Junior Member
Вес репутации
51
Последствия порнобаннера
Добрый день! В компьютер попал вирус после которого при включении компьютера вылетал порно баннер про просмотр гей порно и просьбой отправить на вебмани 200грн. Проверил компьютер с Live CD утилитой CureIt, обнаружил backdoor.butirat., но баннер пропал только после замены userinit.exe Проверьте, не осталось ли каких либо последствий этого вируса.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{AE7AY1-A4G2-Z78D2-DS4X1S-4W1X3B}');
QuarantineFile('C:\Irvin\Kershner\Lullabies.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe');
DeleteFile('c:\windows\system32\vhosts.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Irvin\Kershner\Lullabies.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=106271
4. Пофиксите в HijackThis:
Код:
O4 - Startup: PowerReg Scheduler V3.exe
5. Сделайте повторные логи.
Junior Member
Вес репутации
51
Логи повторил, карантин загрузил)
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Admin\application data\netprotocol.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\application data\1.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\documents and settings\Admin\application data\netprotdrvss.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\game[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\52I2IFMW\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\53M4BDG4\netprotocol[1].exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\RECYCLER\S-1-5-18\Dc3.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\WINDOWS\userinit.exe', 'MBAM: Heuristics.Reserved.Word.Exploit');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кроме
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken.
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\Games\макс\republic heroes\1911.dll (Adware.Agent) -> No action taken.
d:\программы\sound forge 6.0\Keygen\keygen.exe (RiskWare.Tool.HCK) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Файлы удалил, карантин отправил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken. - тоже удалите
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 23 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\application data\\netprotdrvss.exe - Trojan.Win32.Yakes.aem ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] ) c:\\documents and settings\\admin\\application data\\netprotocol.exe - Trojan.Win32.Yakes.aem ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] ) c:\\documents and settings\\admin\\application data\\netprotocol.exe - Backdoor.Win32.Buterat.bnq ( DrWEB: BackDoor.Butirat.21, BitDefender: Trojan.Generic.6359018, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-IWQ [Trj] ) c:\\documents and settings\\admin\\application data\\1.exe - Trojan-Ransom.Win32.Kargapo.o ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen ) c:\\recycler\\s-1-5-18\\dc3.exe - Trojan-Ransom.Win32.Kargapo.o ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen )