Показано с 1 по 9 из 9.

Блокировщик windows + net.exe (заявка № 47950)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    55

    Thumbs down Блокировщик windows + net.exe

    На днях появился блокировщик, предлогающий отправить смс на номер 3649 для активации копии windows. Через диспетчер задач его удалось завершить (процесс sound.exe - находится в папке windows/media). Также настораживают процессы
    sdra64.exe
    winlo_.exe

    и ключ реестра
    "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\sdra64.exe,"
    плюс ко всему в диспетчере задач постояно то появляется то исчезает процесс net.exe с переодичностья 2-3 секунды.

    upd
    также avz нашёл файлик SKYNETpyvimvww.sys
    Вложения Вложения
    Последний раз редактировалось bawka; 15.06.2009 в 13:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     QuarantineFile('C:\Windows\system32\kungsfwsp.dll','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\Windows\Media\sound098098','');
     QuarantineFile('crypts.dll','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('crypts.dll');
     DeleteFile('C:\Windows\Media\sound098098');
     DeleteFile('digeste.dll');
     DeleteFile('C:\Windows\system32\kungsfwsp.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать лог:www.Gmer.net/gmer.zip Как смотреть в "Чаво".
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47950

    Готовьтесь к серьезному лечению.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    55
    я уже понял, компьютер не мой, поэтому до завтра

    прошу тему не закрывать ибо она остаётся актуальной, просто нет времени пока продолжить, надеюсь завтра доберусь до компьютера
    Последний раз редактировалось Rene-gad; 17.06.2009 в 10:41.

  5. #4
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    55
    гмером логи то есть 2 раза сделать и оба выслать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от bawka Посмотреть сообщение
    гмером логи то есть 2 раза сделать и оба выслать?
    то есть - наоборот: 1 лог gmer + 3 лога по правилам

  7. #6
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    55
    Файл сохранён как 090617_180917_virus_4a38f90d8b7f7.zip
    Размер файла 429391
    MD5 23b9a57c541fdfd8bd8b8bcea3ff7191

    выкладываю новые логи
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service kungsfdbabigip
    gmer.exe -del service kungsfdqvsyxfa
    gmer.exe -del service kungsfmlxyirwx
    gmer.exe -del service SKYNETdieerchx
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsffqhtkkym.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfymhlhbqv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfompxnrwb.sys"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfcmd.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsflog.dat"
    gmer.exe -del file "C:\WINDOWS\temp\kungsfiennjhajnf.tmp"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfwsp.dll"
    gmer.exe -del file "C:\WINDOWS\temp\kungsfpciouqcycp.tmp"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETjuyuiqyl.sys"
    gmer.exe -del file "C:\WINDOWS\system32\kungsftspdqbab.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfilixuwyr.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfbobvtmjp.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfimxewhur.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsflvjbrfuw.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsftewxrbey.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfciqhohci.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfdqlqpxvf.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfuyqidmet.dat"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfuywhosie.dll"
    gmer.exe -del file "C:\WINDOWS\system32\kungsfqpwcmyrg.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETnsvbrnhk.dll"
    gmer.exe -del file "C:\Documents and Settings\Марьюшка\Local Settings\Temp\kungsfpeeqpciomk.tmp"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfdbabigip"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfdqvsyxfa"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfmlxyirwx"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETdieerchx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfdbabigip"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfdqvsyxfa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfmlxyirwx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETdieerchx"
    gmer.exe -reboot
    И запустите cleanup.bat

    Сделать новый лог gmer + новые логи AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    15.06.2009
    Сообщений
    10
    Вес репутации
    55
    всем спасибо за помощь, но вероятно за время моего отсутствия вирус модифицировался и теперь нет возможности запистить виндоус не в безопасном режиме не с помощью экранной лупы, не с помощью восстановления каталогов...посему было принято решение переустановки ОС

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\csrcs.exe - Packed.Win32.Krap.l ( DrWEB: Win32.HLLW.Autohit.3438 )
      2. c:\windows\system32\kungsfwsp.dll - Trojan.Win32.Small.bzc ( DrWEB: Trojan.DownLoad.38278 )
      3. \\?\globalroot\systemroot\system32\kungsfwsp.dll - Trojan.Win32.Small.bzc ( DrWEB: Trojan.DownLoad.38278 )


  • Уважаемый(ая) bawka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокировщик Windows
      От MrWolf в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2012, 01:16
    2. Блокировщик Windows
      От Squirrel. в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 01.01.2012, 13:24
    3. Блокировщик Windows
      От grigorevas в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.11.2010, 07:47
    4. Блокировщик Windows
      От tehnik34 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.10.2010, 08:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00815 seconds with 18 queries