Показано с 1 по 14 из 14.

И снова фишинговые ссылки... (заявка № 89552)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28

    И снова фишинговые ссылки...

    Добрый вечер! В последнее время частенько KIS блокирует процессы svchost.exe и services.exe, которые пытаются открыть различные фишинговые ссылки! + на днях появились подозрительные файлы в папке system32 (a6f4a644.exe, cgdilh.exe, fbb556cb.exe) которым KIS присваивает индекс опасности 100! Со вчерашнего дня в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes появилась куча маршрутов, блокирующих антивирусное ПО и сайты! Помогите пожалуйста избавится от их дряней в системе! И дайте пожалуйста совет, как обезопасить компьютер! Логи прикрепляю! Спасибо!

    Буквально час назад нашел в корне C:\Program Files\Common Files файл без расширения, открыв его увидел логи моего ПК, то что запускал или набирал на клавиатуре! ПОМОГИТЕ!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);                                                                 
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\a6f4a644.exe','');
     QuarantineFile('C:\WINDOWS\system32\fbb556cb.exe','');
     QuarantineFile('C:\WINDOWS\system32\vvgoic.exe','');
     DeleteFile('C:\WINDOWS\system32\vvgoic.exe');
     DeleteFile('C:\WINDOWS\system32\fbb556cb.exe');
     DeleteFile('C:\WINDOWS\system32\a6f4a644.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Olejah, файл карантина отправил, но вот ещё файл вируса C:\WINDOWS\system32\cgdilh.exe

    В реестре, ниже строки Userinit есть ещё строка usrint, вот как раз в ней и путь к файлу cgdilh.exe

    Походу это и есть кейлоггер, так как снова в C:\Program Files\Common Files появился файл jqyrg4inedzz13m с данными ввода текста на клавиатуре!

    Может снова avz пройтись?

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Не покажет он этого, сделайте лог ComboFix

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Не покажет он этого, сделайте лог ComboFix
    Держите, но в файле ни слова о том, о чем я писал выше!

    И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Цитата Сообщение от Dargo Посмотреть сообщение
    И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?
    Такой у него нрав, всё это можно восстановить из карантина, инструкция есть по ссылке выше, которую я давал.


    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

    Код:
    KillAll::
    
    File::
    c:\program files\Common Files\jqyrg4inedzz13m
    c:\windows\system32\perfc019.dat
    c:\windows\system32\perfh019.dat
    
    
    Driver::
    
    NetSvc::
    
    Folder::
    
    
    Registry::
    
    
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Держите!

    Все же C:\WINDOWS\system32\cgdilh.exe ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...

    Ещё вопрос! Судя по логам шпиона, он велся ещё с сентября, так почему же с тех пор KIS 2011 до сих пор их не определяет на вирусы?

    Спасибо!

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Цитата Сообщение от Dargo Посмотреть сообщение
    Все же C:\WINDOWS\system32\cgdilh.exe ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...
    Снесите его вручную, так как в логах его нет, я бить на угад не могу.

    - Сделайте новые логи АВЗ + лог полного сканирования МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Снесите его вручную, так как в логах его нет, я бить на угад не могу.

    - Сделайте новые логи АВЗ + лог полного сканирования МВАМ
    Полное напряжно, это 1Тб информации! Может диска С хватит? :-)

    П.С. Файл удалил! Скажите, а в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?!

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Цитата Сообщение от Dargo Посмотреть сообщение
    Может диска С хватит?
    Диска С хватит.


    Цитата Сообщение от Dargo Посмотреть сообщение
    можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?!
    Такого параметра быть не должно - под топор его.

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Olejah, держите!

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Ничего подозрительного, что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    23.06.2010
    Сообщений
    12
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Ничего подозрительного, что с проблемой?
    Вроде KIS больше не жалуется на фишинговые ссылки!

    Но вот хотелось бы вернуть все как было до ComboFix, а то в некоторых программках настройки сбились! Например тот же TheBat! (даже регистрация сбилась!)

    Добавлено через 5 часов 40 минут

    Все ОК, большое спасибо за помощь! Думал пройдет и эта http://virusinfo.info/showthread.php?p=718327 проблема, но увы нет!
    Последний раз редактировалось Dargo; 09.10.2010 в 19:10. Причина: Добавлено

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\vvgoic.exe - Backdoor.Win32.Shiz.add ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1502, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )


  • Уважаемый(ая) Dargo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 06.01.2011, 00:00
    2. фишинговые ссылки (заявка №30200)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 24.09.2010, 20:00
    3. services.exe svchost.exe фишинговые атаки
      От serg537u в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.08.2010, 14:05
    4. Фишинговые ссылки
      От VIPet в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.01.2010, 13:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00668 seconds with 16 queries