Junior Member
Вес репутации
58
Порно-информер при открытии браузеров
При запуске любого интернет-браузера (IE, Opera , Mozilla, Chrome) браузер блочится, а вместо него появляется окно с материалами порнографического содержания, а так же с предложением отправить СМС с кодом. Так же блокируется редактор реестра, диспетчер задач, антивирус, и пр.
Чтобы запустить HiJackThis приходилось переименовывать исполняющий файл.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Выполнил
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZqUHeT.dll','');
QuarantineFile('C:\WINDOWS\system32\zbmARB.dll','');
QuarantineFile('C:\WINDOWS\system32\YWUVtk.dll','');
QuarantineFile('C:\WINDOWS\system32\WHwnmV.dll','');
QuarantineFile('C:\WINDOWS\system32\wdwKTm.dll','');
QuarantineFile('C:\WINDOWS\system32\VnTOJg.dll','');
QuarantineFile('C:\WINDOWS\system32\SZumrx.dll','');
QuarantineFile('C:\WINDOWS\system32\SbZDLW.dll','');
QuarantineFile('C:\WINDOWS\system32\RLgcFb.dll','');
QuarantineFile('C:\WINDOWS\system32\nxNFXH.dll','');
QuarantineFile('C:\WINDOWS\system32\nwhZTs.dll','');
QuarantineFile('C:\WINDOWS\system32\MPJvyy.dll','');
QuarantineFile('C:\WINDOWS\system32\mmeuqE.dll','');
QuarantineFile('C:\WINDOWS\system32\LCugVl.dll','');
QuarantineFile('C:\WINDOWS\system32\LAxEOp.dll','');
QuarantineFile('C:\WINDOWS\system32\JwRjfz.dll','');
QuarantineFile('C:\WINDOWS\system32\gwFILm.dll','');
QuarantineFile('C:\WINDOWS\system32\GnnLes.dll','');
QuarantineFile('C:\WINDOWS\system32\FaTwCu.dll','');
QuarantineFile('C:\WINDOWS\system32\eOebQm.dll','');
QuarantineFile('C:\WINDOWS\system32\eNSlgB.dll','');
QuarantineFile('C:\WINDOWS\system32\EAMHPp.dll','');
QuarantineFile('C:\WINDOWS\system32\DZDsms.dll','');
QuarantineFile('C:\WINDOWS\system32\AGNEkH.dll','');
QuarantineFile('C:\SYSTEM\XPrights.exe','');
DeleteFile('\systemroot\system32\drivers\aliserv3.sys');
DeleteFile('C:\SYSTEM\XPrights.exe');
DeleteFile('C:\WINDOWS\system32\AGNEkH.dll');
DeleteFile('C:\WINDOWS\system32\DZDsms.dll');
DeleteFile('C:\WINDOWS\system32\EAMHPp.dll');
DeleteFile('C:\WINDOWS\system32\eNSlgB.dll');
DeleteFile('C:\WINDOWS\system32\eOebQm.dll');
DeleteFile('C:\WINDOWS\system32\FaTwCu.dll');
DeleteFile('C:\WINDOWS\system32\GnnLes.dll');
DeleteFile('C:\WINDOWS\system32\gwFILm.dll');
DeleteFile('C:\WINDOWS\system32\JwRjfz.dll');
DeleteFile('C:\WINDOWS\system32\LAxEOp.dll');
DeleteFile('C:\WINDOWS\system32\LCugVl.dll');
DeleteFile('C:\WINDOWS\system32\mmeuqE.dll');
DeleteFile('C:\WINDOWS\system32\MPJvyy.dll');
DeleteFile('C:\WINDOWS\system32\nwhZTs.dll');
DeleteFile('C:\WINDOWS\system32\nxNFXH.dll');
DeleteFile('C:\WINDOWS\system32\RLgcFb.dll');
DeleteFile('C:\WINDOWS\system32\SbZDLW.dll');
DeleteFile('C:\WINDOWS\system32\SZumrx.dll');
DeleteFile('C:\WINDOWS\system32\VnTOJg.dll');
DeleteFile('C:\WINDOWS\system32\wdwKTm.dll');
DeleteFile('C:\WINDOWS\system32\WHwnmV.dll');
DeleteFile('C:\WINDOWS\system32\YWUVtk.dll');
DeleteFile('C:\WINDOWS\system32\zbmARB.dll');
DeleteFile('C:\WINDOWS\system32\ZqUHeT.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=53903
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Выполнил скрипт
Выполнил скрипт
Загрузил файл virus
090903_200439_virus_4a9fe9179cfcf.zip
Высылаю логи
Вложения
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Простите
Вложения
Junior Member
Вес репутации
58
Диспечер задач появился порно-банер больше не выскакивает opera и IE запускаються
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Можно продолжить завтра? Срочно нужно было убежать по делам.
Junior Member
Вес репутации
58
Лог Gmer
Вложения
Junior Member
Вес репутации
58
Остались симптомы
Не дает установить NOD32 Antivirus!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
zyjjmm58.exe -del service SKYNETmkejsnkp
zyjjmm58.exe -del file "c:\windows\system32\drivers\SKYNETqlthtkuf.sys"
zyjjmm58.exe -del file "SKYNETwsp.dll"
zyjjmm58.exe -del file "c:\windows\system32\SKYNETigvxwmhi.dll"
zyjjmm58.exe -del file "c:\windows\system32\SKYNETarrnyrhk.dat"
zyjjmm58.exe -del file "c:\windows\system32\SKYNETwslhtoym.dll"
zyjjmm58.exe -del file "c:\windows\system32\SKYNETnatnibvu.dat"
zyjjmm58.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETmkejsnkp"
zyjjmm58.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETmkejsnkp"
zyjjmm58.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETmkejsnkp"
zyjjmm58.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится.
Готовьте новый лог гмер.
Junior Member
Вес репутации
58
Выполнил скрипт
Логи gmer прилагаю.
Антивирус ESET nod32 не запускаеться
Вложения
Здесь чисто. Повторите логи AVZ.
Junior Member
Вес репутации
58
Логи AVZ
Вложения
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\TEMP\nxkagakj.sys','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\TEMP\nxkagakj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы " над первым сообщением темы).
Повторите логи.
Junior Member
Вес репутации
58
Логи AVZ
Весь файл карантина прислать не могу очень медленное соединение с интернетом, файл ResPatch.exe весит 16 Мб
Загрузил карантин без файла ResPatch.exe
логи avz прилагаю
Вложения
Последний раз редактировалось Mobiluxa; 07.09.2009 в 16:41 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Лог
Вложения