Ekav атакует

[Kurk_SS]

вообщем проблема стандартная,
вышеуказаная вещь что-то типа сканирует и просит смс за 10 руб.
ЗЫ:чирика не жалко, только ведь знаю что не поможет , а сдесь помогут

вообщем логи не могу сделать, даже в безопасном режиме эта фигня запускаеться....
максим чего я добился, это то что на одном запуске в безопасном режиме смог установить утилиту авп-туул, но запустить ни какими способами через меню ран эта бяка не давала, а на второй загрузке она сама чтото начала делать(авп-туул), бяка заметила и выключила компьютер...

дайте что можно для разогрева запустить чтоб хоть както логи сделать

PS подбор кода не даёт результата, обмонные действия по запуску авз хайджека или авптуул приводят к выключению компьютера - попытка запуска в лоб приводит к повторному сканированию кампа ekav-ом, обманный = выключение

ЗЫ:мне интернет эксплоер выдал окошко что сне сообщение от uuu9960 вроде так, это ктото помочь пытаеться или как??? у меня просто сработала блокировка всплывающих окон, или я уже и другую машину чемто заразил

[PavelA]

Надо через LiveCd загружаться и AVPTool проверяться.

[Kurk_SS]

так это я делал, загружался с ливсд, где уже встроеный авп тул, друг админ подкинул.....

да просканил он, нашл два файлика, сказал что там кидо, и на этом всё.

несмотря на блокировку виндоус этим окном, можно всётаки както работать с программами, которые Екав разрешает к запуску.... утилиту от каспера против кидо брал, запускал, она полностью проводит скан ниначто не ругаеться.

Екав вообще никак не реагирует на запуск даной утилитки - она ему пофигу.


Счас качаю с дрвэб ливСиДи от 06/01/2010

[Bratez]

Сделайте лог gmer.
Только измените расширение файла с .exe на .pif, иначе скорее всего не запустится.

[Kurk_SS]

Помогите.... я просто в шоке.

вообщем скачаный и записанный на болванку образ liveCD DrWeb вообще ничего не нашол...

Gmer скачанный по ссылке, и переименованный в *.pif не запускаеться....
эта сволота его перехватывает......

что делать, как быть ?

[Kurk_SS]

вообщем из ливсд удалось следующее - до этого внимания не обратил

в реестре ......winlogon\userinit="...userinit.exe, ./sdra64.exe"
вообщем изменил на норм....

счас из пуск-выполнить смог запустить гмер, лог его прилагаю

любые попцски запуска таскменеджера или ещо чего приводят к активации этой заразы.... снова блокирующее окно...
зайти в папку где фар портабл тоже немогу... выключает explorer.exe сразу...

ключи в реестре про отключение диспетчера задач, и редактора реестра удалял, но всё равно они отключены...

файл sdra64.exe и рядом ещо файлы где начало имени такиеже я поместил в карантин (архив зиповский с паролем вирус)
надо??? .....пришлю

[PavelA]

Присылайте через красную ссылку.

[Kurk_SS]

прислал... а вообще антивир на другой машине его опознал

Banker.Bancos.kdx

детально
Virus or unwanted program 'TR/Banker.Bancos.kdx [trojan]'
detected in file 'C:\!my karantin\virus_sdra64.exe.virus.

[Bratez]

Под LiveCD запустите AVZ и выполните такой скрипт:

Код:

begin
QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB');
end.

(папка с AVZ должна находиться на жестком или флэшке, т.е. с возможностью записи).

После этого запускайте зараженную систему и пробуйте работу AVZ в ней.

[Kurk_SS]

вообщем сделал.... логи авз и хайджека и красной ссылкой шлю то что авз брал на карантин (загрузка с ливсд)

[PavelA]

Banker.Bancos.kdx

Злобный троян, ворующий пароли.
После окончания лечения придется их все поменять.

Добавлено через 5 минут

Профиксить:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать логи заново.
Прислать карантин по Правилам, как обычно.
Диск "G" это что?

[Kurk_SS]

диск G - это флешка которой логи таскаю на рабочую машину с заражённой и обратно

да кстате , а диспетчер задач то отключон администратором, хотя как на регедит ключа в реестре нету про дисэйбл... точнее он был, но я из ливсд удалил оба.....

теперь ключа нету и всёравно не запускаеться диспетчер задач

с РегЕдитом всё нормально.....

[Kurk_SS]

вот пожалуста......

ещо разлочте плиз таскменеджер

карантина нету.... файл из папки со шрифтами брался ведь на карантин до этого и удалялся....

а из корзины... так корзину я чистил...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
 DeleteFile('G:\autorun.inf');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

>> Заблокированы настройки системы System Restore

Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

Обновите базы AVZ
Сделайте новые логи + лог gmer

[Kurk_SS]

содержимое авторана
[autorun]
Open=Rundll32.exe .\RECYCLER\dbbyrd.dll,Setup

мож сразу из корзины файл указанный... их там кстате 6 штук одинакового размера
в карантин взять?????????????

[PavelA]

Да, можно, если дадутся.
Только присылать через карантин AVZ.

[Kurk_SS]

вообщем вот..... так дались лёгко......файлики из корзины

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service ciigmusrv
gmer.exe -del file "C:\WINDOWS\system32\phpfvs.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ciigmusrv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ciigmusrv"
gmer.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

[Kurk_SS]

а кто-то может помочь в такой ситуации....
машина удалёна счас от меня... на пинги всё ещо отвечает, но РПЦ накрылся.... нужно както её перегрузить, тчобы сделать этот лог....

Я лог делал удалённо радмином, потом радмин перестал отвечать... я с соседней машины штатными средствами ХР пытался чтото сделать.... случайно завалил работу РПЦ.... что-то можно сделать? или ждать пока люди прийдут и перегрузят

[PavelA]

Скорее всего, придется ждать пока придут люди.