Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Помогите прибить подменщика explorera (заявка № 83468)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28

    Exclamation Помогите прибить подменщика explorera

    Здравствуйте, появился в аппликейшн дата файл ogix.exe -
    симантек и доктор вэб его не видят. Вроде зловредного ничего не делает активности не проявляет. только перестали присваивать буквы к подключаемым дискам (Диск подключаешь а его как бы и нет - рестартанеш експлорер, тогда все видно) - поэтому и обнаружился ентот файл - так как в реестре создает запись Taskman и прописывает себя в загрузчики разные. Удаление вируса + Чистка и восстановление реестра ничего не дает, после перезагрузки откуда - то загружается опять восстанавливает все записи в реестре и снова ложит свое тельце в аппликейшн дата.
    Помогите, пожалуйста!
    P/s прикрепил сканы avz + hijack

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от Wolant87 Посмотреть сообщение
    P/s прикрепил сканы avz + hijack
    Куда?

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    x-files

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Где virusinfo_syscure.zip ?

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Извините, анй момент!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Протокол антивирусной утилиты AVZ версии 4.27
    - это раритет!!!!

    - скачайте новую версию AVZ - 4.34
    - обновите базы AVZ
    - Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Есть! нью релиз

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\legitcheckcontrol.dll.bak','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.bak','');
     QuarantineFile('C:\WINDOWS\system32\wgatray.exe.bak','');
     QuarantineFile('C:\WINDOWS\system32\wgalogon.dll.bak','');
     QuarantineFile('C:\Documents and Settings\palagina\Application Data\ogix.exe','');
     DeleteFile('C:\Documents and Settings\palagina\Application Data\ogix.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
      ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  10. #9
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Сидит на своем месте, гад, и улыбается. Только он раньше был скрытым, а сейчас без атрибутов.

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Rfhfynby nj; pfrfxfkcz

    "Файл сохранён как 100720_200102_quarantine_4c45c83eb506b.zip"
    MD5 eb8597f5ecc7eb9576c9d165b25d277d

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\??\c:\windows\system32\winlogon.exe','')
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Карантин готов и МБАМ тоже

  14. #13
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Файл сохранён как 100721_111239_quarantine_4c469de700de0.zip

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
    
    
    Зараженные папки:
    C:\Documents and Settings\palagina\Application Data\Starware (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\BrowserSearch (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ErrorSearch (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Games (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Layouts (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Manager (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Movies (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\PopupBlocker (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Reference (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\RelatedSearch (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Screensavers (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ScreensaversMarketingSitePager (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchAssistPlus (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchMatch (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Toolbar (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarLogo (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarSearch (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\TravelSearch (Adware.Starware) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\palagina\Application Data\Starware\BrowserSearch\BrowserSearch.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\BrowserSearch\BrowserSearch.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Games\GamesOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Games\GamesOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Layouts\PreferencesLayout.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Layouts\PreferencesLayout.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Layouts\ToolbarLayout.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Layouts\ToolbarLayout.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Manager\ManagerOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Manager\ManagerOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Movies\MoviesOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Movies\MoviesOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Reference\ReferenceOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Reference\ReferenceOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Screensavers\ScreensaversOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Screensavers\ScreensaversOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ScreensaversMarketingSitePager\ScreensaversMarketingSitePagerOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ScreensaversMarketingSitePager\ScreensaversMarketingSitePagerOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchAssistPlus\SearchAssistPlusOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchAssistPlus\SearchAssistPlusOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchMatch\SearchMatchOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\SearchMatch\SearchMatchOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Toolbar\TBProductsOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\Toolbar\TBProductsOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml.backup (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\TravelSearch\TravelSearchOptions.xml (Adware.Starware) -> No action taken.
    C:\Documents and Settings\palagina\Application Data\Starware\TravelSearch\TravelSearchOptions.xml.backup (Adware.Starware) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
      QuarantineFile('C:\Program Files\Total Commander\Soft\USDownloader\captchaocr\caps_net\test.exe ','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     RebootWindows(true);
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM

  16. #15
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Удалил в МБАМ требуемые записи --- закарантинил нечисть!
    При сканировании МБАМ - обнаружилась активность Backdoor создание файлов 4.tmp и 6.tmp
    они сразу были прибиты местным антивирусником.
    После перезагрузки все записи в реестре восстановились, ogix.exe опять сидит в аппликейшн дата.

  17. #16
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Карантин сохранён как 100722_114037_quarantine_4c47f5f5e219c.zip

    Добавлено через 8 минут

    Нашел похожую проблему в теме
    [Новая] Taskman ltzqai.exe в Winlogon'e после удаления вновь появляется
    --- ее так походу и не решили ... Неужели эту заразу никак не взять руками?
    Последний раз редактировалось Wolant87; 22.07.2010 в 10:50. Причина: Добавлено

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - сделайте лог Combofix

  19. #18
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    Лог готов!

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Скачайте утилиту TDSSKiller
    Сохраните текст ниже как run.bat в туже папку где находится TDSSKiller.exe (переименуйте файл именно в это имя)

    Код:
    TDSSKiller.exe -l C:\log.txt -v
    - Все сканирование делайте с правами администратора. Запустите run.bat
    - Когда программа отработает, сформируется лог-файл log.txt в корне диска C.
    - Прикрепите файл log.txt к сообщению.

    - повторите лог Combofix

  21. #20
    Junior Member Репутация
    Регистрация
    16.07.2010
    Сообщений
    16
    Вес репутации
    28
    УРААААААААААААААА!
    TDSSKiller показал отсутствие ошибок
    Combofix - прищемил большой палец злоподсосу и закинул в карантин.
    Спасибо за активную помощь!
    Вложения Вложения
    • Тип файла: txt log.txt (31.6 Кб, 7 просмотров)

  • Уважаемый(ая) Wolant87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите прибить заразу 2
      От Stopfire в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.04.2010, 13:31
    2. Помогите прибить заразу
      От Stopfire в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.04.2010, 16:02
    3. Помогите прибить system.exe
      От Rader в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.03.2009, 17:10
    4. Помогите прибить вирусы
      От amg в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:58
    5. Помогите убить вирус Internet Explorera
      От ermiht в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.11.2008, 15:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00471 seconds with 17 queries