Показано с 1 по 11 из 11.

Номер 3381 с текстом M20111714781 (заявка № 81323)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34

    Thumbs up Номер 3381 с текстом M20111714781

    Появился вот такой баннер с двумя тетками по бокам. Я зашел под ERD Commanderом, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows в ключе AppInit_DLLs стояло значение c:\Windows\System32\yujkln.dll, я его убрал, и баннер пропал.
    Последний раз редактировалось akalibr; 10.07.2010 в 13:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    93
    Отключить восстановление системы, защитное ПО.
    Профиксить:
    Код:
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe','');
     QuarantineFile('D:\autorun.inf','');
    QuarantineFile('C:\WINDOWS\system32\GameMon.des.exe','');
     QuarantineFile('C:\WINDOWS\system32\zyncrkg.exe','');
     QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
     QuarantineFile('C:\Documents and Settings\USER\Application Data\pard.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\urjmlire.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\rtrlgfpn.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\isfpahmn.sys','');
     QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\dlovoa.sys','');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('C:\Documents and Settings\USER\Application Data\pard.exe');
     DeleteFile('C:\WINDOWS\system32\drwat32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     DeleteFile('D:\autorun.inf');
    DeleteFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe');
    StopService('ICF');
    DeleteService('ICF');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Карантин загрузить по красной ссылке. Базы авз обновить и переделать логи.

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин выслал, логи на подходе
    вот и логи
    Последний раз редактировалось akalibr; 10.07.2010 в 13:33.

  5. #4
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    прошу помочь

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     BC_DeleteSvc('akxspipw');
     BC_DeleteSvc('urjmlire');
     SetServiceStart('rtrlgfpn', 4);
     BC_DeleteSvc('rtrlgfpn');
     SetServiceStart('akxspipw', 4);
     BC_DeleteSvc('isfpahmn');
     BC_DeleteSvc('irkxphxtgildw');
     QuarantineFile('C:\WINDOWS\System32\Drivers\akxspipw.sys','');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\akxspipw.sys');
     DeleteFile('C:\WINDOWS\system32\zyncrkg.exe');
    BC_ImportAll;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  7. #6
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    Карантина не было. После второго скрипта скачал по 2-м ссылкам флешплееры для браузеров. После перезагрузки и повторного прокручивания скрипта уязвимости обнаружены не были.
    Высылаю логи
    Последний раз редактировалось akalibr; 10.07.2010 в 13:33.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\temp\wpv361276865916.exe');
     QuarantineFile('c:\windows\temp\wpv361276865916.exe','');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('c:\windows\temp\wpv361276865916.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1 + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин не получился, т.к. при очередной загрузке выскочил баннер с 3-мя тетками, и ни одна программа не захотела запускаться. пришлось подключать винт к машине с KISом 2010.
    После чего подсоединил винт на место и сделал логи.
    P.s. Во время сканирования к Интернету не подключался, уже боюсь.
    Последний раз редактировалось akalibr; 10.07.2010 в 14:37.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe
    C:\DOCUME~1\USER\LOCALS~1\Temp\bldjad.exe имеется в наличии?

    Удалите ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    нету такого в Хиякзисе и самого файла. Можно подключаться к Инету и обновлять антивирус?

    Добавлено через 53 минуты

    подключился к Интернету, обновил антивирус, вроде, ничего не лезет постороннего.
    Спасибо за помощь
    Последний раз редактировалось akalibr; 20.06.2010 в 17:04. Причина: Добавлено

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drwat32.exe - Trojan-Spy.Win32.BZub.hvp ( DrWEB: Trojan.Packed.20087, BitDefender: Rootkit.35489, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.evh ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. 2 sms с текстом 1810101239666 на номер 3381
      От Danil94 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.06.2010, 21:44
    2. 2 sms с текстом 1850411863010 на номер 3381
      От fxlion в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.06.2010, 10:22
    3. 2 sms с текстом 1860111345722 на номер 3381
      От Velzevul в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.06.2010, 18:38
    4. 2 SMS с текстом 1870491540067 на номер 3381
      От YBBY в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.06.2010, 15:31
    5. Смс с текстом M201117353 на номер 3381
      От Акира в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.05.2010, 16:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00374 seconds with 16 queries