Показано с 1 по 14 из 14.

Вирус через аську. Snatch. (заявка № 85539)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31

    Thumbs up Вирус через аську. Snatch.


    Хорошая знакомая прислала файл через аську, передача была отключена. уточнил что такое, сказала, что прикольная мини-игра, мол, ставь поиграем. скачал, проверил антивирусом, запустил. тут же вырубилась аська, понял что сотворил глупость, но было уже поздно.. аська больше не запускалась до тех пор пока не снес процесс и не переустановил qip. за это время аналогичное сообщение успело разослаться от меня по контакт-листу..
    прошу проверить, есть ли что-нибудь подозрительное, т.к. у меня мутные сомнения что я так легко от этой гадости отделался..

    Прошу простить за то, что лишнюю работу вам создаю, но может ещё пригодится.. судя по всему распространяется она очень быстро..Первый раз сталкиваюсь с такими умными ботами, которые отвечают на твои вопросы как живые люди...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     TerminateProcessByName('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');     
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
     QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
     QuarantineFile('c:\program files\irotate\irotate.exe','');   
     QuarantineFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vpn.bat','');
     DeleteFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');     
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    А если vpn.bat на рабочем столе - нужный файл (скрипт автозапуска vpn-соединения)? Команду QuarantineFile для него все равно надо выполнять?

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    Эта команда всего лишь скопирует его в карантин, убивать я его не планировал.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    ок, щас сделаю

    Добавлено через 17 минут

    карантин прислал
    Файл сохранён как
    100816_195826_quarantine_4c69602287b96.zipРазмер файла676331MD5003cfd684dbfc3c991d67c9b58e9be8a
    Последний раз редактировалось krexxxer; 16.08.2010 в 19:59. Причина: Добавлено

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    - Повторите лог virusinfo_syscure.zip

    - Сделайте лог МВАМ

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    порядок выполнения логов имеет значение? просто я вначале сделал лог другой - syscheck, потом mbam. а когда стал прикреплять, увидел, что надо syscure. mbab не переделывал, если надо переделаю
    логи прикладываю
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    У меня вопрос по одному файлу - C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe, знаком ли он Вам?

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    а я как раз думал у Вас спросить про этот файл..)
    не знаком.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    Поищите его в АВЗ - Сервис - Поиск файлов на диске - выберите директорию C:\Documents and Settings\Admin\Local Settings\Temp\ в поле "Имя файла" введите Toolbar.exe. Если найдёт - отметьте его галочкой и нажмите "отправить помеченные файлы в карантин". Если не найдёт - сообщите.

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    не нашёл

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    В логах чисто. Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    60
    Вес репутации
    31
    ясно. проблем вроде никаких не наблюдается.
    спасибо за помощь!
    *Thumbs up*

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) krexxxer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 11
      Последнее сообщение: 18.08.2010, 14:56
    2. Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия
      От XeNuM в разделе Новости компьютерной безопасности
      Ответов: 21
      Последнее сообщение: 17.08.2010, 10:36
    3. словил вирус через аську
      От R_Pavel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.03.2010, 09:31
    4. Рассылается спам через аську.
      От Pest в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2010, 16:15
    5. Вирус... рассылка спама через аську
      От sam в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01660 seconds with 17 queries