Показано с 1 по 12 из 12.

Вирус "Б...ДЬ" блокировка (заявка № 41056)

  1. #1
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33

    Exclamation Вирус "Б...ДЬ" блокировка

    По локальной сети получили этот подарок. Как потом выяснили это был самораспаковывающийся архив Photo.exe. Dr.Web и Outpost не сработали, все пропустили. В техслужбу Dr.Web эту заразу отправили. Одну машину "вылечили" переустановкой системы. За вторую боремся - много ценного на ней. Проявление обычное просят отправить деньги, загружается IE с фотографией, пуск меню и рабочий стол пустые,папки Windows и Program Files скрыты, запуск программ блокируется, запуск файлов запрещается причем любых и exe и cmd не пробовал только pif пишет что нету прав, запрещено администратором и тому подобное. На машине два профиля пользователей, оба с правами администратора, создать новую учетную запись с правами пользователя не дает. Запустил программу LiveCD один файл удалился. Зашел через безопасный режим с поддержкой командной строки и в реестре поставил возможность запуска regedit и .exe как было написано тут на форуме в более ранних темах. Удалил заставки и все "вымогательства" эти окна больше не появляются. Теперь ситуация такая. В безопасном режиме через командную строку в одном профиле пользователя можно зайти в реестр и можно запустить explorer. Папки открывать можно но ни один файл запустить невозможно. В безопасном режиме зайдя другим профилем пользователя даже командной строкой невозможно зайти в реестр и соответственно explorer. Явно стоят запреты на уровне безопасности и администратора. Подскажите с чего начинать маневры ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Попробуйте переименовать avz.exe в explorer.exe или winrar.exe и запустить...

  4. #3
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    переименовал в explorer.exe и в защищенном режиме из командной стоки запустил. AVZ открылось. Попробуем выполнить все действия по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    результаты проверки.
    Последний раз редактировалось Kalashnikov; 15.02.2011 в 10:58.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    var 
     i : integer; 
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportALL;
    DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_Activate;
    for i := 1 to 8 do 
     ExecuteRepair(i);
    ExecuteRepair(11); 
    ExecuteRepair(16); 
    ExecuteRepair(17); 
    RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); 
    DeleteDirectory('%SysDisk%\Windows 91');         
    DeleteDirectory('%SysDisk%\Windows 98'); 
    ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true); 
    ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true); 
    ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Documents and Settings"', 0, 3000, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: vmmreg32.dll
    Пришлите карантин по правилам.
    Сделайте новые логи.

    C:\av1\iexplore.exe - это у Вас AVZ был так переименован?
    Последний раз редактировалось kps; 05.03.2009 в 18:09. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    Совершенно верно, его так обозвали, все варианты пробовал. Сработал только один explorer.exe с запуском из командной строки в безопасном режиме. Вот новые данные. Карантин выслал. Если будет Ваше желание могу выслать и самого "зверя" от которого все беды были.
    Последний раз редактировалось Kalashnikov; 15.02.2011 в 10:58.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    В логах плохого не видно. Файл высылайте как карантин, в архиве с паролем virus. Что с проблемами?
    P.S. То, что установлен Radmin, Вы в курсе?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    из видимых проблем это заблокирован один а может и все порты USB. Точнее не обнаруживает флешку. Мышь и клавиатура работают. Удалял эти устройства но после установки проблема не решалась. Думаю повреждены сами файлы драйверов, этот случай на форуме уже присутствовал.Некорректно работает видеокарта, буду завтра пробовать переустановить драйвера.
    Radmin стоял, лично ставил, чтоб не бегать по помещениям к рабочим местам, ибо вопросы и крики о помощи не соответствовали реалиям.
    "Зверя" отправил в ZIP архиве Virus пароль virus.

  10. #9
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    P.S. Сотрудники общались в проекте Mamba с дамами. Вот таким образом и получили ответ. А мы под раздачу попали следом, причем через подключенный удаленный жесткий диск. Другие компьютеры в сети , где не было прямого подключения заражены не были.

  11. #10
    Junior Member Репутация
    Регистрация
    04.03.2009
    Сообщений
    52
    Вес репутации
    33
    Сегодня устанавливал драйверы на видеокарту. Ситуация такая
    - удаляю устройство - устанавливаю - драйвера - все отлично
    -перезагружаюсь - драйвера слетают
    Сделал логи - прилагаю
    карантин выслал. В нем один файл. Все файлы тянут на 16 Мб
    Появились изменения в EXE файлах добавилось расширенте bak
    теперь выглядят так *.exe.bak
    Возможно это результат работы Reg Organizer
    Последний раз редактировалось Kalashnikov; 15.02.2011 в 10:58.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Вот это:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Может означать только одно: малваре было, но удалено.

    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    - винда левая. Обновленя не поставлены.
    Далее выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Шеф\Шаблоны\Brengkolang.com');
     DeleteFile('c:\huadio.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Это остатки Бронтока и еще какой-то малваре.

    Сделать новые логи.
    Обновить Виндовс + все обновления.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. \зверь\photo.exe - Trojan.Win32.Delf.jqa( BitDefender: Gen:Trojan.Heur.D156A99CCC )


  • Уважаемый(ая) Kalashnikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    2. Ответов: 2
      Последнее сообщение: 25.06.2011, 15:40
    3. Ответов: 12
      Последнее сообщение: 16.06.2011, 10:15
    4. Trojan.Win32.Inject.aohy и блокировка "В контакте""
      От DIA_VR в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.03.2011, 21:56
    5. Ответов: 14
      Последнее сообщение: 22.02.2009, 06:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01304 seconds with 16 queries