вирус

Printable View

15.11.2010, 22:58
koyg

вирус

собственно не дает запускать антивири
не дает достучаться до вирусинфо
остальные симптомы схожи с предидущими пациентами - АВЗ запустил только после отключения эксплора.

логи по форме
15.11.2010, 23:11
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\eynjjey.exe','');
DeleteFile('C:\WINDOWS\system32\eynjjey.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
15.11.2010, 23:51
koyg

логи

карантин по кнопке загружаться не хочет...

пациент ожил - всё запускается, везде пускает.
16.11.2010, 07:12
olejah

[B]C:\Documents and Settings\Администратор\Мои документы\Загрузки\stati_po_muzike_na_angliyskom_yazike_43.exe[/B] - Полагаю Вы знаете, что это такое раз загрузили. Детект такой - [B][COLOR="Red"]Hoax.Win32.ArchSMS.oh[/COLOR][/B]

- Что с этим делаем - оставляем/удаляем?
16.11.2010, 08:40
koyg

удалил

один симптом остался - при входе в социалки - редиректит на страницу "вас взломали, отправьте смс" - не могу отловить что за бяка

+ не дает скачать ничего с каспера и других сайтов с антивирусами - но пускать на них пускает
16.11.2010, 08:52
olejah

Во всех браузерах или в каком-то одном?
16.11.2010, 09:08
koyg

во всех - лиса, опера, осел
16.11.2010, 20:27
koyg

проверил ещё раз всё с запущеной лисой и открытым эксплором

вот логи

отловить не удается..
ещё заметил штуку - все файлы скачиваемые из сет - переименовываются во что-нибудь типа wjujfhghg.exe oklkkhj.exe и т. п.
16.11.2010, 20:31
olejah

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
16.11.2010, 22:09
koyg

лог МБАМ
16.11.2010, 22:13
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
[/CODE]
16.11.2010, 22:53
koyg

выполнил
как ни печально - проблема осталась

видимо предстоит переустановка системы...
16.11.2010, 23:01
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix [/URL]
16.11.2010, 23:04
koyg

не понадобиться.

кусаю правый локоть и посыпаю голову пеплом - стоило сразу заметить в трасеровке - куда ломятся браузеры

а ломились они далеко не туда куда нужно:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C797CA4-6C51-494B-BF33-523DFD3DECF1}: NameServer = 195.226.220.30,195.226.220.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1AC1838-6C88-49B5-AC54-4F258923B3B1}: NameServer = 195.226.220.30,195.226.220.31

собственно проблема решена

огромное спасибо за помощь
17.11.2010, 23:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom_yazike_43.exe - [B]Hoax.Win32.ArchSMS.oh[/B] ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom_yazike_43(2).exe - [B]Hoax.Win32.ArchSMS.oh[/B] ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom_yazike_43(3).exe - [B]Hoax.Win32.ArchSMS.oh[/B] ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\eynjjey.exe - [B]Backdoor.Win32.Shiz.amc[/B] ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5099374, AVAST4: Win32:Malware-gen )[/LIST][/LIST]