Ekav атакует

Printable View

06.01.2010, 15:45
Kurk_SS

Ekav атакует

вообщем проблема стандартная,
вышеуказаная вещь что-то типа сканирует и просит смс за 10 руб.
ЗЫ:чирика не жалко, только ведь знаю что не поможет :biggrinsanta:, а сдесь помогут :wink_3::)

вообщем логи не могу сделать, даже в безопасном режиме эта фигня запускаеться....
максим чего я добился, это то что на одном запуске в безопасном режиме смог установить утилиту авп-туул, но запустить ни какими способами через меню ран эта бяка не давала, а на второй загрузке она сама чтото начала делать(авп-туул), бяка заметила и выключила компьютер...

дайте что можно для разогрева запустить чтоб хоть както логи сделать :)

PS подбор кода не даёт результата, обмонные действия по запуску авз хайджека или авптуул приводят к выключению компьютера - попытка запуска в лоб приводит к повторному сканированию кампа ekav-ом, обманный = выключение

ЗЫ:мне интернет эксплоер выдал окошко что сне сообщение от uuu9960 вроде так, это ктото помочь пытаеться или как??? у меня просто сработала блокировка всплывающих окон, или я уже и другую машину чемто заразил :)
06.01.2010, 17:56
PavelA

Надо через LiveCd загружаться и AVPTool проверяться.
06.01.2010, 18:05
Kurk_SS

так это я делал, загружался с ливсд, где уже встроеный авп тул, друг админ подкинул.....

да просканил он, нашл два файлика, сказал что там кидо, и на этом всё.

несмотря на блокировку виндоус этим окном, можно всётаки както работать с программами, которые Екав разрешает к запуску.... утилиту от каспера против кидо брал, запускал, она полностью проводит скан ниначто не ругаеться.

Екав вообще никак не реагирует на запуск даной утилитки - она ему пофигу.

Счас качаю с дрвэб ливСиДи от 06/01/2010
07.01.2010, 06:52
Bratez

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Только измените расширение файла с [B].exe[/B] на [B].pif[/B], иначе скорее всего не запустится.
08.01.2010, 14:45
Kurk_SS

Помогите.... я просто в шоке.

вообщем скачаный и записанный на болванку образ liveCD DrWeb вообще ничего не нашол...

Gmer скачанный по ссылке, и переименованный в *.pif не запускаеться....
эта сволота его перехватывает......

что делать, как быть ?
08.01.2010, 16:34
Kurk_SS

вообщем из ливсд удалось следующее - до этого внимания не обратил

в реестре ......winlogon\userinit="...userinit.exe, ./sdra64.exe"
вообщем изменил на норм....

счас из пуск-выполнить смог запустить гмер, лог его прилагаю

любые попцски запуска таскменеджера или ещо чего приводят к активации этой заразы.... снова блокирующее окно...
зайти в папку где фар портабл тоже немогу... выключает explorer.exe сразу...

ключи в реестре про отключение диспетчера задач, и редактора реестра удалял, но всё равно они отключены...

файл sdra64.exe и рядом ещо файлы где начало имени такиеже я поместил в карантин (архив зиповский с паролем вирус)
надо??? .....пришлю
08.01.2010, 16:40
PavelA

Присылайте через красную ссылку.
08.01.2010, 16:57
Kurk_SS

прислал... а вообще антивир на другой машине его опознал

Banker.Bancos.kdx

детально
Virus or unwanted program 'TR/Banker.Bancos.kdx [trojan]'
detected in file 'C:\!my karantin\virus_sdra64.exe.virus.
08.01.2010, 17:03
Bratez

Под LiveCD запустите AVZ и выполните такой скрипт:
[CODE]begin
QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB');
end.[/CODE]
(папка с AVZ должна находиться на жестком или флэшке, т.е. с возможностью записи).

После этого запускайте зараженную систему и пробуйте работу AVZ в ней.
08.01.2010, 17:35
Kurk_SS

вообщем сделал.... логи авз и хайджека и красной ссылкой шлю то что авз брал на карантин (загрузка с ливсд)
08.01.2010, 17:58
PavelA

[QUOTE='Kurk_SS;555023']Banker.Bancos.kdx[/QUOTE] Злобный троян, ворующий пароли.
После окончания лечения придется их все поменять.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать логи заново.
Прислать карантин по Правилам, как обычно.
Диск "G" это что?
08.01.2010, 18:07
Kurk_SS

диск G - это флешка которой логи таскаю на рабочую машину с заражённой и обратно

да кстате , а диспетчер задач то отключон администратором, хотя как на регедит ключа в реестре нету про дисэйбл... точнее он был, но я из ливсд удалил оба.....

