Доброго времени суток. В общем при запуске любого интернет-браузера (IE, Opera, Mozilla) браузер блочится, а вместо него появляется окно с материалами порнографического содержания, а так же с предложением отправить СМС с кодом *** на номер ****, для, якобы, снятия информера.
Так же блокируется редактор реестра, диспетчер задач, антивирус, и пр.
Чтобы запустить AVZ и HiJackThis приходилось переименовывать исполняющие файлы:
AVZ.exe в aa.exe
HiJackThis.exe в H.exe
Надеюсь на вашу помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\VwWZPU.dll',''); QuarantineFile('C:\WINDOWS\system32\ujiOMC.dll',''); QuarantineFile('C:\WINDOWS\system32\TPxgZf.dll',''); QuarantineFile('C:\WINDOWS\system32\RRTspD.dll',''); QuarantineFile('C:\WINDOWS\system32\QQeghN.dll',''); QuarantineFile('C:\WINDOWS\system32\IXLCOh.dll',''); QuarantineFile('C:\WINDOWS\system32\HKhZWe.dll',''); QuarantineFile('C:\WINDOWS\system32\gMJdiM.dll',''); QuarantineFile('C:\WINDOWS\system32\dAlIgC.dll',''); QuarantineFile('C:\Documents and Settings\SkyDancer\Главное меню\Программы\Автозагрузка\rncsys32.exe',''); DeleteService('TapiSrvSSDPSRV'); QuarantineFile('C:\WINDOWS\system32\1041a.exe',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('c:\windows\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\Players.exe',''); DeleteFile('C:\WINDOWS\system32\Players.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\crypt.dll'); DeleteFile('C:\WINDOWS\system32\1041a.exe'); DeleteFile('C:\Documents and Settings\SkyDancer\Главное меню\Программы\Автозагрузка\rncsys32.exe'); DeleteFile('C:\WINDOWS\system32\dAlIgC.dll'); DeleteFile('C:\WINDOWS\system32\gMJdiM.dll'); DeleteFile('C:\WINDOWS\system32\HKhZWe.dll'); DeleteFile('C:\WINDOWS\system32\IXLCOh.dll'); DeleteFile('C:\WINDOWS\system32\QQeghN.dll'); DeleteFile('C:\WINDOWS\system32\RRTspD.dll'); DeleteFile('C:\WINDOWS\system32\TPxgZf.dll'); DeleteFile('C:\WINDOWS\system32\ujiOMC.dll'); DeleteFile('C:\WINDOWS\system32\VwWZPU.dll'); DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp\', '*.*', true); DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true); DeleteFileMask('%tmp% ','*.* ',true); BC_Importall; BC_DeleteSvc('TapiSrvSSDPSRV'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=51837
Повторите логи.
Карантин отрпавил (090812_143448_virus_4a829ac82be70.zip), логи сделал.
Большое спасибо за помощь, проблема решена. Правда появилась другая - некоторые сайты (в том числе и virusinfo.info) отказываются грузиться в любом браузере, отображается сообщение "сайт временно недоступен", поэтому пишу с компьютера на работе...
Но вполне возможно что это уже другая история
upd: Прошу прощения, неправильно сделал архив с карантином. Отправил заново, имя в сообщении выше исправил (хотя вы наверное итак все видите)...
Последний раз редактировалось MaxS; 12.08.2009 в 14:35.
Не, это все та же история..Сообщение от MaxS
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('crypt.dll',''); QuarantineFile('M:\autorun.inf',''); QuarantineFile('M:\jhmeas.exe',''); DeleteFile('M:\jhmeas.exe'); DeleteFile('M:\autorun.inf'); ClearHostsFile; SetAVZPMStatus(true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 ).
Hекоторых записей может не оказаться - это нормально.
3. Провести такую процедуруКод:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
4.Повторить логи
The worst foe lies within the self...
Отправил карантин (090813_171124_virus_4a8410fc414e7.zip), сделал логи, пофиксил все 4 указанные вами строчки, выполнил п3 (там действительно была проблема)
Сайты открываются, из симптомов... меня беспокоит разве что постоянная отмена отображения скрытых файлов (несмотря на то, что я каждый раз включаю нужную опцию) и периодически в наушниках слышны весьма странные щелчки (немного напоминает звук открытия папки, но тише и короче). Все остальное отступило =)
Оно возвращается с флешек..
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('M:\autorun.inf',''); QuarantineFile('M:\mvewmm.exe',''); QuarantineFile('crypt.dll',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('crypt.dll'); DeleteFile('M:\mvewmm.exe'); DeleteFile('M:\autorun.inf'); ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить лог virusinfo_syscheck.zip
Скачайте свежий CureIt (в правилах есть ссылка) и почистите им флешки.
The worst foe lies within the self...
Отправил карантин (090813_193643_virus_4a84330bbea77.zip).
Лог сделал. Флешку почистил (она, к счастью, одна), CureIt ничего на ней не обнаружил, но зараженные файлы были удалены по ходу выполнения скрипта (директория M это она и есть). Пока все тихо и спокойно... надеюсь с этим покончено...
Последний раз редактировалось MaxS; 13.08.2009 в 19:53.
C:\Program Files\Multi Password Recovery - сами устанавливали?
- Выполните скрипт
Повторить лог virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('%temp%','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Да, когда была необходимость восстановить пароль от ICQ (средства самой ICQ работать отказывались). Инсталлер проверял последней версией Касперского, ничего опасного он там не нашел.
Лог сделал, неужели все?
Не нравится она мне: службу запускает... Я бы на Вашем месте ее удалил.
А в логе ничего враждебного.
- Установите все важные патчи.
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Пожалуй так и сделаю, тем более что она мне больше не нужна.
Ну на этом всё, все замечания учту, все поставлю, большое спасибо за помощь, всего вам самого наилучшего
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\skydancer\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Agent.ckqu ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.1989825, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\daligc.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\gmjdim.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\hkhzwe.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\ixlcoh.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\qqeghn.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\rrtspd.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\tpxgzf.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\ujiomc.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\vwwzpu.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21, NOD32: Win32/Delf.OPE trojan )
- c:\windows\system32\1041a.exe - Trojan.Win32.Agent.ckda ( DrWEB: BackDoor.IRC.Bot.114, BitDefender: Trojan.Generic.IS.509408, NOD32: Win32/Agent.CKDA trojan, AVAST4: Win32:Trojan-gen {Other} )
- m:\autorun.inf - Trojan.Win32.AutoRun.v ( BitDefender: Trojan.AutorunINF.Gen )
- m:\jhmeas.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )
- m:\mvewmm.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9837, BitDefender: Gen:Trojan.Heur.AutoIT.Tq3@bKG2l!oO, AVAST4: Win32:Trojan-gen {Other} )
Уважаемый(ая) MaxS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
