Printable View
На рабочем столе появился порно-баннер, предлагает отправить смс на номер 3381 с кодом N110081774833. Восстановление системы, диспетчер задач, браузеры, антивирусы не работают. Запустить AVZ могу только под LiveCD. Проблема еще и в том, что встроенный в LiveCD ERD Commander не открывает точки восстановления. Очень надеюсь на вашу помощь.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Проверял AVZ, д-р Вебом - сам вирус не находит.
с помощью ERD Commander посмотрите в реестре:
ветка
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите
Посмотрел даже просто regedit (под Лайвом так и работаю) - там пустое значение.
При запуске с ERD Commander нужно делать так Пуск - Выполнить - [B]erdregedit[/B]
[B]thyrex[/B], как ни странно, он мне ничего не показывает.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 5 минут[/I][/B][/color][/size]
Есть предположение,что непосредственно сам баннер появляется при запуске браузера - при этом он виснет (ФФ) и отключить что-то в его настройках не удается. При заходев папку с AVZ тут же следует перезагрузка. Проверил несколькими антивирусами - ничего не видят.
Похоже новая модификация блокера. Попробуйте поискать из-под LiveCD файл [B]systems.exe[/B], проверить ключи автозапуска в реестре
[B]thyrex[/B], какие именно ключи/как проверять?
[QUOTE='Ftpmail;642998']какие именно ключи/как проверять?[/QUOTE]Run
Искать поиском в реестре
[B]thyrex[/B], нашел systems.exe только как параметр в реестре для ИЕ, значение удалил. Самого такого файла нет. Искал по Run, честно говоря, не зная что, сложно найти.
Поищите этот же файл в [B]Documents and Settings\All Users[/B] и переименуйте. Попробуйте загрузиться нормальным образом и выполнить правила
[B]thyrex[/B], в Documents and Settings\All Users нет ничего. Есть лог от HijackThis, но не могу гарантировать его полноту: система вылетает, показывая обоину рабочего стола и все (непосредственно перезагрузка не происходит). Что касается содержимого hosts, то перенаправления на рутрекер писал я, тут порядок.
AVZ из-под LiveCD не нужен, правильно? Никак иначе он у меня не запускается.
Надеюсь, что хотя бы один этот лог поможет.
- найдите файл- C:\WINDOWS.0\system32\mz.dll - переименуйте его, пришлите его запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- профиксите в HJ
[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\8a0b455c.exe,\\?\globalroot\systemroot\system32\0BjV92i.exe,
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll[/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]
после попробуйте сделать логи AVZ
[QUOTE='polword;643116']найдите файл- C:\WINDOWS.0\system32\mz.dll[/QUOTE]Искать и переименовывать нужно с LiveCD
[QUOTE]AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll[/QUOTE]Значит плохого искали в реестре. Или искали не в реестре системы на компьютере ;)
[B]polword[/B], [B]thyrex[/B], файл переименовал и выслал (пока его не удалял, нужно ведь удалить?). Нормально заработал ФФ (собственно, это сообщение уже пишу с зараженного компьютера). С помощью gmer посмотрел в реестре (обычная загрузка, не LiveCD) ключ - пустой. Может, неправильно что-то делаю? Диспетчер задач, восстановление системы, regedit по-прежнему не работают. Правда, теперь стало появляться сообщение "... отключено администратором системы". Раньше просто никакой реакции не было. Высылаю все логи, жду дальнейших инструкций.
Да, еще восстановилась нормальная работа мультимедиа файлов.
Еще такой вопрос: у меня в системе был ехе-шник coqgor - в автозапуске, в скрытых (как только делаешь отображение скрытых файлов, появлялся баннер). Я его сразу удалил, но он до сих пор есть в msconfig в списке автозагрузки (в "Расположении" SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - но там ничего нет).
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
Заработал gpedit, я разблокировал диспетчер задач, вероятно, будет доступно восстановление системы (нужно его делать теперь?). Жду советов, как восстановить окончательно функционирование (например, не работает установленный антивирус), возможно, в AVZ выполнить какие-то пункты из "Восстановления"?
- [B]virusinfo_cure.zip[/B] - удалите из темы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Дополнительно к совету [B]polword[/B]
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
[B]polword[/B], все сделал, единственное, в памяти есть системные процессы антивируса (надеюсь, это не проблема?). Переименованный mz.dll я удаляю?
По рекомендации [B]thyrex[/B] добавляю еще и лог ComboFix.
Пришлите [COLOR="Blue"][B]Ту dll[/B][/COLOR] запакованной в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]
[QUOTE=Ftpmail;643682]По рекомендации [B]thyrex[/B] добавляю еще и лог ComboFix.[/QUOTE]
не вижу его что-то....
[B]polword[/B], поправил предыдущее сообщение. А dll я уже высылал:
[QUOTE]Ошибка загрузки. Данный файл уже был загружен[/QUOTE]
Называется "quarantine_mz"
Файл ушел в вирлаб. Удаляйте переменованный файл и [B]c:\windows.0\system32\onrg.dll[/B] тоже
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
[B]thyrex[/B], все сделал (разве что Акробат пока не поставил). Теперь можно считать, что система в норме? Спасибо за помощь!
Было бы интересно получить комментарий насчет ИЕ и Акробата (с ними какие-то проблемы)? И еще хотелось бы совет: НОД уже второй раз пропускает баннер (хотя ругался на вирусы и блокировал их в день, непосредственно перед заражением; первый раз обошелся простым восстановлением системы (работало)). Проблема в антивирусе (и стоит перейти на другой) или от него это не настолько зависит?
[QUOTE='Ftpmail;643753']Было бы интересно получить комментарий насчет ИЕ и Акробата[/QUOTE]В старых версиях много дыр
[QUOTE='Ftpmail;643753']Проблема в антивирусе (и стоит перейти на другой) или от него это не настолько зависит?[/QUOTE]Антивирус лишь уменьшает риск заражения, а 100% гарантии [B]не дает ни один разработчик[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \quarantine_mz.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Packed.20343, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]