Показано с 1 по 15 из 15.

Страшный зверь (заявка № 43031)

  1. #1
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33

    Exclamation Страшный зверь

    Есть компьютер, на нем стоял не активированный касперский около года, купили лицензию, я поставил касперского, обновил базы, все проверил, обновил виндовс до 3 сервис пака.
    На следующий день люди проверили почту на mail.ru и началось.
    "Внимание! Ваш компьютер заблокирован пошлите SMS на номер..." и т.д.
    При этом диспетчер задач заблокирован в безопасном режиме синий экран, проверка диска на другом компьютере ничего не дала. Переставил виндовс поверх, надпись пропала но рабочего стола не было, зато заработал безопасный режим, запусnил AVZ, он ничего не нашел но при этом ругался на невозможность запуска AVZguard, сделал востановление системы (из AVZ), в безопасном режиме все заработало, в обычном опять стало вылезать сообщение, при этои ничего не запустить, видно что диспетчер задач запускается (мелькает) но сразу пропадает с экрана, кнопки пуск тоже не видно.
    AVZ логов не делает!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Без логов каши не сваришь. Скачайте АВЗ отсюда, базы обновлять не надо.

  4. #3
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    Вот логи

    Взял на себя смелость и закачал файл который по моему мнению является вирусом
    rdl41.tmp.exe
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 02.04.2009 в 17:26.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Отключите

    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
     QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
     QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
     QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
     QuarantineFile('c:\windows\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('c:\windows\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
     DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
     DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    Логи посылаю, в карантин ничего не попало, он чего-то красным написал и перезагрузился, а файлы для карантина удалил.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от smuh Посмотреть сообщение
    файлы для карантина удалил.
    Кто удалил? Касперский? Так его же надо было отключить перед лечением.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    AVZ при выполнении скрипта файлы на карантин не поместил, а удалить - удалил, мне удалось выловить зверя, я его засунул вручную в карантин и послал вам.
    Он зараза ни чем не ловится!

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пофиксить

    Код:
    O4 - HKLM\..\Run: [notviz] C:\WINDOWS\system32\winhelp.exe
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\winhelp.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  10. #9
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    Загрузил лог, winhelp.exe в системе небыло. Определили что за зверь?
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    В логах чисто, установите SP3+all updates...

  12. #11
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    Как-же чисто?! Я же прислал сам вирус! Попробуйте его запустить. Или он не дошел?

    Добавлено через 9 минут

    Я послал файл rdl41.tmp.exe , при запуске он блокирует диспетчер задач и прописывает себя в автозагрузку и выводит сообщение про посыл денег по смс, это пришло с почты яндекса, ни один антивирус эту гадость не видит. Что делать что бы оно опять не залезло?
    Последний раз редактировалось smuh; 02.04.2009 в 21:31. Причина: Добавлено

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    f:/LOG/rdl41.tmp.exe - Trojan.Win32.Agent.bzbh

  14. #13
    Junior Member Репутация
    Регистрация
    02.04.2009
    Сообщений
    7
    Вес репутации
    33
    А чем его ловить, у меня в сетке 40 машин, я волнуюсь что ни AVZ ни касперский даже с максимальным уровнем эвристики его не видят.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Скоро будет детектироваться Касперским...

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. f:/log/rdl41.tmp.exe - Trojan.Win32.Agent.bzbh
      2. \rdl41.tmp.exe - Trojan.Win32.Agent.bzbh


  • Уважаемый(ая) smuh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Страшный вирус! помогите
      От Роман777 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.11.2009, 07:05
    2. Страшный зверек
      От kumarich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.09.2009, 21:32
    3. Помогите страшный вирус)
      От Neolit в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.06.2009, 18:49
    4. Страшный вирус w32.sality.aе, что делать
      От AddMen в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:59
    5. Помогите... страшный вирь
      От serge_29 в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 19.08.2007, 22:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01442 seconds with 17 queries