-
Junior Member
- Вес репутации
- 56
Вирус-перехватчик антивирусных сайтов и клавиатуры (?)
Добрый день,
Помогите, пожалуйста. Деинсталлировал сегодня демо-антивирус с тем, чтобы завтра купить полный, увлекся и залез на мусорный сайт и скачал *.doc-файл - хорошую книгу. Подозрение на вирус возникло, когда после перезагрузки упал explorer.exe. Решил установить антивирус, и понял что подцепил вирус. Drweb зависал при установке на операции "быстрая проверка системы" (то есть в течении >30-ти минут висело окно), cureit.exe после старта вис.
Перестали открываться сайты kaspersky.ru, *drweb.com, virusinfo.info, и, как потом выяснилось, z-oleg.com (если он был жив вечером 02.08.10). Файл hosts нормальный - одна строка как обычно.
Так же, в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit содержит вот это:
"C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\ system32\\ba7b13e4.exe,C:\\WINDOWS\\system32\\bmxo vr.exe,"
При ручном изменении этого параметра, нажатии ОК и F5 он опять становится прежним с указанным выше мусором.
Восстановление системы отключил.
Логи прикладываю. Помогите, пожалуйста.
Последний раз редактировалось Aleshka; 02.08.2010 в 23:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи сделаны устаревшей версией AVZ. Скачайте последнюю (4.34) и переделайте
-
-
если с сайта не получится, скачайте отсюда, распакуйте и сделайте новые логи
-
-
Junior Member
- Вес репутации
- 56
Сделал
Добрый вечер,
Снял все логи заново, посмотрите, пожалуйста.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\bmxovr.exe','');
QuarantineFile('C:\WINDOWS\system32\ba7b13e4.exe','');
DeleteFile('C:\WINDOWS\system32\ba7b13e4.exe');
DeleteFile('C:\WINDOWS\system32\bmxovr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 56
Все сделал, кроме файла quarantine.zip - он пустой, и весит 22 байта. При попытке загрузить quarantine.zip сайт ругается - ошибка - данный файл уже был загружен - как то так.
В реестре параметр usrint после перезагрузки по прежнему содержит C:\WINDOWS\system32\bmxovr.exe, хотя параметр Userinit стал таким:
C:\WINDOWS\System32\userinit.exe,
и антивирусные сайты стали открываться.
Следующим сообщением прикреплю логи Gmer, а то больше 4х файлов не дает прикрепить за раз.
Gmer, кстати, при запуске ругался "..found system modification...ROOTKIT activity". Я согласился на скан.
Последний раз редактировалось Aleshka; 03.08.2010 в 23:39.
-
Junior Member
- Вес репутации
- 56
Gmer после скана выдал сообщение, что "GMER has system modification caused by ROOTKIT activity".
-
Сохраните текст ниже как 1.bat в ту же папку, где находится 73b7yumc.exe (GMER) и запустите этот батник(1.bat):
Код:
73b7yumc.exe -del service pykoucxx
73b7yumc.exe -del file "C:\WINDOWS\system32\onrkjr.dll"
73b7yumc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pykoucxx "
73b7yumc.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\pykoucxx "
73b7yumc.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\pykoucxx "
73b7yumc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pykoucxx "
73b7yumc.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 56
Готово
Выкладываю лог.
Батник выдавал ошибки начиная со второй строки - при удалении dll, и дальше при удалении ключей реестра.
-
В логе чисто.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 56
Половину последних рекомендаций вчера выполнил, скрипт про уязвимости еще планирую сделать.
Огромное спасибо Вам за помощь!