теперь ключа нету и всёравно не запускаеться диспетчер задач

с РегЕдитом всё нормально.....
08.01.2010, 18:33
Kurk_SS

вот пожалуста......

ещо разлочте плиз таскменеджер

карантина нету.... файл из папки со шрифтами брался ведь на карантин до этого и удалялся....

а из корзины... так корзину я чистил...
08.01.2010, 18:40
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE] >> Заблокированы настройки системы System Restore[/QUOTE]Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

[B]Обновите базы AVZ[/B]
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
08.01.2010, 18:51
Kurk_SS

содержимое авторана
[autorun]
Open=Rundll32.exe .\RECYCLER\dbbyrd.dll,Setup

мож сразу из корзины файл указанный... их там кстате 6 штук одинакового размера
в карантин взять?????????????
08.01.2010, 19:08
PavelA

Да, можно, если дадутся.
Только присылать через карантин AVZ.
08.01.2010, 20:01
Kurk_SS

вообщем вот..... так дались лёгко......файлики из корзины
09.01.2010, 00:38
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service ciigmusrv
gmer.exe -del file "C:\WINDOWS\system32\phpfvs.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ciigmusrv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ciigmusrv"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
09.01.2010, 11:54
Kurk_SS

а кто-то может помочь в такой ситуации....
машина удалёна счас от меня... на пинги всё ещо отвечает, но РПЦ накрылся.... нужно както её перегрузить, тчобы сделать этот лог....

Я лог делал удалённо радмином, потом радмин перестал отвечать... я с соседней машины штатными средствами ХР пытался чтото сделать.... случайно завалил работу РПЦ.... что-то можно сделать? или ждать пока люди прийдут и перегрузят
09.01.2010, 12:05
PavelA

Скорее всего, придется ждать пока придут люди.
09.01.2010, 14:24
Kurk_SS

Что мне делать дальше... вцелом Екав вроде ушол но после него проблемы

Аутлук(микрософт аутлук) виснет,
Гмером лог немогу сделать.... там машина практически вешаеться... тоесть всё тормозит жесточайше... пробовал дважды ... оба раза давал гмеру часа 3-4 времени... безрезультатно - как висело так и весит

авира не запускаеться, хотя и переустанавливал, пишет запрещено администратором.

вообщем виндоус запускаеться, но работать не получаеться
09.01.2010, 14:38
PavelA

Отсюда поудаляй ключи с упоминанием Авиры.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths

Должен запуститься а/вирус и им сделать надо полную проверку.
09.01.2010, 16:01
Kurk_SS

да антивирус запустился... нашол там штук 5 ХТМЛ троянов и ещо один троянчик.....

раз гмер виснет, то может авз тогда логи сделать.... чтоб уже вздохнуть спокойно..... всё или не всё с грёбаным екавом
10.01.2010, 02:22
AndreyKa

C EKAV всё, а вот Windows и программы обновить не помешало бы.
11.01.2010, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\fonts\dejavusansboldoblique.ttf:xvxsu3opgb - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\fonts\magnetob.ttf:xvxsu3opgb - [B]Trojan-Downloader.Win32.Piker.bil[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\system32\dllcache\keyboard.drv:xvxsu3opgb - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\autorun.inf - [B]Trojan.Win32.AutoRun.oc[/B] ( BitDefender: Trojan.AutorunINF.Gen )[*] g:\recycler\dbbyrd.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\recycler\fzf.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\recycler\llzmnev.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\recycler\mx.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\recycler\rp.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] g:\recycler\whtml.dll - [B]Trojan-Downloader.Win32.Piker.bep[/B] ( AVAST4: Win32:Malware-gen )[*] \!my karantin\virus_sdra64.exe.virus - [B]Trojan-Banker.Win32.Bancos.kdx[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Gen:Trojan.Heur.TP.fq0@bCoCJSgk, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]