Показано с 1 по 12 из 12.

Порнобаннер M201517126 на 3381 (заявка № 78730)

  1. #1
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51

    Thumbs up Порнобаннер M201517126 на 3381

    Доброго. Лицензионный Avast. В юзерском профиле баннер. В безопасном режиме загружается под админом, запускается AVZ, AVP, CureIT ... находят незначительное кол-во заражённых файлов (в основном архивы неактивные). С помощью Live СD Касперского загружается, но результат тот же - вирусы не обнаружены. Онлайн анлокер не помогает. Баннер остаётся. Восстановление системы отключено. Temp виндузовый удалён.

    Логи приложу чуть позже, если останется актуально. Волнует иное. Заражён не один компьютер, а, насколько я понимаю, для очистки каждого системника требуются уникальные скрипты. Отсюда вопрос - возможен ли анализ и лечение своими силами? Алгоритм действий? И есть ли какие-нибудь заплатки от данной заразы и её модификаций?

    P.S. Сеть корпоративная, есть расшаренные папки.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Есть возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51
    Да, безусловно. Одна из версий есть под рукой.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Точное содержимое этого параметра напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51
    ++не знаю насколько корректна ссылка на иное ПО++ C помощью последней Ad-Aware (удалён Malware TrojanDropper.VB и Trojan.bat). Баннер пропал, при загрузке юзерского профиля выдаётся две ошибки об отсутствии батников с именами-крякозябрами (насколько я понимаю они и инициализировали баннер). Сейчас повторно проверяю систему AVP и CureIT.

    По реестру. Он не был заблокирован из-под админа.

    Параметр AppInit_DLLs найден мню по иному адресу - "HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\InFileMapping\win.ini\Windows". Значение параметра = SYS:Microsoft\WindowsNT\CurrentVersion\Windows.

    P.S. Батник удалён, но при загрузке кто-то его ищет => остались куски зловреда. Вопрос - как идентифицировать? Сейчас, параллельно со сканированием, просматриваю автозапуск.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    НЕТ, параметр не тот.

    Если логи AVZ и HiJack можете сделать, тогда выполняйте. А также лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51
    Логи.

    UPD. Пофиксил:
    1) F3 - REG:win.ini: load=C:\DOCUME~1\user\LOCALS~1\Temp\yvhtqdcrl.bat
    2) O4 - Startup: wwwzuc32.exe

    Ошибки исчезли, баннера нет.
    Вложения Вложения
    Последний раз редактировалось betelgeuse; 19.05.2010 в 02:28.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Для выполнения необходимы права администратора!

    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    F3 - REG:win.ini: load=C:\DOCUME~1\user\LOCALS~1\Temp\yvhtqdcrl.bat
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\yvhtqdcrl.bat');
     DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=78730).
    Сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51
    Восстановление системы отключено. Предыдущие логи из под юзера были, каюсь.

    При попытке закачки карантина выдаёт ошибку о том, что данный файл уже был загружен.

    Скрипты выполнил. Логи прилагаю.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Больше ничего плохого не видно.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    6
    Вес репутации
    51
    Нет, проблем не замечаю. И алгоритм стал ясен по выявлению, локализации и удалению. Благодарю.

    Хотя один вопрос остался - профилактика и предупреждения заражения? Обязательны ли платные резидентные антируткиты и тому подобное или тех 10-ти рекомендаций, что даны у Вас в шапке достаточно?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    10-ти рекомендаций достаточно
    I am not young enough to know everything...

  • Уважаемый(ая) betelgeuse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Порнобаннер(3381)
      От Seer^3 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.07.2010, 09:46
    2. Порнобаннер 3381
      От Eugenijo в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.05.2010, 14:07
    3. Порнобаннер 3381
      От bremlin в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.05.2010, 19:09
    4. порнобаннер с номером 3381
      От biholder в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.05.2010, 11:28
    5. порнобаннер 3381
      От vitutu в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.05.2010, 17:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01482 seconds with 20 queries