Троян локер.

**wintah** · 22.02.2010, 09:06

Доброе утро.

Примерно 2 недели назад поймал скринлокер который "косит" под KYS, удалил его с помощье Kaspersky Rescue Disk.

На данный момент стоит NOD 32.

Сегодня утром поймал новый скрин локер, черный экран и опять просьба отослать СМС. С другого компьютера воспользовался сервисом "анлокер" от Dr Web , тоесть попросту получил код для разблокировки.

После этого получил доступ к системе, восстановил работу диспетчера задач, но он после запуска сразу же сварачивается.

Так же НОД32 кричит про файл autorun.inf на диске D.

Вообщем нужна ваша помощь, мне кажется мусор остался....

Все сделал по правилам, файлы прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 22.02.2010, 09:28

Доброе утро.
Пофиксить в Hijack

Код:

F2 - REG:system.ini: Shell=explorer.exe,user32.exe

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\o.dll','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('c:\windows\system32\user32.exe','');
 TerminateProcessByName('c:\windows\system32\user32.exe');
 DeleteFile('c:\windows\system32\user32.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\o.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(16);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**wintah** · 22.02.2010, 10:13

Карантин:

Файл сохранён как 100222_095530_virusinfo_cure_4b822a629a3e9.zip
Размер файла 62210
MD5 f9ba7216ecce7ae1487f30c2dab1b7d2

Новые логи закачал.

ps Диспетчер задач стал вести себя нормально.

**wintah** · 22.02.2010, 10:17

извините, в карантин закачал наверное не то, вот верный файл:

Файл сохранён как 100222_101653_virus_4b822f65e0cf6.zip
Размер файла 1688
MD5 2c2cf7a62cce27a7178dfade57fb3bb7

**wintah** · 22.02.2010, 22:25

теме ап.

**Шапельский Александр** · 22.02.2010, 22:39

Сделайте лог MBAM

**wintah** · 22.02.2010, 23:19

Лог выложил.

PS Во время сканирования НОД32 выдал такое:

22.02.2010 22:53:51 файл D:\md.exe Win32/AutoRun.LockScreen.A червь очищен удалением - изолирован

22.02.2010 22:52:08 файл C:\Documents and Settings\MrTea\Local Settings\TEMP\GABb.exe Win32/AutoRun.LockScreen.A червь очищен удалением - изолирован

Но когда просто прогонял НОД32, ничего не находил...

**Шапельский Александр** · 23.02.2010, 00:39

Сделайте комплект логов.

**wintah** · 23.02.2010, 07:33

вот обновленные логи

**Шапельский Александр** · 23.02.2010, 11:13

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip

**wintah** · 23.02.2010, 14:57

скрипт выполнил, лог загружен.

**Шапельский Александр** · 23.02.2010, 18:13

Сделайте лог Gmer, MBAM и Hijack

**wintah** · 24.02.2010, 10:46

Вот обновил все логи, кроме Gmer .
Когда нажимаю Сохранить отчет - программа намертво подвисает и помогает только кнопка reset.

ps Во время сканирование МВАМ , НОД32 заругался :

24.02.2010 10:08:47 файл C:\Program Files\WEBMONEY\inetmib1.dll Win32/Spy.Webmoner.VM троянская программа очищен удалением - изолирован

**polword** · 24.02.2010, 11:14

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\webmoney\WebMoney.exe','');
 QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
 QuarantineFile('C:\Скачивание\Alcohol120% 1.9.6.5429 Без ЗАМОРОЧЕК\crack\loader for all lang\Alcohol.exe','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

**wintah** · 24.02.2010, 11:34

Файл сохранён как 100224_113307_quarantine_4b84e4437e6b0.zip
Размер файла 1870
MD5 f2cebf9f503ed4cde09b252db567f68f

ps при загрузке перестали появляться иконки некоторых программ в трее справа (панель аудио настройки, icq) , хотя в процессах они висят. Так же пропал значек языковой панели (языковая панель включена).

**Шапельский Александр** · 24.02.2010, 12:22

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('2EAF5BB2-070F-11D3-9307-00C04FAE2D4F');
 DelCLSID('2EAF5BB1-070F-11D3-9307-00C04FAE2D4F');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\o.dll', ''));
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
Executerepair(5);
Executerepair(7);
Executerepair(9);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip

**wintah** · 24.02.2010, 14:07

Сделано.

ps Программы в трее стали видны. Языкового индикатора все так же нету.

pss Я посмотрел предыдущий скрипт - вебмани попал под подозрение как я понял. Можно им пользоваться, файл чист ?

**polword** · 24.02.2010, 14:16

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

**wintah** · 24.02.2010, 15:11

Выполнил.

Скажите что с файлом webmoney.exe который я скинул в карантин.

И делать ли что-то дальше или все уже чисто ?

**Шапельский Александр** · 24.02.2010, 15:25

Сообщение от wintah

Скажите что с файлом webmoney.exe который я скинул в карантин.

Карантин пуст. Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\webmoney\WebMoney.exe','');
 QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Троян локер. (заявка № 71963)

Опции темы

Троян локер.

Похожие темы

Локер

Неубиваемый локер

Локер. смс на 8353

Локер + еще вирусня.

Новый локер

Ваши права в разделе