Вирус ustanovi menya plllll

**patzjyk** · 28.08.2013, 13:46

Недавно обнаружил на компе папку в директории C:\Program Files (x86) под названием ustanovi menya plllll а там файлы everybody_lie_life_is_life.gol, lethala fell blowsinisterby somefell.chanc и т.д. Сделал логи, посмотрите пожалуйста
Вложение 433380 Вложение 433381 Вложение 433382

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.08.2013, 13:47

Уважаемый(ая) patzjyk, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 28.08.2013, 13:59

Вирус известен, в том числе и Вашему антивирусу http://vms.drweb.com/virus/?i=2389556 полное сканирование системы антивирусом делали ?

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+ Сделайте лог полного сканирования MBAM

**patzjyk** · 28.08.2013, 15:35

Все сделал
Вложение 433391 Вложение 433392 Вложение 433393

И еще, постоянно ругается антивирус на то worm:win32/conficker.c :
Категория: Червь

Описание: Эта опасная программа самостоятельно распространяется по сети.

Рекомендуемое действие: Немедленно удалите это программное обеспечение.

Объекты:
taskscheduler:C:\Windows\Tasks\At1.job
file:C:\Windows\System32\xpwho.hke
file:C:\Windows\Tasks\At1.job

**mrak74** · 28.08.2013, 16:43

Удалите в MBAM, только указанные строки:

Код:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\life is life la na na na (Trojan.Bicololo) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Program Files (x86)\ustanovi menya plllll (Trojan.Bicololo) -> Действие не было предпринято.
C:\Program Files (x86)\ustanovi menya plllll\life is life (Trojan.Bicololo) -> Действие не было предпринято.

Обнаруженные файлы:  17
C:\Program Files (x86)\ustanovi menya plllll\life is life\everybody_lie_life_is_life.gol (Trojan.Bicololo) -> Действие не было предпринято.
C:\Program Files (x86)\ustanovi menya plllll\life is life\lethala fell blowsinisterby somefell.chanc (Trojan.Bicololo) -> Действие не было предпринято.
C:\Program Files (x86)\ustanovi menya plllll\life is life\Uninstall.exe (Trojan.Bicololo) -> Действие не было предпринято.
C:\Program Files (x86)\ustanovi menya plllll\life is life\Uninstall.ini (Trojan.Bicololo) -> Действие не было предпринято.

Воспользуйтесь утилитой KK.exe http://support.kaspersky.ru/1956?el=211481#block3 пролечите компьютер с её помощью.

Включите автоматическое обновление ОС, без обновлений дальнейшее лечение не будет иметь смысла.

После установки обновлений, сделайте комплект новых логов AVZ, HijackThis и MBAM.

**patzjyk** · 28.08.2013, 20:10

все сделал как было сказано, вот результат:
Вложение 433414 Вложение 433415 Вложение 433416 Вложение 433417

**regist** · 28.08.2013, 21:43

обновления установили ?
что с проблемой ?

Сообщение от mrak74

Воспользуйтесь утилитой KK.exe http://support.kaspersky.ru/1956?el=211481#block3 пролечите компьютер с её помощью.

эта утилита, что-нибудь нашла ?

**patzjyk** · 29.08.2013, 01:07

Сообщение от regist

обновления установили ?
что с проблемой ?

эта утилита, что-нибудь нашла ?

обновления поставил. директории ustanovi menya plllll больше нет. утилита КК нашла 2 файла и пофиксила. вопрос :
логи показівают наличие worm:win32/conficker.c в системе?

**mrak74** · 29.08.2013, 08:23

Сделайте полный образ автозапуска uVS

**patzjyk** · 29.08.2013, 19:04

Готово Вложение 433580

**mrak74** · 29.08.2013, 20:14

Выполните скрипт в uVS:

Код:

;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall U:\AUTORUN.INF
delall X:\AUTORUN.INF
delref XPWHO.HKE
deltmp
regt 5
restart

Сделайте повторный лог uVS.

**regist** · 29.08.2013, 21:16

+ прокси сервер сами прописывали ?

Код:

192.168.25.30:3128

**patzjyk** · 30.08.2013, 11:07

сделал Вложение 433673

прокси прописан самостоятельно.

**mrak74** · 30.08.2013, 12:44

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

**patzjyk** · 30.08.2013, 14:05

Сообщение от mrak74

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

написало что уязвимости устранены. после того как удалил microsoft security essentials и оставил только Dr.Web не было уведомлений о наличие worm:win32/conficker.c