-
Junior Member
- Вес репутации
- 57
Trojan.Packed.20771
Система WinXP sp3.
Заблокировались антивирусные сайты. DrWebCureIT (от 19.09.2010) ничего подозрительного не увидел. Вручную удалил подозрительные файлы из System32 (см.приложение: пароль- virus) и прочистил в реестре папку PersistentRoutes ([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes\]), т.к. там было очень много URL.
Антивирусные сайты открылись: скачал новый CureIT, AVZ,Spybot и HijackThis. CureIT и Spybot ничего не замечают, а AVZ и HijackThis не работают (при старте мелькнёт окно - и сразу закрывается), хотя вирусы остались, т.к. IE стал плохо работать, Опера вообще заблокирована, а Firefox "падает", т.е. запускается с 3-й или 4-й попытки.
Новый CureIT всё-таки обнаружил троян, когда я подсунул ему распакованную папку с подозрительными файлами (см. приложение).
СПАСИБО
Последний раз редактировалось Никита Соловьев; 28.09.2010 в 17:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
Удалось сформировать LOG
Удалось запустить "Virus Removal Tool" Касперского.
Log прилагаю.
СПАСИБО
Последний раз редактировалось okomaster; 24.02.2011 в 13:38.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('pvmjpg30.dll','');
QuarantineFile('E:\WINDOWS\system32\3110b793.exe','');
QuarantineFile('E:\WINDOWS\system32\booiju.exe','');
DeleteFile('E:\WINDOWS\system32\booiju.exe');
DeleteFile('E:\WINDOWS\system32\3110b793.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 57
СПАСИБО.
Но AVZ не работает. Запускается только Касперский из командной строки.
Там есть бат-файл для выполнения скриптов. Может туда вставить?
СПАСИБО.
-
Выполните скрип в avptool.
-
-
Junior Member
- Вес репутации
- 57
Я ВОСХИЩЁН ОЛЕГОМ ИЗ КРАСНОДАРА!
"С одного выстрела - не в бровь, а в глаз!"
Удалил вручную booiju.exe (см. в карантине *.zip пароль virus -> *.rar пароль virus) - и все антивирусы заработали...
Браузеры не глючат, скорость стала выше...
Логи и карантин после 1-го скрипта прикрепляю.
СПАСИБО!
P.S.
Вопрос: у параметра 2201 в конце какое должно быть значение "3" или "1" ?
Последний раз редактировалось okomaster; 24.02.2011 в 13:38.
-
Плохого не вижу в логах, что-нибудь беспокоит ещё?
- Сделайте на всякий случай лог полного сканирования МВАМ
Добавлено через 4 минуты
Сообщение от
okomaster
Я ВОСХИЩЁН ОЛЕГОМ ИЗ КРАСНОДАРА!
Чёрт, откуда они знают мой настоящее имя..
Последний раз редактировалось olejah; 26.09.2010 в 21:25.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Полное сканирование МВАМ
Сообщение от
Olejah
1.Иногда "падает" ReGet Deluxe с "предупреждением". Сразу же можно запустить.
2.Иногда (очень редко) "клинит" компьютер с перезагрузкой. Обычно это происходит, когда IE8 загружает страницу какого-то сайта.
В IE8 отключено выполнение скриптов, сценариев и активных окон. При этом на DOS-экране быстро мелькает много текста, как-будто какой-то конфликт в памяти. Лог MBAM прилагаю. Ещё прикрепляю StartUp list: может здесь кто-то конфликтует, может кого-то можно удалить, например, IgfxTray (непонятно что это).
СПАСИБО.
Последний раз редактировалось okomaster; 24.02.2011 в 13:38.
-
Junior Member
- Вес репутации
- 57
Дополнение к предыдущему
Только что при "падении" ReGet Deluxe написал следующее:
"We're sorry, but looks like ReGet Deluxe has crashed. Crach report has beenautomatically created and saved on your desktop as the file: C68.txt. We are going as the form to submit your crash-report in you default Internetbrowser, please fill all the fields in that form, attach the crashreport and click submit." C68.txt прилагаю.
СПАСИБО.
Последний раз редактировалось Никита Соловьев; 28.09.2010 в 17:07.
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
Зараженные файлы:
E:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Olejah
Удалил.
Проблема с браузером осталась. Теперь уже в Firefox при загрузке страницы перегрузился компьютер (см. problem.txt).
Сделал повторно логи.
СПАСИБО.
Moderated:: Убедительная просьба не прикреплять никаких лишних вложений если Вас об этом не просили.
Последний раз редактировалось okomaster; 28.09.2010 в 19:27.
-
Junior Member
- Вес репутации
- 57
ПРОБЛЕМА РЕШЕНА
В некоторых случаях глючил новый (китайский) USB-расширитель.
СПАСИБО
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-