Здравствуйте.
Паразит Win32/Injector.UB засел в системных файлах.
NOD определяет, типа блокирует и удаляет,но с кажой перезагрузкой оно вылазит вновь. Создает EXE.шники на диске -32dll.exe;-pp.exe;-bb.exe.... А тут НОД выдал что проводник стал порываться выйти в сеть через эти файлы - 04.08.2009 14:04:28 Фильтр HTTP файл upload.<censored>.net/pp.exe модифицированный Win32/Injector.UB троянская программа соединение прервано - изолирован MICROSOF-A59DE3\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
Логи выкладываю.
Надеюсь на помощь.
Последний раз редактировалось pig; 04.08.2009 в 22:57.
Причина: убил ссылку
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да,вот лог Gmer со сканером.
32dll.exe так и появляется,хотя активности не проявлял,НОДом не блокировался сегодня.
Буквально сейчас, "реакция" на открытие Virus.info ,НОД выдал -
05.08.2009 20:46:46 /файл C:\WINDOWS\System32\dllcache\ndis.sys\Win32/Protector.C вирус удален - изолирован\Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe.
05.08.2009 20:47:10/файл C:\WINDOWS\System32\drivers\ndis.sys\Win32/Protector.C вирус \Ошибка при удаление - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe.
И еще программулина стоит - SpywareTerminator - блокирует изменение в автозапускаемых файлах и пишет : Попытка изменения автозагрузки С:\Windiws\Sistem32\reader_s.exe - запрещен.
Со вчерашней ночи НОД молчит,но ехешники так и появляются.
Бывший 32dll.exe переименовался в load.ехе. активности не проявляет.
И в диспетчере задач так и остаётся процесс sysmngsr32.exe'.
Как его заблокировать навсегда,может подскажете?
Последний раз редактировалось Rene-gad; 07.08.2009 в 10:34.
Терминатора удалил.
Всё выполнил.
Зловредный /sysmngsr32.exe'/ переименовался в /sysmngsr322.exe'/ и продолжает упорно загружаться.
Логи и архивы выложил.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\sysmngsr322.exe');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\LZ8R3UPR\dis1coun[1].htm','');
QuarantineFile('C:\WINDOWS\OemDrv\W\NoM\nw01ndis.sys','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\System32\wscript.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\reader_s.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7655240147-0206914260-296364173-3289\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7655240147-0206914260-296364173-3289\mwau.exe');
DeleteFile('C:\Documents and Settings\NetworkService\reader_s.exe');
DeleteFile('C:\WINDOWS\System32\wscript.exe');
DeleteFile('C:\PROGRA~1\Crawler\ctbr.dll');
DeleteFile('c:\windows\sysmngsr322.exe');
DelBHO('{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Прочитайте тут и замените файл C:\WINDOWS\system32\Drivers\NDIS.sys
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
после выполнения скрипта на рабочем столе неработает ни один ярлык.
консоль восстановления подключил,делаю всё как написано в описании - но система не находит NDIS.sys ни на системном диске С,ни на диске с которого устанавливалась Винда.
sysmngsr322.exe' -из списка процессов исчес,но думаю не на долго. В папке WINDOWS - фалов типа 47. scr" море! 00 scr,05scr....и тд.
И еще новшество(( стало загружаться 3 копии браузера сразу -все ведут на страницу Гугла с поиском какой то рекламы....
Думаю система уже стабильно работать по попросту не сможет.
Переустановлю.
Спасибо всем за помощь!
консоль восстановления подключил,делаю всё как написано в описании - но система не находит NDIS.sys ни на системном диске С, ни на диске с которого устанавливалась Винда.
А что у Вас за дистрибутив, позвольте полюбопытствовать?
ну...простому юзверу что посоветовали спецы,то и купил))
уже всё, систему перебил, с другого дистрибутива,без всяких украшалок и наваротов,зато стабильно работает -ставил уже с него не один раз.
еще раз спасибо вам,хелперам! ваш труд бесценен и помощь реальная.
но иногда быстрее всё же перебить систему)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Троян Win32/Injector.UB
upload.<censored>.net/pp.exe модифицированный Win32/Injector.UB троянская программа соединение прервано - изолирован MICROSOF-A59DE3\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
Сообщение от BloodNik
