Удалось выяснить, что троян после запуска запускает команду C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\9335~1\LOCALS~1\Temp\bncojm.dll,Instal l, но самого файла bncojm.dll нету. Видимо, самоудалился.
Удалось выяснить, что троян после запуска запускает команду C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\9335~1\LOCALS~1\Temp\bncojm.dll,Instal l, но самого файла bncojm.dll нету. Видимо, самоудалился.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
только что проверила еще раз, установила под юзером, окно вылезло сразу после перезугрузки
Добавлено через 1 минуту
у меня самоудаляется только инсталятор, а две dll и два батника к каждой dll на месте
почему-то каждый раз создаются по две копии )
Последний раз редактировалось Юльча; 08.01.2010 в 17:36. Причина: Добавлено
А у меня инсталлятор почему-то остается на месте...
Но вирус не работает...
у меня инсталятор оставался на месте только при запуске под админом, под юзером - самоликвидируется
Что за вм? на варе работает, на MS VirtualPC нетСообщение от bolshoy kot
поигрался на скорую руку
тут чисто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.ex e,"
в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs сидит C:\WINDOWS\system32\yltegc.dll (имя создаётся рандомное)
выкосил ветку и файл из систем32, окна более нет
затем стандарное лечение
и какие будут общие рекомендации к защите от таких вирусов?
блокировки run как я понимаю в этом случае недостаточно?
защищаем от записи ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs под юзером?
и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..
Именно Microsoft Virtual PC.
Получается, вирусы уже научились распознавать виртуальные машины?
Добавлено через 2 минуты
Вполне возможно:и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..
http://virusinfo.info/showthread.php?t=63565Спасибо, проблема исчезла. Карантин отправил.
Остается добавить, что в папке temp находились еще эти файлы, пришлось их тоже удалить через AVZ
b.bat
hclxsf.bat
kcszh.bat
tbvc.bat
При входе под юзером 1 пытается найти и запустить b.bat
Не знаю, попали ли эти файлы в карантин.
Еще раз СПАСИБО.
А iLite - похожий на "Download Master" вирус.
Последний раз редактировалось bolshoy kot; 08.01.2010 в 18:55. Причина: Добавлено
честно говоря я более не лазал по реестру
сидел под ERD командером
выкосил все темпы, возможно там муть ещё была
реестр и диспетчер задач разлочил спец утилитами
http://www.gcmsite.ru/?pg=programs&i...manager-unlock
http://www.gcmsite.ru/?pg=programs&id=sp-regedit-unlock
естественно полное лечение не проводил
мне на данном этапе хватило разлочить машинку
Последний раз редактировалось sirius; 08.01.2010 в 22:14.
а некоторые вирусы это давно умели
помню читала описание какого-то виря (возможно русток) который неплохо отбивался от дебагеров и распознавал и не запускался под виртуалками
Добавлено через 2 часа 35 минут
ну да и тема обсуждения у них общая - iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)
Последний раз редактировалось Юльча; 08.01.2010 в 22:03. Причина: Добавлено
эти уродцы-самцырождены одной командой ffsearcher (такой же уродливой как они сами) в ж....у им корень...iMax Download Manager, iLite Net Accelerator, Get Accelerator и Download Master
http://www.anti-malware.ru/forum/ind...20&#entry91752
бабла им мало....
Большое спасибо Юльче за Архив. Попробовал запустил данный вирус под ограниченной учеткой, с пользовательской закрытой Run, вирус прописался в автозапуск по пути HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load. Закрыл от изменений ветку HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,- вирус запустился, но ограниченно (не запускался реестр и диспетчер задач, окошка вымогающего смс не было), после перезагрузки ограничения пропали.
Значит чтобы избежать заражения под ограниченной учеткой, закрываем все автозапуски, в частности
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Всем удачи
А что именно туда прописалось?
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\tmp\fjxt.bat
C:\tmp - временная папка пользователя, файл "fjxt.bat" удалился без проблем под ограниченной учеткой.
А в "fjxt.bat" был вызов rundll32.exe?
Не отследил, но при перезагрузке, выскакивало окошко rundll32.exe завершить сейчас. Еще читал статью, где описывались блокираторы, меняющие путь к папке автозагрузка в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders, поэтому желательно закрыть от изменений и ее.
Уважаемые специалисты посмотрите эту тему http://virusinfo.info/showthread.php?t=66106&goto
уж очень ядрёный вымогатель попался!!!
Только што избавился от вируса Internet Security вымогал sms,вырубил все даже интернет блокировал папку Windows с помошью генератора четырех часовая борьба закончилась,кому интересно опишу как
ковыряю этот сайтик po-pc dot ru, просто попрошайка, имитирует флешкой скан системы, вопит о вирусах и порсит денег на номер, номер меняется периодически, вроде ничего не грузит. юзаю чистую VPC и MS Security Essential для прикола. молчит.
Счастье – это такое состояние, когда ваши мысли доставляют вам удовольствие большую часть дня.
Только что наблюдали винлок вымогателя маскирующегося под Kaspersky Internet Security. ХОчет денег через смс.
ХР, все обновления, ограниченная учетка, стоит Касперский антивирус 2010. Тема исчерпана.
Ваши права в разделе
Ответить с цитированием
