Блокиратор Windows

Printable View

12.12.2010, 18:02
dgr

Блокиратор Windows

Поймал блокиратор Windows, с которым самостоятельно справиться не получилось: полная проверка CureIt показала пару троянов, но от блокиратора не избавила. Он убился сам вводом кода svipper, спасибо сайту д-ра Веба :)
В списке процессов при старте системы образуются net.exe, net1.exe, netprotocol.exe, puos.exe, которые приходится убивать (причем puos убиваться почти всегда отказывается) руками.
Хотелось бы полностью вывести всю дрянь с машины.
Спасибо за помощь.
12.12.2010, 21:57
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe','');
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\system32\MsPMSPSv.exe','');
QuarantineFile('C:\WINDOWS\dasf.sys','');
DeleteFile('C:\WINDOWS\dasf.sys');
DeleteFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
13.12.2010, 01:12
dgr

Сделано.
13.12.2010, 06:23
polword

- [B]virus.zip[/B] - удалите из темы
[QUOTE=thyrex;744630]
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]

Что с проблемой?
13.12.2010, 09:19
dgr

[QUOTE=polword;744786]- [B]virus.zip[/B] - удалите из темы

Что с проблемой?[/QUOTE]
Процессы net и net1 появляются при старте системы, но сразу исчезают.
Снова стал обновляться антивирус, что есть хорошо :)
Ставлю полную проверку антивирусом еще раз.
13.12.2010, 13:38
thyrex

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL]
13.12.2010, 19:26
dgr

Антивирус отключал, как умел, но ComboFix все равно его где-то узрел.
13.12.2010, 22:47
thyrex

Что сейчас с проблемой?
14.12.2010, 01:10
dgr

Процессы net и net1 по-прежнему в системе; только что заметил какой-то " wowclient", хотя никакого wow'а не было и нет.
14.12.2010, 01:28
миднайт

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
14.12.2010, 20:35
dgr

net'ы все еще в системе.
рекомендации ScanVuln выполнил, запустил его еще раз, он сказал, что скрипт выполнен без ошибок, и нового лога не создал.
14.12.2010, 21:35
миднайт

Удалите в mbam:

[CODE]
Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Заражённые файлы:
c:\documents and settings\Gr\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Kate\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
[/CODE]
15.12.2010, 09:29
dgr

Сделано.
Net'ы все еще в системе (после перезагрузки). Живучие, гады =)
15.12.2010, 11:27
миднайт

В AVZ - Сервис - Поиск файлов на диске - поищете эти злополучные файлы net.exe, net1.exe. Что найдете добавьте в карантин AVZ и пришлите по правилам.
16.12.2010, 20:12
dgr

[I]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\net1.exe)
Карантин с использованием прямого чтения - ошибка[/I]

и так со всеми.
можно прислать сами *.exe-шники?
17.12.2010, 07:05
polword

Пришлите файлы запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
17.12.2010, 08:53
dgr

[I]Файл сохранён как 101217_085312_virus_4d0afac84ff07.zip
Размер файла 86811
MD5 062a6eb24d72ec7462e234fd33355e5d[/I]
17.12.2010, 20:37
thyrex

Файлы чистые
18.12.2010, 14:56
миднайт

Это файлы от операционной системы с подписью микрософта.
[url]http://www.file.net/process/net.exe.html[/url]
20.12.2010, 19:20
dgr

Спасибо за помощь!
21.12.2010, 19:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\jpslxpk.dll - [B]Trojan-Ransom.Win32.Cidox.aa[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6232632, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]