Рекламный вирус

Printable View

13.08.2010, 16:56
DmitryTinne

Рекламный вирус

Попался рекламный вирус, выскакивает сразу при загрузке винды.
В безопасном режиме удалось запустить AVZ и исследовать систему.
13.08.2010, 17:10
Rene-gad

Здравствуйте,
Мы будем Вам очень признательны, если Вы прочтёте и в точности выполните наши несложные [url="http://virusinfo.info/showthread.php?t=1235"]правила[/url].
В противном случае мы никак не сможем быть Вам полезны.
В порядке исключения можете сделать только лог по п. 2 Диагностики. Сделайте так же лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
13.08.2010, 17:53
DmitryTinne

вот все сделал согласно правилам
13.08.2010, 19:56
thyrex

-[url="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/url]:
[code]F2 - REG:system.ini: Shell=C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c4e5855d.exe,\\?\globalroot\systemroot\system32\Yx3yzEn.exe,
O4 - HKCU\..\Run: [shell] C:\Program Files\Common Files\IntraVision Soft\lsass.exe
O4 - Startup: syscron.exe
[/code]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\clonereree.exe\clonereree.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe','');
QuarantineFile('C:\WINDOWS\system32\c4e5855d.exe','');
QuarantineFile('C:\WINDOWS\fldfndr.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe','');
QuarantineFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe','');
DeleteFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe');
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe');
DeleteFile('C:\WINDOWS\fldfndr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Folder Defender');
DeleteFile('C:\WINDOWS\system32\c4e5855d.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe');
DeleteFile('C:\clonereree.exe\clonereree.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
DeleteFileMask('C:\clonereree.exe', '*.*', true);
DeleteDirectory('C:\clonereree.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]

Сделайте новые логи в [B]нормальном[/B] режиме

Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
13.08.2010, 20:42
DmitryTinne

Все стано нормально работать, осталась одна пробле: после вируса все браузеры выдают следующий текст:

Браузер блокирует передачу данных, осуществляемую вредоносным программным обеспечением!
Устранить проблему может:
Pro-Doctor 2010 (нажмите сюда, чтоб произвести онлайн проверку)
BitDefender
VBA32 Antivirus
13.08.2010, 20:55
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[code]begin
QuarantineFile('C:\WINDOWS\system32\dvmurl.dll','');
CreateQurantineArchive('%userprofile%\desktop\avz_quarantine.zip');
end. [/code]
- [url="http://virusinfo.info/upload_virus.php?tid=XXXXX"]Закачайте файл [/url] [b]avz_quarantine.zip[/b] с Рабочего Стола для анализа.
13.08.2010, 21:00
DmitryTinne

Карантин пуст
13.08.2010, 21:03
Rene-gad

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников, cookies и корзину.
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
[QUOTE=DmitryTinne;687632]Карантин пуст[/QUOTE]А почему карантин, запрошенный [URL="http://virusinfo.info/showpost.php?p=687587&postcount=4"]thyrex[/URL] не закачан?
13.08.2010, 21:13
thyrex

А также

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ce62f8a1.exe','');
QuarantineFile('C:\WINDOWS\system32\ddc863b9.exe','');
DeleteFile('C:\WINDOWS\system32\ddc863b9.exe');
DeleteFile('C:\WINDOWS\system32\ce62f8a1.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\kgcDh.txt');
DeleteFile('C:\Documents and Settings\Admin\Application Data\C87J1.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи RSIT
13.08.2010, 21:42
DmitryTinne

Все операции проделал
13.08.2010, 22:06
thyrex

MPK\Free KGB Keylogger - сами устанавливали?

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\System Volume Information\_restore{5A579516-8362-49F7-A512-4002891D033C}\RP1\A0003404.exe (Virus.Expiro) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.7064135115773789.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.8501226342032827.exe (Trojan.Dropper) -> No action taken.[/CODE]
13.08.2010, 22:19
DmitryTinne

да, кейлогеры собственной установки
удалил все что сказали, всеравно появляется надпись в браузерах
13.08.2010, 22:31
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Не исключено, что эта программа удалит Ваш кейлоггер
13.08.2010, 23:04
DmitryTinne

лог
13.08.2010, 23:38
thyrex

Что теперь с проблемой?
14.08.2010, 23:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ce62f8a1.exe - [B]Backdoor.Win32.Shiz.ru[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\ddc863b9.exe - [B]Backdoor.Win32.Shiz.ru[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )[/LIST][/LIST]