Удалось выяснить, что троян после запуска запускает команду [B]C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\9335~1\LOCALS~1\Temp\bncojm.dll,Install[/B], но самого файла [B]bncojm.dll[/B] нету. Видимо, самоудалился.
Printable View
Удалось выяснить, что троян после запуска запускает команду [B]C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\9335~1\LOCALS~1\Temp\bncojm.dll,Install[/B], но самого файла [B]bncojm.dll[/B] нету. Видимо, самоудалился.
только что проверила еще раз, установила под юзером, окно вылезло сразу после перезугрузки
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
у меня самоудаляется только инсталятор, а две dll и два батника к каждой dll на месте
почему-то каждый раз создаются по две копии )
А у меня инсталлятор почему-то остается на месте...
Но вирус не работает...
у меня инсталятор оставался на месте только при запуске под админом, под юзером - самоликвидируется
[QUOTE='bolshoy kot;555001']У меня вопрос по поводу "Update_Flash-Player-10_build.9102.exe"
А при каких условиях появляется окно про SMS? А то я запустил этот файл (на виртуальном ПК), а реакции никакой. Время на 5 часов вперед переводил.[/QUOTE]
Что за вм? на варе работает, на MS VirtualPC нет
поигрался на скорую руку
тут чисто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs сидит C:\WINDOWS\system32\yltegc.dll (имя создаётся рандомное)
выкосил ветку и файл из систем32, окна более нет
затем стандарное лечение
[QUOTE=sirius;555153]поигрался на скорую руку
тут чисто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs сидит C:\WINDOWS\system32\yltegc.dll (имя создаётся рандомное)
выкосил ветку и файл из систем32, окна более нет
затем стандарное лечение[/QUOTE]
и какие будут общие рекомендации к защите от таких вирусов?
блокировки run как я понимаю в этом случае недостаточно?
защищаем от записи ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs под юзером?
и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..
[QUOTE=Гриша;555128]Что за вм? на варе работает, на MS VirtualPC нет[/QUOTE]
Именно Microsoft Virtual PC.
Получается, вирусы уже научились распознавать виртуальные машины?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE]
и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..
[/QUOTE]
Вполне возможно:
[QUOTE]
Спасибо, проблема исчезла. Карантин отправил.
Остается добавить, что в папке temp находились еще эти файлы, пришлось их тоже удалить через AVZ
b.bat
hclxsf.bat
kcszh.bat
tbvc.bat
При входе под юзером 1 пытается найти и запустить b.bat
Не знаю, попали ли эти файлы в карантин.
Еще раз СПАСИБО.
[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=63565[/url]
А iLite - похожий на "Download Master" вирус.
[QUOTE=Юльча;555174]
и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..[/QUOTE]
честно говоря я более не лазал по реестру
сидел под ERD командером
выкосил все темпы, возможно там муть ещё была
реестр и диспетчер задач разлочил спец утилитами
[URL]http://www.gcmsite.ru/?pg=programs&id=sp-task-manager-unlock[/URL]
[URL]http://www.gcmsite.ru/?pg=programs&id=sp-regedit-unlock[/URL]
естественно полное лечение не проводил
мне на данном этапе хватило разлочить машинку
[QUOTE=bolshoy kot;555199]Именно Microsoft Virtual PC.
Получается, вирусы уже научились распознавать виртуальные машины?[/QUOTE]
а некоторые вирусы это давно умели :)
помню читала описание какого-то виря (возможно русток) который неплохо отбивался от дебагеров и распознавал и не запускался под виртуалками
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 35 минут[/I][/B][/color][/size]
[QUOTE=bolshoy kot;555199][URL]http://virusinfo.info/showthread.php?t=63565[/URL]
А iLite - похожий на "Download Master" вирус.[/QUOTE]
ну да и тема обсуждения у них общая - [URL="http://virusinfo.info/showthread.php?t=63565"]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/URL] :smile:
эти уродцы-самцы [QUOTE]iMax Download Manager, iLite Net Accelerator, Get Accelerator и Download Master
[/QUOTE]
рождены одной командой ffsearcher (такой же уродливой как они сами) в ж....у им корень...
[url]http://www.anti-malware.ru/forum/index.php?showtopic=10256&pid=91752&st=20&#entry91752[/url]
бабла им мало....
Большое спасибо Юльче за Архив. Попробовал запустил данный вирус под ограниченной учеткой, с пользовательской закрытой Run, вирус прописался в автозапуск по пути HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load. Закрыл от изменений ветку HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,- вирус запустился, но ограниченно (не запускался реестр и диспетчер задач, окошка вымогающего смс не было), после перезагрузки ограничения пропали.
Значит чтобы избежать заражения под ограниченной учеткой, закрываем все автозапуски, в частности
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Всем удачи :smile:
[QUOTE=meir;555903]прописался в автозапуск по пути HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load[/QUOTE]
А что именно туда прописалось?
[QUOTE=bolshoy kot;555908]А что именно туда прописалось?[/QUOTE]
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\tmp\fjxt.bat
C:\tmp - временная папка пользователя, файл "fjxt.bat" удалился без проблем под ограниченной учеткой.
[QUOTE=meir;555922]HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\tmp\fjxt.bat
C:\tmp - временная папка пользователя, файл "fjxt.bat" удалился без проблем под ограниченной учеткой.[/QUOTE]
А в "fjxt.bat" был вызов rundll32.exe?
[QUOTE=bolshoy kot;556454]А в "fjxt.bat" был вызов rundll32.exe?[/QUOTE]
Не отследил, но при перезагрузке, выскакивало окошко rundll32.exe завершить сейчас. Еще читал статью, где описывались блокираторы, меняющие путь к папке автозагрузка в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, поэтому желательно закрыть от изменений и ее.
Уважаемые специалисты посмотрите эту тему [URL="http://virusinfo.info/showthread.php?t=66106&goto"]http://virusinfo.info/showthread.php?t=66106&goto [/URL]
уж очень ядрёный вымогатель попался!!!:huh:
Только што избавился от вируса Internet Security вымогал sms,вырубил все даже интернет блокировал папку Windows с помошью генератора четырех часовая борьба закончилась,кому интересно опишу как
ковыряю этот сайтик po-pc dot ru, просто попрошайка, имитирует флешкой скан системы, вопит о вирусах и порсит денег на номер, номер меняется периодически, вроде ничего не грузит. юзаю чистую VPC и MS Security Essential для прикола. молчит.
Только что наблюдали винлок вымогателя маскирующегося под Kaspersky Internet Security. ХОчет денег через смс.
ХР, все обновления, ограниченная учетка, стоит Касперский антивирус 2010. Тема исчерпана.