Последствия порнобаннера

Printable View

07.06.2010, 22:06
frizzy

Последствия порнобаннера

Доброго времени суток. Итак по порядку. Возник порнобаннер, ехе файлы не запускались, антивирусы не работали, интернет тоже не работал, в итоге запустился ERDcommanderом, зашёл HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows посмотрел AppInit_DLLs, удалил параметры и переименовал файл. Потом после проверки в Dr. Web CureIt! было вылечено порядка 15 файлов с вирусом Troyan.Packed.20343, переименованный ранее файл тоже был в этом списке. Потом выполнил необходимые действия из правил, вот логи:

[ATTACH]244555[/ATTACH]

[ATTACH]244556[/ATTACH]

[ATTACH]244557[/ATTACH]

Посмотрите пожалуйста что дальше??? Вроде всё работает.
07.06.2010, 22:42
DefesT

Здравствуйте, отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\DOCUME~1\FRIZZY~1.PEN\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('D:\WINDOWS.0\system32\7931261c.exe','');
QuarantineFile('D:\WINDOWS.0\System32\userinit.exe','');
QuarantineFile('D:\WINDOWS.0\system32\drivers\win32x.sys','');
DeleteFile('D:\WINDOWS.0\system32\drivers\win32x.sys');
DeleteFile('D:\WINDOWS.0\system32\7931261c.exe');
DeleteService('win32x');
DeleteFile('D:\DOCUME~1\FRIZZY~1.PEN\LOCALS~1\Temp\svchost.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
07.06.2010, 23:37
frizzy

После выполнения скрипта и перезагрузки, ввожу пароль учётной записи и моментально завершение сеанса. Повторяю и тоже самое ((
07.06.2010, 23:58
frizzy

Поправил userinit в реестре, в систему вошёл. Карантин отправил, логи вот:

[ATTACH]244579[/ATTACH]

[ATTACH]244580[/ATTACH]
08.06.2010, 01:18
thyrex

Проверьте, сколько у Вас файлов userinit.exe в папке system32. Если несколько, один из них - вирус (дата 01.06.2010, размер 57344 байт)
08.06.2010, 09:37
frizzy

В папке один userinit.exe, дело в том что на компьютере несколько систем, заражённая находится по адресу d:\windows.0\, проблема с учёткой возникла из-за того, что скриптуказал путь на C:\WINDOWS\system32\userinit.exe. Что-нибудь ещё нужно сделать, или можно успокоиться? Визуально всё работает без проблем.
08.06.2010, 12:29
DefesT

D:\WINDOWS.0\System32\userinit.exe - замените чистым с дистрибутива. Подробнее [URL="http://virusinfo.info/showthread.php?t=51654"]здесь[/URL]
за ошибку указания диска в скрипте примите мои извинения.
09.06.2010, 12:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\docume~1\frizzy~1.pen\locals~1\temp\svchost.exe - [B]Backdoor.Win32.Bredolab.ewx[/B] ( AVAST4: Win32:MalOb-BH [Cryp] )[*] d:\windows.0\system32\userinit.exe - [B]Trojan-Mailfinder.Win32.Agent.agf[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]