-
Junior Member
- Вес репутации
- 52
JS/Exploit.Pdfka.AYZ
Здравствуйте. Сижу читаю форум Античат, зашёл в тему. Как-то автоматом нажал на скриншот - меня перебросило на хостинг изображений, моментально среагировал NOD32 Antivirus и показал вирус JS/Exploit.Pdfka.AYZ.троянская программа по адресу _http://klokolk.in/goog_lemsn/pdf.php и тут же закрылся. Начал его искать в процессах - его нету. Зашёл в папку Programm Files и запусти его вручную. Теперь пытаюсь открыть бразузер - не открывается, причём любой Mozilla, Opera, IE. Также не открывается Total Commander, WinRAR и др, пробовал немногое. Была включена ICQ, написал друзьям - они мне нашли информацию в Гугле, сказали удалить кэш в папке с Mozilla по адресу C:\Documents and Settings\My_Profile\Application Data\Mozilla и очистить папку Temp по адресу C:\Documents and Settings\My_Profile\Local Settings\Temp, я скинул себе на флешку и пытался удалить файлы, но не удалялся файл e.dll (свежесозданный) и файл snfDD6.tmp. Я решил перезагрузить компьютер и зайти в безопасный режим, но нажимая F8 нету у меня выбора безопасного режима, появляется окно где нужно выбрать с какого диска грузить ОС. Включил я компьютер, зашёл и теперь полностью удалил папку Temp. До первой перезагрузки включал сниффер (SmartSniff). Вирус стучался:
Host: 239.255.255.250:1900
Location: http://192.168.1.1:5437/dyndev/uuid:дальше идёт какой-то код...
Код:
Ещё стучится на:
POST /vgame/a/games.php HTTP/1.1
Host: mezdunar3net.com
И сейчас когда пишу сообщение, включил сниффер - отстукивает на эти 2 адреса.
Логи по правилам сделал. Очень надеюсь на вашу помощь. Это не почистить файл hosts , я понятия не имею что делать
Последний раз редактировалось pig; 11.01.2010 в 23:07.
Причина: убрал опасную ссылку
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\93cd.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\93cd.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 52
Сделал всё по инструкции, новые логи прикрепил, карантин отправил
Файл сохранён как 100112_144448_virus_4b4c60b039ac8.zip
Размер файла 382032
MD5 373098a46202215ffcbe1231c2f19954
После перезагрузки стало появляться окно: Установка нового оборудования - пишет: новое оборудование Нет данных и выбор с диска или с HDD устанавливать.
Ещё AVZ создал в папке LOG архив virusinfo_cure.zip, его никуда не отправлял. Когда делал анализ "Скрипт сбора информации для раздела "Помогите!" virusinfo.info", то Интернет был выключен. В правилах написано, что нужно включить, но т.к. gjf написал включить Интернет после логов, то я его и не включал. Спасибо, очень жду, что мне делать дальше
Последний раз редактировалось AutoPy4ka; 12.01.2010 в 14:55.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Windows\System32\Drivers\Sfloppy.SYS','');
BC_ImportAll;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится. Пришлите карантин ещё раз.
-
-
Junior Member
- Вес репутации
- 52
Выполнил скрипт. Захожу в карантин - файлов для отмечания нет. В папке \avz4\Quarantine\2010-01-12 есть 2 файла bcqr00001.dta и bcqr00002.dta, каждый размером 11 392 байт
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Junior Member
- Вес репутации
- 52
Спасибо! А что с тем файлом (Sfloppy.SYS), он же не попал в карантин и я его не отправил, это окно с установкой нового оборудования снова будет вылетать?
Сниффером смотрел, вроде никто никуда не стучится. Этот вирус никакие порты на моей машине не открыл? Есть ли предположения какие у него функции были? Никаких просьб с отправкой SMS не было. И как такое может быть, что заходишь на Хостинг картинок и тебе грузится такая хрень. Кроме Радикала больше нигде не открываю .
Ещё я скидывал на флешку папку C:\Documents and Settings\<ваше_имя_пользователя>\Local
Settings\Application Data\Mozilla\Firefox\Profiles\<рандомный_набор_сим волов>.default - могу ли я её вернуть на прежнее место? (Там все мои настройки/закладки).
Спасибо за лечение, надеюсь ответите на мои вопросы.
-
Окна больше не будет, оно было нужно для диагностики.
Сейчас у Вас куча уязвимостей, поскольку не стоят последние обновления системы. Вирусов нет, но если не предпримите меры - появятся
-
-
Junior Member
- Вес репутации
- 52
Отстук на какой-то IP адрес продолжается
SmartSniff
Код:
NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
CACHE-CONTROL: max-age=1800
Location: http://192.168.1.1:5431/dyndev/uuid:тут идёт какой-то код (цифры+буквы)
NT: upnp:rootdevice
NTS: ssdp:alive
SERVER:LINUX/2.4 UPnP/1.0 BRCM400/1.0
-
Вы так быстро обновились?
-
-
Junior Member
- Вес репутации
- 52
Я не обновлялся. У меня стоит ZverCD... Как я обновлюсь с сайта Microsoft'a...
Думал, что вирусов уже нет, хотел оставить всё как и было раньше (. Где он может сидеть, какими программами мне ещё протестироваться?
-
ZverCD уже давным-давно с СП3 выходит. И в нете куча способов варезного обхода защиты Microsoft, то есть как СП3 поставить на пиратку. Здесь это - не тема для обсуждения, но Гугль в помощь.
Сразу скажу, что с SP2 на данный момент машина, имеющая выход в интернет, будет без вирусов ну максимум сутки
-
-
Junior Member
- Вес репутации
- 52
SP2 долго уже стоит, а вот вчера подцепил эту чушь. Как его поймать, какие логи сделать?
-
Я Вам русским языком сказал, что сейчас всё чисто и тем же самым языком сказал, что сделать, чтобы этого не повторилось. Что неясно?
Маты здесь не приветствуются, потрудитесь изъясняться корректно.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
gjf
Что неясно?
Кто стучится на этот странный адрес. Как узнать кто это и обезвредить
Добавлено через 3 часа 11 минут
Пробив этот IP в Гугл и Яндекс вылетело много тем.
http://support.microsoft.com/default...b;en-us;317843
http://virusinfo.info/showthread.php?t=9203
Получается вирус включил эту службу или прописал что-то в реестре (на сайте Микрософта написано что-то про реестр, но по английски не понимаю что там конкретно, переводчик переводит коряво)? Потому что раньше я тоже смотрел сниффером пакеты и ни разу такого отстука не видел... Что лучше сделать? Вырубить службу или оставить как есть. После пойду обновляться
Добавлено через 17 минут
Ещё нашёл тему http://forum.xakep.ru/m_1532655/mpage_1/key_/tm.htm
Тут пишen про uTorrent и как раз им я пользовался за день до этого вируса (uTorrent стоял давно и до этого я им тоже пользовался)
Последний раз редактировалось AutoPy4ka; 12.01.2010 в 20:05.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
Перезагрузил компьютер, снова появляется окно о новом устройстве, скриншот во вложении. Сделал снова логи, посмотрите пожалуйста и другие Хелперы, одна голова хорошо, а две лучше. Очень жду (
-
Junior Member
- Вес репутации
- 52
Извините, что поднимаю тему. Понимаю, что таких как я много, но не переустанавливать же Windows . Помогите найти этого зловреда, который стучится на неизвестный IP
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Packed.Win32.Katusha.j
-