Показано с 1 по 19 из 19.

Пришло письмо с вирусом в zip (заявка № 70096)

  1. #1
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31

    Question Пришло письмо с вирусом в zip

    Приветствую.
    Друг получил письмо с зип файлом и рапаковал его, в результате получил сообщение на рабочий стол, с предложением установить антивирусное обеспечение... Nod 32 вер. 4800, поймал Win32/TrojanDjwnloder.FakeAlert.AED - 2 шт, JS/TrojanCliker.Agent.FK - 5 шт.
    до этого стояла вер. 4545 которая всю эту дрянь пропустила...
    Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Обновите базы AVZ!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\smss32.exe');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\winlogon32.exe','');
     QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
     QuarantineFile('c:\windows\system32\smss32.exe','');
     DeleteFile('c:\windows\system32\smss32.exe');
     DeleteFile('D:\autorun.inf');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
    UserInit=C:\WINDOWS\system32\winlogon32.exe
    - userinit.exe походу подменен в реестре. Посмотрите, если ли он на диске

  4. #3
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Спасибо, сечас все сделаю, модемное соединение здесь, увы быстро скачать обнову не получается...

    Добавлено через 50 минут

    Карантин отправил, winlogon32.exe и userinit.exe присутствуют
    Последний раз редактировалось ViLev; 03.02.2010 в 13:43. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    winlogon32.exe - дата создания 02.02.10
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Жаль что сегодня нет решения проблемы...
    Хорошие люди есть везде, просто их очень сложно найти...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Сейчас скриптик накидаю

    Добавлено через 10 минут

    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\smss32.exe');
     QuarantineFile('c:\windows\system32\smss32.exe','');
     DeleteFile('C:\WINDOWS\system32\winlogon32.exe');
     DeleteFile('c:\windows\system32\smss32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    winlogon32.exe можете не выбирать в списке карантина.

    Повторите логи.
    Последний раз редактировалось light59; 03.02.2010 в 21:30. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    light59,
    Спасибо... жду, вот только опробовать его смогу только завтра, я уже дома, а друг совсем не может ни чего, кроме ловли вирей.
    Хорошие люди есть везде, просто их очень сложно найти...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Тогда эта статья пригодится http://virusinfo.info/showthread.php?t=30339.

  10. #9
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Спасибо, завтра выполню и отпишусь.
    Хорошие люди есть везде, просто их очень сложно найти...

  11. #10
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Вроде все заработало, спасибо большое.
    Карантин выслал, логи добаляю.
    Вложения Вложения
    Хорошие люди есть везде, просто их очень сложно найти...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Это сами делали?
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080

    В остальном чисто

  13. #12
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    light59,
    Огромное спасибо за лечение!!!
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
    А что здесь не так?
    Хорошие люди есть везде, просто их очень сложно найти...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Ну если IE у вас в интернет нормально выходит, то ничего плохого в этом нет

  15. #14
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    light59,
    Вобще не выходит, только через Оперу.
    Можно както исправить?
    Хорошие люди есть везде, просто их очень сложно найти...

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

  17. #16
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Профиксил, перезагрузил, проверил... его нет, запускаю IE, не работает, проверяю, опять находит R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
    Хорошие люди есть везде, просто их очень сложно найти...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    пуск- панель управления - свойства обозревателя.
    Закладка "Подключения" -> Кнопка "Настройка сети"

    В поле Прокси сервер удалите всё и снимите галочку.

  19. #18
    Junior Member Репутация
    Регистрация
    12.06.2009
    Адрес
    Омск
    Сообщений
    19
    Вес репутации
    31
    Все сделал, но IE не работает, да и фиг с ним...
    Огромное спасибо за помощь, тему можно закрывать.
    Хорошие люди есть везде, просто их очень сложно найти...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\smss32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\winlogon32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) ViLev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 08.08.2012, 12:26
    2. Пришло письмо от Сбербанка
      От Rudder в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.06.2012, 21:46
    3. Ответов: 4
      Последнее сообщение: 31.12.2011, 13:16
    4. Ответов: 11
      Последнее сообщение: 28.06.2007, 20:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01018 seconds with 17 queries