
QuarantineFile('C:\WINDOWS\system32\6ww6ii6.exe','');
QuarantineFile('C:\WINDOWS\system32\703i1pk.exe','');
QuarantineFile('C:\WINDOWS\system32\0fbww6i.exe','');
QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\tyga.exe','');
QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\toverel.exe','');
DeleteService('xixhqyfxqsva');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\kwscjucaxv.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\gwckoxzv.sys','');
DeleteService('qpzfcsocatsmpz');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\ehgacfkdl.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\wxukygx.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\fnrykyd.sys','');
DeleteService('nkxuhnmifuby');
DeleteService('ncfkctobxkqyedn');
DeleteService('mslmzyrffpimlr');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\tybearziz.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cyjbydabr.sys','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\zsbfrhzgwsrk.sys','');
DeleteService('kvafenpnlf');
DeleteService('kkkzpiev');
DeleteService('jltphgfnrfukai');
DeleteService('ivbituee');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\rvcgpfhzgds.sys','');
DeleteService('ftnvjaske');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\yzmntbto.sys','');
DeleteService('alpddwjobo');
DeleteService('v8dodafye5291i');
QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\noojoo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\noojoo.exe');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\yzmntbto.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\rvcgpfhzgds.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\zsbfrhzgwsrk.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cyjbydabr.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\tybearziz.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\fnrykyd.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\wxukygx.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\ehgacfkdl.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\gwckoxzv.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\kwscjucaxv.sys');
DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\toverel.exe');
DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\tyga.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jurypuz');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sivola');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jurypuz');
DeleteFile('C:\WINDOWS\system32\0fbww6i.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uupggbs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nijok6b');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tuk1a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vmmhyyt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lbcxno');
DeleteFile('C:\WINDOWS\system32\703i1pk.exe');
DeleteFile('C:\WINDOWS\system32\6ww6ii6.exe');
DeleteFile('C:\WINDOWS\system32\2k5fbwx.exe');
DeleteFile('C:\WINDOWS\system32\15tuklq.exe');
DeleteFile('C:\WINDOWS\system32\bb66s81epqr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mstzjf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hyytkkf');
DeleteFile('C:\WINDOWS\system32\bxnnjzzvll.exe');
DeleteFile('C:\WINDOWS\system32\e1awwrii.exe');
DeleteFile('C:\WINDOWS\system32\jupq0mrcnj.exe');
DeleteFile('C:\WINDOWS\system32\k1gccxoo.exe');
DeleteFile('C:\WINDOWS\system32\m6yy6kk6.exe');
DeleteFile('C:\WINDOWS\system32\ntop970brx.exe');
DeleteFile('C:\WINDOWS\system32\pkk6ww6ii.exe');
DeleteFile('C:\WINDOWS\system32\pq70rnii6u.exe');
DeleteFile('C:\WINDOWS\system32\s6i81ufgb.exe');
DeleteFile('C:\WINDOWS\system32\snnjzzv67.exe');
DeleteFile('C:\WINDOWS\system32\t0zvqq6cc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uupggb');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','inyop');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iyopf7');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','abwssn');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uvqmmhy');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dozklb7');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xydzu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bwxsoo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fgbchd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vvgrcx');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pqvrm');
DeleteFile('C:\WINDOWS\system32\wrhidtu6.exe');
DeleteFile('C:\WINDOWS\system32\wriiduup.exe');
DeleteFile('C:\WINDOWS\system32\xyzz2fgb.exe');
DeleteFile('C:\WINDOWS\system32\yytkkfww.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnjzzv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsjzzpv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gcss6');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bbmxy');
DeleteFile('C:\Documents and Settings\Инна\Local Settings\Temp\921.exe');
DeleteFile('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5\UBCJE7I1\fwemlom[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\0009.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1050995.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\107.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1129117.exe');
DeleteFileMask('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
выполнил
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys','');
DeleteService('jltphgfnrfukai');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys');
QuarantineFile('D:\AutoRun.exe','');
QuarantineFile('D:\ARE\RUNNING\oF.exe','');
QuarantineFile('I:\ARE\RUNNING\oF.exe','');
QuarantineFile('C:\WINDOWS\system32\SfcFiles.dll','');
QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys','');
DeleteService('zuahduou');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\ao6dz3bm.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи virusinfo_syscheck.zip; log.txt и info.txt.
[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]
[B]D, I [/B]-это флешки? Если да, то скрипт сделать с ними
архив quarantine получился пустым он не отправляется пишет "Ошибка загрузки. Данный файл уже был загружен"
D это флешк, I в системе такого диска нет.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\drivers\ao0dcrog.sys');
DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys');
DeleteService('zuahduou');
DeleteService('ao0dcrog');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zuahduou');
BC_DeleteSvc('ao0dcrog');
BC_DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ao0dcrog.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог log.txt
готово.
не вижу подозрительного.
Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Большое спасибо! все работает.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]91[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\инна\local settings\temporary internet files\content.ie5\ubcje7i1\fwemlom[1].exe - [B]Trojan.Win32.Ddox.mq[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123341, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\инна\local settings\temp\921.exe - [B]Trojan.Win32.Ddox.mq[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123341, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-1275210071-854245398-1801674531-500\dc4\temp\0009.exe - [B]Trojan-Dropper.Win32.Agent.cduy[/B] ( DrWEB: Trojan.Inject.8777, BitDefender: Gen:Variant.Zbot.11, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-1275210071-854245398-1801674531-500\dc4\temp\1050995.exe - [B]Trojan-Dropper.Win32.Agent.cduy[/B] ( DrWEB: Trojan.Inject.8777, BitDefender: Gen:Variant.Zbot.11, AVAST4: Win32:Malware-gen )[/LIST][/LIST]