Показано с 1 по 6 из 6.

IEMonster.b и не только (заявка № 41420)

  1. #1
    Junior Member Репутация
    Регистрация
    10.03.2009
    Сообщений
    8
    Вес репутации
    33

    Exclamation IEMonster.b и не только

    Здравствуйте,

    Подцепил IEMonster (тот который назойливо требует установить "антивирус", запрещает доступ к task manager и т.д.

    Стал лечить Касперским Virus Removal Tool'ом - не вылечивается. Кроме того поxоже, что там еще кто-то сидит. Симптомы такие:
    - Машина не грузится в safe mode - мелькает "голубая маска смерти" и снова уxодит на перезагрузку.
    - Невозможно установить Kaspersky Antivirus - происxодит сбой во время установки.

    Было бы здорово прочистить весь этот рассадник. Логи прилагаю.

    Заранее благодарен,

    Дмитрий
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\cygwin\bin\cyggettextpo-0.dll','');
     QuarantineFile('C:\0xf9.exe','');
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     QuarantineFile('sndcfg16.exe','');
     QuarantineFile('C:\WINDOWS\system32\winlogin.exe','');
     QuarantineFile('C:\WINDOWS\system32\msupdate.exe','');
     DeleteService('sojuscsi');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys','');
     DeleteService('naecd');
     TerminateProcessByName('c:\windows\system32\wintems.exe');
     QuarantineFile('c:\windows\system32\wintems.exe','');
     TerminateProcessByName('c:\program files\microsoft security adviser\msscan.exe');
     QuarantineFile('c:\program files\microsoft security adviser\msscan.exe','');
     TerminateProcessByName('c:\program files\microsoft security adviser\mssadv.exe');
     QuarantineFile('c:\program files\microsoft security adviser\mssadv.exe','');
     TerminateProcessByName('c:\program files\microsoft security adviser\msiemon.exe');
     QuarantineFile('c:\program files\microsoft security adviser\msiemon.exe','');
     TerminateProcessByName('c:\program files\microsoft security adviser\msavsc.exe');
     QuarantineFile('c:\program files\microsoft security adviser\msavsc.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\hidr.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\msfw.exe');
     QuarantineFile('c:\program files\microsoft security adviser\msfw.exe','');
     QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
     DeleteFile('c:\windows\system32\drivers\hidr.exe');
     DeleteFile('c:\program files\microsoft security adviser\msfw.exe');
     DeleteFile('c:\program files\microsoft security adviser\msavsc.exe');
     DeleteFile('c:\program files\microsoft security adviser\msiemon.exe');
     DeleteFile('c:\program files\microsoft security adviser\mssadv.exe');
     DeleteFile('c:\program files\microsoft security adviser\msscan.exe');
     DeleteFile('c:\windows\system32\wintems.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\msavsc.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\msctrl.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\msfw.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\msiemon.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe');
     DeleteFile('C:\Program Files\Microsoft Security Adviser\msscan.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
     DeleteFile('C:\DOCUME~1\DIMA~1.DIM\LOCALS~1\Temp\naecd.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys');
     DeleteFile('C:\WINDOWS\system32\msupdate.exe');
     DeleteFile('C:\WINDOWS\system32\winlogin.exe');
     DeleteFile('sndcfg16.exe');
     DeleteFile('C:\0xf9.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    10.03.2009
    Сообщений
    8
    Вес репутации
    33
    Спасибо, IEMonster кажется погиб. Компьютер снова работает нормально (для невооруженного глаза).

    Большая просьба посмотреть, что там есть еще (в логе я видел как минимум еще Downloader.Win32.Zlob)

    Карантин и повторные логи отослал.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    10.03.2009
    Сообщений
    8
    Вес репутации
    33
    Еще раз добрый день,

    1) После (успешного) извлечения IEMonster с помощью вашего скрипта возникла небольшая проблемка с Internet Explorer 7.0. Он теперь при попытке открыть половину сайтов выдает web browsing error. Далее дамп ошибки:

    Client Information
    ------------------
    User Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)<BR>Accept-encode:&nbsp; (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
    CPU Class: x86
    Platform: Win32
    System Language: en-us
    User Language: en-us
    CookieEnabled: true
    Mime Types:

    Exception Details
    -----------------
    Date: Thu Mar 12 08:43:42 UTC+0100 2009
    Message: Automation server can't create object
    Url: https://eme.email.accenture.com/OWA/...BEAZxxd2mqAAAJ
    Line: 54

    Call Stack
    ----------
    reqFac(sUrl,sCmd,oCtx,cb,fSync)
    sUrl = 'keepalive.owa'
    sCmd = 'GET'
    oCtx = 'null'
    cb = 'null'
    fSync = 0
    sndKA()
    onKDBdy()


    Dump Event
    ----------
    recordset = null
    type = error
    fromElement = null
    toElement = null
    altLeft = false
    keyCode = 0
    repeat = false
    reason = 0
    behaviorCookie = 0
    contentOverflow = false
    behaviorPart = 0
    dataTransfer = null
    ctrlKey = false
    shiftLeft = false
    dataFld =
    returnValue = undefined
    qualifier =
    wheelDelta = 0
    bookmarks = null
    button = 0
    srcFilter = null
    nextPage =
    cancelBubble = false
    x = 0
    y = 0
    srcElement = null
    screenX = 696
    screenY = 346
    srcUrn =
    boundElements = [object]
    clientX = 277
    clientY = 4
    propertyName =
    shiftKey = false
    ctrlLeft = false
    offsetX = 0
    offsetY = 0
    altKey = false
    errorMessage = Automation server can't create object
    errorUrl = https://eme.email.accenture.com/OWA/...BEAZxxd2mqAAAJ
    errorLine = 54
    errorCharacter = 276
    errorCode = 0

    2) Еще я установил Kaspersky Antivirus. Он теперь работает xорошо, но при скане наxодит файлы в карантине VRT и безуспешно пытается иx удалить. Это нормально? Если нет, что нужно сделать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Деинсталлируйте VRT.

    Установите Adobe Acrobat 9 или удалите старый.
    Попробуйте Firefox или Opera.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\wintems.exe - Email-Worm.Win32.Bagle.of( DrWEB: Win32.HLLM.Beagle, BitDefender: Win32.Bagle.SUQ@mm )
      2. c:\0xf9.exe - Trojan-Downloader.Win32.VB.laj( BitDefender: BehavesLike:Trojan.TaskDisabler )


  • Уважаемый(ая) Dieman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 05:22
    2. rc=3221225477 и не только
      От El_Prisedente в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 02.12.2011, 09:40
    3. Я ем только ГМО
      От maXmo в разделе Оффтоп
      Ответов: 1
      Последнее сообщение: 12.03.2008, 01:37
    4. amstrea.dll и не только help
      От nvsk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.02.2008, 14:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00194 seconds with 17 queries