Показано с 1 по 19 из 19.

Комп, запрашивающий смс от Касперский Лаб Онлайн :) (заявка № 50237)

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56

    Thumbs up Комп, запрашивающий смс от Касперский Лаб Онлайн :)

    Комп запросил код, введя универсальный "57***39" винда успешно загрузилась, но я вижу, что вирусяги не ушли подлюки....

    Стандартно выполнил процедуры.

    Очень жду помощи, парни!
    Последний раз редактировалось Whale; 06.11.2009 в 13:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Поищите с помощью AVZ (Сервис - Поиск файлов на диске) в папке C:\WINDOWS\system32 файлы msconfig.exe и explorer.exe
    Если найдется, пришлите его согласно Приложению 2 правил

    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=explorer.exe,user32.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O4 - HKLM\..\Policies\Explorer\Run: [1] explorer
    O4 - HKLM\..\Policies\Explorer\Run: [2] msconfig
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     QuarantineFile('G:\autorun.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('D:\md.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('msconfig.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('Dacfraxdentc.sys','');
     DeleteService('Dacfraxdentc');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     TerminateProcessByName('c:\windows\system32\user32.exe');
     QuarantineFile('c:\windows\system32\user32.exe','');
     DeleteFile('c:\windows\system32\user32.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('Dacfraxdentc.sys');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\md.exe');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\autorun.exe');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Цитата Сообщение от thyrex Посмотреть сообщение
    Поищите с помощью AVZ (Сервис - Поиск файлов на диске) в папке C:\WINDOWS\system32 файлы msconfig.exe и explorer.exe
    Если найдется, пришлите его согласно Приложению 2 правил
    Эти файлы нашлись в папке C:\WINDOWS\system32\dllcache\ - их слать?

    Непосредственно в C:\WINDOWS\system32\ таковых нет

    Что делать?

    Добавлено через 11 минут

    Результат загрузкиФайл сохранён как 090719_012305_virus_4a623d396c845.zip
    Размер файла 194973
    MD5 52309cfb2722e5cd9acc9dcf1276bbef

    Файл закачан, спасибо!
    Последний раз редактировалось Whale; 19.07.2009 в 01:23. Причина: Добавлено

  5. #4
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Повторяю логи
    Последний раз редактировалось Whale; 06.11.2009 в 13:35.

  6. #5
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Тук-тук?

    По косвенным признакам вируса на компе не обнаруживается (на флешке более не создаются файл самого вируса и его загрузчик - ранее создавались autorun.exe и autorun.inf)

    "Доктор, я жить буду?" (с)

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксить в HiJack
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing)
    O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing)
    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.1 или удалите старый

    Сделайте новый лог HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новый лог HiJack
    Новый лог ХайДжека
    Последний раз редактировалось Whale; 06.11.2009 в 13:35.

  9. #8
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Обновил до сп3.
    За неимением инета на исследуемом компе - доп заплатки установил не все. (будут установлены позднее)
    IE 8 в процессе установки. Сейчас доставится.
    Акробат ридер 9.1 установлен.

    Логи снять еще разок?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Если проблем не осталось, логи не требуются больше
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    К сожалению, но проблема открылась с новой стороны.

    Как только подключил к компу хвост выделенки (инет) активизировался какой то вирь.... , который блокировал запуск инета (для запуска инета используется VPN. Однозначно инет на комп поступает, поскольку присвоился айпишник и служба поддержки говорит, что наш комп активен... (ну что-то типа такого)...

    точно знаю, что касперский ругается на advapi32.dll а во время работы компа эта гадость превращается в advapi32.$$$ и касперыч заносит его в карантин и хочет обезвредить после перезагрузки, но!!! после перезагрузки история повторяется, поскольку этот файл превращается обратно в dll и фактически касперыч его не видит

    Вот такой замкнутый круг ...

    Хочу добавить, что очень похоже вот на это http://virusinfo.info/showthread.php?t=50272 (то, что там написано в скриптах я не делаю - правила читал )

    Даже файлы одни и те же user32.exe
    Последний раз редактировалось Whale; 19.07.2009 в 21:47.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Появление advapi32.$$$ - это особенности работы Крипто-Про.
    Базы Касперского давно обновляли? Это было ложное срабатывание и вроде как поправлено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Копаюсь поиском на просторах... и нашел пару интересных тем.

    Дополнительно указываю вам, что на компе стоит КриптоПро!!!!!
    http://216.246.90.119/showthread.php?t=36219

    Ни слова не понял.... Собственно.... а что дальше делать???? я в шоке...


    Упс

    Базы обновлял 17.07.2009 Установлен КИС 2009

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Прочтите сообщение №11
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Да, обнаружил, что заблокирован Диспетчер задач.

    по правой кнопке Диспетчер задач серый, а по трем кнопкам - написано, что "Диспетчер задач заблокирован администратором".

    Добавлено через 57 секунд

    Цитата Сообщение от thyrex Посмотреть сообщение
    Прочтите сообщение №11
    Да-да. Прочитал, отчего и написал "Упс". Базы антивиря обновлю сейчас еще раз. - посмотрю, что будет.
    Последний раз редактировалось Whale; 19.07.2009 в 22:28. Причина: Добавлено

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Доступ к диспетчеру задач появился?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    С базами от сегодня КИС2009 сказал, что advapi32.$$$ на карантине.

    Я так понимаю, что его нужно как то в доверенные поместить?

    Добавлено через 5 минут

    Цитата Сообщение от thyrex Посмотреть сообщение
    Доступ к диспетчеру задач появился?
    Да, доступ есть!
    Последний раз редактировалось Whale; 19.07.2009 в 22:53. Причина: Добавлено

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Помещайте в доверенные. Странно, что до сих пор он у Вас детектится
    Вот вчерашнее сообщение на форуме ЛК (последний пост темы)
    http://forum.kaspersky.com/index.php...post&p=1039751
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация Репутация
    Регистрация
    03.06.2009
    Адрес
    Н.Н.
    Сообщений
    73
    Вес репутации
    56
    Сделал проверку после обновлений. Сказал, что "Чистый"

    Теперь буду пробовать дальше...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.Downloader.alc ( DrWEB: Trojan.DownLoad.5244 )
      2. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.hn ( DrWEB: Trojan.DownLoad.5244 )
      3. c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer.ft
      4. d:\md.exe - Trojan-Ransom.Win32.SMSer.ft
      5. g:\autorun.exe - Worm.Win32.Downloader.alc ( DrWEB: Trojan.DownLoad.5244 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Whale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 15.12.2011, 16:34
    2. Ответов: 2
      Последнее сообщение: 16.08.2010, 17:39
    3. Ответов: 1
      Последнее сообщение: 01.07.2010, 18:00
    4. Отключился касперский и тормозит комп.
      От akhnak в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.11.2009, 13:39
    5. Ответов: 24
      Последнее сообщение: 11.12.2006, 19:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01173 seconds with 19 queries