Подмена E-GOLD аккоунта

1.Подменяется e-gold аккоунт обменника на хакерский в sci форме при обмене
e-golda в автообменниках
2.По логам фаервола происходит постоянное обращение по TCP
на 200.115.171.170.
3. часто виснет IE
Заранее спасибо

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/URL]
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll
' ,'');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин после перезагрузки согласно приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] .
+ лог-файл boot_clr.log из директории AVZ

Это не лечение, это только анализ.

[quote=PavelA;106432][URL="http://virusinfo.info/showthread.php?t=7239"]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/URL]
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll
' ,'');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]

Прислать карантин после перезагрузки согласно приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] .
+ лог-файл boot_clr.log из директории AVZ

Это не лечение, это только анализ.[/quote]
Пишет ошибка в 4.16

Опечатка. Прывильный скрипт: [code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]

[quote=Numb;106441]Опечатка. Прывильный скрипт: [code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code][/quote]
Выполнил:карантин гигантский получился 2.512k -залил через ссылку"прислать запрошенные файлы"

Вверху см. ссылку

залил

По симантеку ;) Infostealer.Banker.c ntos.exe и все tmp из директории TEMP

В безопасном режиме выполнить скрипт.

[CODE]
begin
ClearQuarantine();
SetAVZGuardStatus(True);
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
BC_DeleteFile('C:\temp\*.*');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]

После перезагрузки прислать boot_clr.log и если что-то попадет в карантин.

что значит удалить с shift?

Это когда в проводнике удаляешь, то нажимаешь правую клавишу мыши, выбираешь удалить и держишь нажатой клавишу "Shift"

Я попробовал это в скрипте сделать. Проверим как это сработает.

Не пускается:
too many aktual parametrs в позиции 7-12

поправил. Никак не возьму в голову привычку проверять скрипт перед отправкой.

[quote=PavelA;106475]поправил. Никак не возьму в голову привычку проверять скрипт перед отправкой.[/quote]
запустил

В карантин, кроме ini-файлов что-то попало?
Чистим директорию Temp ручками.

Делаем лог hijackThis.

[quote=PavelA;106483]В карантин, кроме ini-файлов что-то попало?
Чистим директорию Temp ручками.

Делаем лог hijackThis.[/quote]
Только ini-файлы
temp очистил
ломиться на 200.115.171.170
перестало

уже чисто.
а это ваши ? :
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC0A6C5-3BE2-471F-A781-E3EF454D8FA5}: NameServer = 81.25.32.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC238D73-6318-4877-9E82-524267973958}: NameServer = 81.25.32.34,81.25.32.9

[quote=drongo;106536]уже чисто.
а это ваши ? :
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC0A6C5-3BE2-471F-A781-E3EF454D8FA5}: NameServer = 81.25.32.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC238D73-6318-4877-9E82-524267973958}: NameServer = 81.25.32.34,81.25.32.9[/quote]

не знаю:
в локальной сети дали:
Предпочитаемый DNS - 81.25.32.34
Альтернативный DNS - 81.25.32.9

Вот это непорядок. Д.б. только userinit.exe с запятой. Не совсем уверен, что это можно в Hijack профиксить.

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/CODE]

[quote=PavelA;106569]Вот это непорядок. Д.б. только userinit.exe с запятой. Не совсем уверен, что это можно в Hijack профиксить.

[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/code][/quote]

пофиксил
теперь порядок?
P.S.
Всем большое спасибо и удачи

Остался еще загадочный файл [B]notifyf2.dll[/B], который упорно уклоняется от карантинизации :) Попробуйте разыскать его вручную (см. приложение 2 правил).