uFast Download Manager

**Tulosba** · 11-09-2009, 04:10 PM

Словил аналогичного виря. Запрос отправить смс и отключение всех сетевых адаптеров. Так же закрыт доступ к диспетчеру задач. Руками в реестре снял запрет на запуск диспетчера, прибил процесс propet~.exe и удалил сами файлы. Сетку восстановил, окно с запрос отправить смс не появляется. Всё работает за исключением браузеров. Firefox и Opera вылетают с ошибкой при открытии. IE иногда закрывается, иногда нет, но страницы толком не посмотреть, на попытку открыть страницу может кратковременно появиться ее содержимое, а потом вкладка закрывается с сообщением от IE, что вкладка была закрыта вероятно какими-то вредоносными программами.

Заметил, что если, скажем, файл firefox.exe или opera.exe переименовать в другие, то соответствующие браузеры работают. Т.е. вирь подцепляется по имени запущенного файла. Для проверки взял стандартный блокнот notepad.exe, переименовал его в firefox.exe и запустил. Процесс сразу начал грузить систему и шустрить по винту.

Подскажите как найти, какая зараза цепляется к файлам по именам ?

P.s. Логи выполнения рекомендуемых на данном сайте утилит приложить не могу, в силу того, что пока не имею доступа к проблемному компьютеру. Как только доберусь - сразу отправлю. А пока может быть кто-то и по описанной ситуации может дать совет ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 11-09-2009, 08:43 PM

Нет, без логов никак. Можете сами кофе заварить и погадать на гуще, будет тот же результат.

**Tulosba** · 11-10-2009, 12:46 AM

Заварил кофе, погадал. Вот логи

**thyrex** · 11-10-2009, 01:13 AM

Выполните скрипт в AVZ

Code:

begin
QuarantineFile('C:\WINDOWS\system32\winsrv32.exe','');
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Tulosba** · 11-10-2009, 01:27 AM

Отправил

**thyrex** · 11-10-2009, 10:45 AM

Ждем ответ от вирлаба

**Tulosba** · 11-10-2009, 11:52 AM

Originally Posted by thyrex

Ждем ответ от вирлаба

Это что за зверь ?

**pig** · 11-10-2009, 10:47 PM

Это место, где зверей препарируют.

**Tulosba** · 11-10-2009, 10:58 PM

Главный мозг, который решает кому жить, кому умереть ?

Я просто не в курсе организации местной иерархии. Кто кого от чего лечит и кто таблетки назначает. Но вирлаб - видимо главврач

Если не директор клиники.

**Никита Соловьев** · 11-10-2009, 11:00 PM

Вирлаю - это лаборатория, где исследуют новые вирусы

**Tulosba** · 11-11-2009, 10:27 PM

А долго ли по статистике в среднем приходится ждать ответа от всемогучего вирлаба ?

**Никита Соловьев** · 11-11-2009, 10:34 PM

Уже

1. Пофиксите в hijackthis:

Code:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALEXAN~1\APPLIC~1\UFASTD~1\PROPET~1.EXE

2.Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Code:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\winsrv32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

Сделайте новые логи

**Tulosba** · 11-11-2009, 11:17 PM

Премного благодарен. Лиса, опера и ослик заработали

Если новые логи необходимы - могу выслать в ближайшее время.

**pig** · 11-11-2009, 11:26 PM

Дык:

Originally Posted by Venus Doom

Сделайте новые логи

**Tulosba** · 11-12-2009, 09:11 AM

На радостях восстановил старый профиль от Firefox и он предложил открыть аварийно закрытые последний раз страницы. И тут снова словил уФаста. Попытки самолечения успехом не увенчались. Логи прилагаю.

**thyrex** · 11-12-2009, 02:51 PM

Выполните скрипт в AVZ

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
 DeleteFile('C:\WINDOWS\system32\chknt32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

С остальным справился AVZ похоже

Сделайте новые логи

**Tulosba** · 11-13-2009, 12:36 AM

**thyrex** · 11-13-2009, 10:46 AM

Пофиксить в HiJack

Code:

O2 - BHO: D - {1E7E36E6-B7BF-3768-A3F3-8DA55E1EE651} - (no file)

Больше плохого не видно

Что с проблемой?

**Tulosba** · 11-13-2009, 11:17 AM

Originally Posted by thyrex

Пофиксить в HiJack

Code:

O2 - BHO: D - {1E7E36E6-B7BF-3768-A3F3-8DA55E1EE651} - (no file)

Больше плохого не видно

А что в этом ^ плохого, если не секрет ?

Originally Posted by thyrex

Что с проблемой?

Браузеры запускаются. Вот только желания открывать проблемную страницу отпало

**Никита Соловьев** · 11-13-2009, 11:30 AM

А что в этом ^ плохого, если не секрет ?

Лишние записи в реестре не на пользу

uFast Download Manager (заявка № 59702)

Thread Tools