-
Junior Member
- Вес репутации
- 62
Рассылка ЧЕРВЕЙ
1.блокировка диспетчера задач.
2.самостоятельно открваетсю МОИ ДОКУМЕНТЫ - 1раз в 5-7минут.
3.Почтовые серверы сообщают о заражённых вложениях.
4.Исходящий трафик.
5.Блокируется доступ к настройкам обоев.
6.Изменяются свойства папки(СКРЫВАТЬ РАСШИРЕНИЯ ЗАРЕГИСТРИРОВАННЫХ, СИСИТЕМНЫЕ И СКРЫТЫЕ) после каждой перезагрузки.
7.на всех съёмных носителях создаются
КОРЗИНЫ, папки MSO, файлы с расширеиями. ini, htt, exe.
Последний раз редактировалось alexsadko68; 22.08.2009 в 22:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\7\LOCALS~1\Temp\init.exe
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cscripts.exe','');
DelCLSID('{18B0E5C2-99CB-11CF-AYX5-00401C648513}');
DelCLSID('{18B0E5C0-4FCB-11CF-AAX5-004016608512}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\DOCUME~1\7\LOCALS~1\Temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\UTSCSI.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\system32\cologsver.exe','');
QuarantineFile('c:\windows\system32\frmwrk32.exe','');
DeleteFile('C:\DOCUME~1\7\LOCALS~1\Temp\init.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe');
BC_Importall;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41871
Замените файлик
Код:
C:\WINDOWS\system32\userinit.exe
на чистый из дистрибутива или др. чистой машины.
Сделайте полную проверку AVPTool и повторите логи.
-
-
Junior Member
- Вес репутации
- 62
AVPTool на заражённой машине не могу даже загрузить!
если загрузка через IE, то он просто закрывается!
Если через ФЛЕШГЕТ, то последний коннектится с сервером- выдаёт кучу ошибок, пытается отправить отчёт об ошибке(может кто от его имени)если не даешь отправить падает сразу, даёшь отправить потом.
-
Качайте на чистой. FlashGet, кстати, затроянен нынче, им сервера взломали.
-
-
логи повторите.
Будем продолжать. Там ещё несколько троянов.
-
-
Junior Member
- Вес репутации
- 62
флешгет

Сообщение от
pig
Качайте на чистой. FlashGet, кстати, затроянен нынче, им сервера взломали.
А какая версия?
У меня 1.9.0.1012
вроде ещё 2007 года.
Скачивалась ещё летом или в начале осени 2008 года
Добавлено через 5 минут

Сообщение от
light59
логи повторите.
Будем продолжать. Там ещё несколько троянов.
После замены userinit.exe и перезагрузки машина сначала ушла в BSOD на стадии загрузки драйверов (включал протокол загрузки), при попытке загрузиться в безопасном режиме, подвисла и пока я сообразил, что грузится слишком долго, какая-то тварь разрушила часть файловой системы.
Так что формат с:
Последний раз редактировалось alexsadko68; 19.03.2009 в 01:42.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe - Trojan.Win32.Buzus.byy( DrWEB: Trojan.MulDrop.17285, BitDefender: Trojan.Delf.Inject.F )
- c:\windows\system32\cologsver.exe - Virus.Win32.Agent.l( DrWEB: Win32.HLLW.Autoruner.324, BitDefender: Trojan.Clog.A )
- c:\windows\system32\cscripts.exe - Trojan.Win32.Small.uw( DrWEB: Trojan.Xispy, BitDefender: Trojan.Generic.554301 )
- c:\windows\system32\frmwrk32.exe - Trojan-Downloader.Win32.Agent.bjur( DrWEB: Trojan.Fakealert.4005, BitDefender: Trojan.FakeAlert.AXQ )
- c:\windows\system32\userinit.exe - Trojan-Dropper.Win32.Agent.aiub( BitDefender: Trojan.Downloader.JLRW )
-