-
Junior Member
- Вес репутации
- 55
Атака клонов!
Все началось с того что неожиданно вылезло окно:
Ваша копия Windows не зарегистрирована!
Для регистрации отправьте СМС
с текстом 585winru а номер 7132.
.
Эта зараза блокировала диспетчер задач. Не мог зайти в безопасном режиме. Все что удавалось - это загрузиться со старого Windows Live CD. Даже в KAV Rescue ничего сделать не давало! Сканировал с помощью cure it! - находило почему-то "зараженные" файлы на диске-загрузочнике.
Вобщем догадался подключить винт с системой через внешний бокс к ноутбуку и уже через него провести проверку. Выкладывал здесь логи, но реакции не последовало, поэтому отправился за ответом на другой форум. Там удалось выяснить что вирус деактивируется следующим образом:
1. Заходим в безопасный режим с поддержкой коммандной строки
2. Вызываем диспетчер задач
3. Запускаем редактор реестра
4. переходим по ключу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
5. Смотрим на параметр "Shell" (у меня там было C:\WINDOWS\system32\drivers\winlogon.exe, а должно быть "Shell"="Explorer.exe")
Выполнил как написано. Винда стала загружаться. Решил сразу поставить KIS 2010. Через некоторое время он стал детектировать сетевые атаки с различных адресов. Я стал искать подозрительные файлы в компе. Было найдено 2 на диске С (названия их точно не помню, но было что-то типа kghjdgs.exe, причем система то установлена у меня не на диске С, а на диске Е). Кроме того до правки реестра находил файлы kht, khu и khs нулевого размера и без расширения в основном каталоге диска Е и в папке Documents and Settings\Admin\Local Settings\Temp
нашел файлы без расширения:
~fmmuxzrcxrv4x7a
~jlczhlccpcc5j2m
~ppuplrmwbmj5s4d.
После их удаления они появлялись снова. Кроме этого были обнаружены вирусы CMedia и Plugin.exe. Комп постоянно виснет, KIS время от времени продолжает регистрировать сетевые атаки. Недавно таки обнаружил зараженный файл netprotocol.dll в папке Wndows\System32. Было предложено выполнить лечение после чего произвелась перезагрузка системы. Этого файла там более не наблюдаю. На всякий случай лог KIS 2010 тоже прикрепляю.
Последний раз редактировалось webdesigner; 03.03.2010 в 14:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
В этой теме другой комп, так что не путайтесь пожалуйста.
-
Junior Member
- Вес репутации
- 55
Я так понял помогать мне никто не собирается тут ...
-
Читайте внимательно правила >>>>>>>Обновите базы AVZ!>>>>>>>>> Отключите восстановление системы!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\System32\userinit.exe','');
QuarantineFile('E:\Program Files\plugin.exe','');
QuarantineFile('E:\System Volume Information\_restore{3C6C3E49-992F-4DB5-AF33-A10EA736B81B}\RP432\A0190875.exe','');
QuarantineFile('E:\System Volume Information\_restore{3C6C3E49-992F-4DB5-AF33-A10EA736B81B}\RP425\A0190346.dll','');
DeleteFile('E:\Program Files\plugin.exe');
DeleteFile('E:\System Volume Information\_restore{3C6C3E49-992F-4DB5-AF33-A10EA736B81B}\RP425\A0190346.dll');
DeleteFile('E:\System Volume Information\_restore{3C6C3E49-992F-4DB5-AF33-A10EA736B81B}\RP432\A0190875.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в обычном режиме.
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 100128_211352_virus_4b61d3e057bb8.zip
Размер файла 17871
MD5 b7fca7aa5f5e23bf77659b3c553f3498
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось webdesigner; 03.03.2010 в 14:25.
-
Junior Member
- Вес репутации
- 55
Что-то у меня после всех этих операций foobar2000 отказывается конвертировать во flac...
-
Сообщение от
webdesigner
foobar2000
Его не трогали.
Добавлено через 3 минуты
мусор немного зачистим:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DeleteFile('E:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 29.01.2010 в 23:35.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-