Показано с 1 по 6 из 6.

Подцепил зверя... (заявка № 89810)

  1. #1
    Junior Member Репутация
    Регистрация
    13.10.2010
    Сообщений
    10
    Вес репутации
    27

    Подцепил зверя...

    Здравствуйте, проблема в следующем:
    Перешёл на сайт, на который меня послал гугл по моему запросу, Аваст сразу же завопил что тут зловредный скрипт но я его победю.
    Я решил не верить его словам и сразу же вышел с сайта. Примерно через час вылезло сообщение от того же Аваста что мол
    пресечена попытка соединения процесса services.exe с сайтом ***.net/knok.php?id=тут_имя_юзера__йп__система_и_прочая_ин фа.
    Тут я заподозрил неладное, решил проверить систему но зверёк оказался умным, Аваст его не находит, avz, avp, HijackThis и CureIt блокирует.
    После некоторых размышлений и плясок с бубном фирмы гугл была выявлена потенциальная конспиративная квартира зверя.
    Ею оказалась дериктория C:\Program Files\Common Files\18F44871a(папка "пуста", вес "0 байт", не удаляется ввиду блокирования её процессом) а в ней папка keys. в Common Files также был обнаружен файл jqyrg4inedzz13m
    куда всё записывал кейлогер. Также через некоторое время там же была создана ещё одна директория вида 18F44871b куда зверь засунул мой WM сертификат.
    После этого была замечена очередная активность, при открытии текстового файла быстро напечаталась строка вида testtesttesttest.
    Безопасный режим не решил проблему, с виндоус_мини_сиди удалось запустить avz но он нечего криминального не нашёл.
    После очередных плясок с бубном удалось запустить avz с ключом am=y уже с основной системы.
    На мой взгляд нечего криминального он опять не нашёл.
    Ещё из ненормальной активности: использую Фаерфокс, перед тем как запуститься он крэшиться раз десять, вместе с системой стартует ИЕ которым я некогда не пользуюсь, services.exe иногда не хило грузит цпу.
    Помогите, Люди добрые.
    virusinfo_cure.zip не влезает, залью отдельно.
    http://dump.ru/file/4837200

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('QuarantineFile('C:\WINDOWS\colacoca.BAT','');','');
     QuarantineFile('c:\windows\system32\3d9f4988.exe','');
     QuarantineFile('c:\windows\system32\zgbrnc.exe','');
     DeleteFile('c:\windows\system32\zgbrnc.exe');
     DeleteFile('c:\windows\system32\3d9f4988.exe');
     DeleteFileMask('c:\program files\Common Files\18F44871a', '*.*', true);
     DeleteDirectory('c:\program files\Common Files\18F44871a');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    13.10.2010
    Сообщений
    10
    Вес репутации
    27
    Карантин залил, только забыл про пароль, извините пожалуйста...
    При выполнение скрипта, авз сказал что на 5-ой строке проблема с ")".
    colacoca.bat делал я своими руками, пытался сделать что то на подобии напоминалки) Так что там нечего плохого нет в любом случае.
    HijackThis запускается, также как и авз нормально, папки больше нету.
    Все (no file) из HijackThis пофиксил.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    В остальном подозрительного нет.

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  6. #5
    Junior Member Репутация
    Регистрация
    13.10.2010
    Сообщений
    10
    Вес репутации
    27
    Всё будет сделано, спасибо за лечение, Доктор =)

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\zgbrnc.exe - Backdoor.Win32.Shiz.ahb ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1809, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Exorian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ничего не берёт это зверя
      От nbyte в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.07.2011, 10:11
    2. как завалить зверя?
      От кика в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:43
    3. Помогите убить зверя
      От mak83 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.02.2009, 09:54
    4. Следы зверя
      От Tathagata в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.01.2009, 00:39
    5. Выловил зверя :)
      От maXmo в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 27.05.2006, 20:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01664 seconds with 16 queries