Junior Member
Вес репутации
54
Вирус с открытием порноокна
При запуске приложений появляется рекламная панель с порносодержимым и просит послать СМС для получения кода разблокировки. Антивирусные программы не запускаются и в безопасном режиме. Проверил диск несколькими антивирусными программами , подсоединив его к чистому компьютеру, результата нет. Проверил с загрузкой с загрузочного диска, тоже не помогло. В AnVir Task Manager видно, что при запуске приложений они завершаются и идет обращение к библиотеке типа HPpXh.dll (название меняется) в папке Temp, которой я там не нахожу. HiJackThis запустилась только с переименованного файла, AVZ запустить не могу. Вирус уже распространился на 6 компьютеров, подскажите, как сделать логи с AVZ, и что вообще делать?
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HiJack
Код:
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\esLLF.dll
Перезагрузитесь
Пробуйте делать логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Пофиксил, AVZ запустилась, прилагаю логи.
Junior Member
Вес репутации
54
Прошу прошения, забыл, AVZ переименована в 111.pif
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\WINDOWS\system32\esLLF.dll','');
DeleteFile('C:\WINDOWS\system32\esLLF.dll');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winja11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsf31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyh16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyq78.sys','');
DeleteService('Winyq78');
DeleteService('Winyh16');
DeleteService('Winsf31');
DeleteService('Winoe44');
DeleteService('Winja11');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyq78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsf31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoe44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winja11.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Windows Help Ser-vice');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServicesOnce','Windows Help Service');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
ExecuteREpair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Последний раз редактировалось thyrex; 23.11.2009 в 14:20 .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Скрипт показывает ошибку в позиции 25:13, не могу запустить.
Давно исправлено
Сообщение от
thyrex
Последний раз редактировалось thyrex; Сегодня в 13:20
Выполняйте исправленный
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Простите за тупость, скрипт прошел, высылаю логи, карантин отправил. Большое спасибо за оперативную помощь!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится mrfxdv5n.exe (gmer)
Код:
mrfxdv5n.exe -del service hmgosten
mrfxdv5n.exe -del file "C:\WINDOWS\system32\pakelu.dll"
mrfxdv5n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hmgosten"
mrfxdv5n.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hmgosten"
mrfxdv5n.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
C:\WINDOWS\system32\DRIVERS\atapi.sys замените на чистый с дистрибутива
C:\WINDOWS\system32\blphccsnj0e5ep.scr пришлите согласно Приложения 2 правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Все сделал, лог gmer1 высылаю. Файл blhpccsnj0e5ep.scr AVZ не находит и я его визуально не вижу.
В этом логе чисто
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphccsnj0e5ep.scr','');
DeleteFile('C:\WINDOWS\system32\blphccsnj0e5ep.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин (если не окажется пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Скрипт выполнил, лог высылаю, карантин сейчас отправлю.
Вложения
Порядок
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Большое спасибо за помощь, первый раз участвую в таком интересном проекте, очень познавательно! Ваши рекомендации обязательно выполню.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\esllf.dll - Trojan.Win32.Agent2.clyg ( DrWEB: Trojan.Siggen.451, BitDefender: Gen:Trojan.Heur.iu4@ybj39Imah, NOD32: Win32/Agent.QIQ trojan )