-
Junior Member
- Вес репутации
- 55
Пришло письмо с вирусом в zip
Приветствую.
Друг получил письмо с зип файлом и рапаковал его, в результате получил сообщение на рабочий стол, с предложением установить антивирусное обеспечение... Nod 32 вер. 4800, поймал Win32/TrojanDjwnloder.FakeAlert.AED - 2 шт, JS/TrojanCliker.Agent.FK - 5 шт.
до этого стояла вер. 4545 которая всю эту дрянь пропустила...
Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\smss32.exe');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\winlogon32.exe','');
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
QuarantineFile('c:\windows\system32\smss32.exe','');
DeleteFile('c:\windows\system32\smss32.exe');
DeleteFile('D:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
UserInit=C:\WINDOWS\system32\winlogon32.exe
- userinit.exe походу подменен в реестре. Посмотрите, если ли он на диске
-
-
Junior Member
- Вес репутации
- 55
Спасибо, сечас все сделаю, модемное соединение здесь, увы быстро скачать обнову не получается...
Добавлено через 50 минут
Карантин отправил, winlogon32.exe и userinit.exe присутствуют
Последний раз редактировалось ViLev; 03.02.2010 в 13:43.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
winlogon32.exe - дата создания 02.02.10
-
Junior Member
- Вес репутации
- 55
Жаль что сегодня нет решения проблемы...
Хорошие люди есть везде, просто их очень сложно найти...
-
Сейчас скриптик накидаю
Добавлено через 10 минут
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\smss32.exe');
QuarantineFile('c:\windows\system32\smss32.exe','');
DeleteFile('C:\WINDOWS\system32\winlogon32.exe');
DeleteFile('c:\windows\system32\smss32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
winlogon32.exe можете не выбирать в списке карантина.
Повторите логи.
Последний раз редактировалось light59; 03.02.2010 в 21:30.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
light59,
Спасибо... жду, вот только опробовать его смогу только завтра, я уже дома, а друг совсем не может ни чего, кроме ловли вирей.
Хорошие люди есть везде, просто их очень сложно найти...
-
-
-
Junior Member
- Вес репутации
- 55
Спасибо, завтра выполню и отпишусь.
Хорошие люди есть везде, просто их очень сложно найти...
-
Junior Member
- Вес репутации
- 55
Вроде все заработало, спасибо большое.
Карантин выслал, логи добаляю.
Хорошие люди есть везде, просто их очень сложно найти...
-
Это сами делали?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
В остальном чисто
-
-
Junior Member
- Вес репутации
- 55
light59,
Огромное спасибо за лечение!!!
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
А что здесь не так?
Хорошие люди есть везде, просто их очень сложно найти...
-
Ну если IE у вас в интернет нормально выходит, то ничего плохого в этом нет
-
-
Junior Member
- Вес репутации
- 55
light59,
Вобще не выходит, только через Оперу.
Можно както исправить?
Хорошие люди есть везде, просто их очень сложно найти...
-
пофиксите ...
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
-
-
Junior Member
- Вес репутации
- 55
Профиксил, перезагрузил, проверил... его нет, запускаю IE, не работает, проверяю, опять находит R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
Хорошие люди есть везде, просто их очень сложно найти...
-
пуск- панель управления - свойства обозревателя.
Закладка "Подключения" -> Кнопка "Настройка сети"
В поле Прокси сервер удалите всё и снимите галочку.
-
-
Junior Member
- Вес репутации
- 55
Все сделал, но IE не работает, да и фиг с ним...
Огромное спасибо за помощь, тему можно закрывать.
Хорошие люди есть везде, просто их очень сложно найти...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\smss32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\winlogon32.exe - Packed.Win32.Krap.an ( DrWEB: Trojan.Fakealert.11886, BitDefender: Trojan.FakeAV.ACX, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Malware-gen )
-