-
Junior Member
- Вес репутации
- 53
Черный порнобаннер, блокирующий процессы и соединения
Добрый вечер!
Буду очень благодарен, если поможете.
Проблема такая - комп нашего юриста словил порнобаннер с требованием отослать СМС с текстом М21120008 на номер 3649. При этом NOD эту гадость проигнорировал, а когда она (гадость) активировалась, то заблокировала все процессы (в т.ч. и NOD), соединения, сетевые подключения. По очереди пробовал запускать - Avast, AVZ, переименованный AVZ, DrWeb CureIT, HiJack, переименованный HiJack. Запустился только переименованный HiJack, логи прилагаю. Кстати, интересная особенность у этой гадости - вроде бы виснет по центру экрана и все окна открываются за ней, то есть их не видно, и сама гадость не реагирует ни на одно сочетание клавиш и не закрывается и не сворачивается, НО - дабл-клик на значке "дата" в трее - и гадость свернута и позволяет нормально работать с "проводником" - копировать, перемещать, и т.д. Но стоит попытаться запустить любой процесс - она опять выскакивает.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите с помощью HJT:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\EoOhY.dll
Перезагрузите ПК. Пробуйте запустить AVZ и сделать логи
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо!
AVZ запустился. Логи прилагаю. Нужны ли логи syscheck (подключения к Инету не было) и cure?
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\MiniNT\system32\rasman.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы avz, cделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо!
Прислал карантин по красной ссылке:
Файл сохранён как 091129_182443_virus_4b12923b44a5c.zip
Размер файла 53475
MD5 27534ea601f9926d1694356bc2f99315
Сейчас проделаю оставшиеся шаги.
-
Сообщение от
snifer67
Обновите базы avz, cделайте новые логи.
А это?
-
-
Junior Member
- Вес репутации
- 53
Обновил базу AVZ, проверил дважды согласно Правилам. После выполнения п.1 раздела "Диагностика" Правил было создано два лога. Одни прилагаю (syscure). Нужен ли второй - cure? Прилагаю также лог, сделанный после выполнения п.2 раздела "Диагностика" Правил - syscheck.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо!
Проблема решена, гадость больше не вылезает и никак себя не проявляет - все процессы работают, как и подключения!
Карантин загрузил:
Файл сохранён как 091129_204606_quarantine_4b12b35e7f92b.zip
Размер файла 215150
MD5 be1a9a904563b0f748ac2bc69ed2bab5
Если ещё нужно что-то прислать - я готов!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rxs ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
- f:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
-