Рекламный вирус

**DmitryTinne** · 13.08.2010, 16:56

Попался рекламный вирус, выскакивает сразу при загрузке винды.
В безопасном режиме удалось запустить AVZ и исследовать систему.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 13.08.2010, 17:10

Здравствуйте,
Мы будем Вам очень признательны, если Вы прочтёте и в точности выполните наши несложные правила.
В противном случае мы никак не сможем быть Вам полезны.
В порядке исключения можете сделать только лог по п. 2 Диагностики. Сделайте так же лог полного сканирования MBAM.

**DmitryTinne** · 13.08.2010, 17:53

вот все сделал согласно правилам

**thyrex** · 13.08.2010, 19:56

-Пофиксите:

Код:

F2 - REG:system.ini: Shell=C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c4e5855d.exe,\\?\globalroot\systemroot\system32\Yx3yzEn.exe,
O4 - HKCU\..\Run: [shell] C:\Program Files\Common Files\IntraVision Soft\lsass.exe
O4 - Startup: syscron.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\clonereree.exe\clonereree.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe','');
 QuarantineFile('C:\WINDOWS\system32\c4e5855d.exe','');
 QuarantineFile('C:\WINDOWS\fldfndr.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe','');
 QuarantineFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe','');
 DeleteFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe');
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe');
 DeleteFile('C:\WINDOWS\fldfndr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Folder Defender');
 DeleteFile('C:\WINDOWS\system32\c4e5855d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe');
 DeleteFile('C:\clonereree.exe\clonereree.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe');
DeleteFileMask('C:\clonereree.exe', '*.*', true);
DeleteDirectory('C:\clonereree.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи в нормальном режиме

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**DmitryTinne** · 13.08.2010, 20:42

Все стано нормально работать, осталась одна пробле: после вируса все браузеры выдают следующий текст:

Браузер блокирует передачу данных, осуществляемую вредоносным программным обеспечением!
Устранить проблему может:
Pro-Doctor 2010 (нажмите сюда, чтоб произвести онлайн проверку)
BitDefender
VBA32 Antivirus

**Rene-gad** · 13.08.2010, 20:55

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\system32\dvmurl.dll','');
CreateQurantineArchive('%userprofile%\desktop\avz_quarantine.zip');    
end.

- Закачайте файл avz_quarantine.zip с Рабочего Стола для анализа.

**DmitryTinne** · 13.08.2010, 21:00

Карантин пуст

**Rene-gad** · 13.08.2010, 21:03

- Очистите темп-папки, кэш проводников, cookies и корзину.
- Сделайте лог полного сканирования MBAM.

Сообщение от DmitryTinne

Карантин пуст

А почему карантин, запрошенный thyrex не закачан?

**thyrex** · 13.08.2010, 21:13

А также

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ce62f8a1.exe','');
 QuarantineFile('C:\WINDOWS\system32\ddc863b9.exe','');
 DeleteFile('C:\WINDOWS\system32\ddc863b9.exe');
 DeleteFile('C:\WINDOWS\system32\ce62f8a1.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\kgcDh.txt');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\C87J1.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи RSIT

**DmitryTinne** · 13.08.2010, 21:42

Все операции проделал

**thyrex** · 13.08.2010, 22:06

MPK\Free KGB Keylogger - сами устанавливали?

Удалите в МВАМ

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\System Volume Information\_restore{5A579516-8362-49F7-A512-4002891D033C}\RP1\A0003404.exe (Virus.Expiro) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.7064135115773789.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.8501226342032827.exe (Trojan.Dropper) -> No action taken.

**DmitryTinne** · 13.08.2010, 22:19

да, кейлогеры собственной установки
удалил все что сказали, всеравно появляется надпись в браузерах

**thyrex** · 13.08.2010, 22:31

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Не исключено, что эта программа удалит Ваш кейлоггер

**DmitryTinne** · 13.08.2010, 23:04

лог

**thyrex** · 13.08.2010, 23:38

Что теперь с проблемой?

**CyberHelper** · 14.08.2010, 23:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\ce62f8a1.exe - Backdoor.Win32.Shiz.ru ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )
2. c:\\windows\\system32\\ddc863b9.exe - Backdoor.Win32.Shiz.ru ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )

Рекламный вирус (заявка № 85321)

Опции темы