-
Junior Member
- Вес репутации
- 53
Рекламный модуль (пополните счет)
добрый день, извините если что не так, зараженный комп находится удаленно, поэтому даю что нарыл.
Собственно: рекламный модуль, по описанию очень похож на trojan.winlock.2430 (данные с онлайн разблокировщика drweb) ток номер другой.разблокировщики не помогают.
Live CD drweb ничего не нашёл
безопасный режим не пашет.
передал юзверу диск,заставил там загрузиться erd в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon userinit- - - C:\WINDOWS\system32\userinit.exe,
shell - - - Explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs - - - пусто
подскажите пожайлуста, заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
В продолжении темы: прогнал plstfix, система запустилась
но сам модуль что-то не нашел. ну подозрения есть но не уверен. выкладываю логи avz и HijackThis. помогите обнаружить засранца и обезглавить.
Последний раз редактировалось Vovan_Gor; 12.11.2010 в 08:35.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
QuarantineFile('c:\Temp\yhsr.exe','');
QuarantineFile('C:\WINDOWS\system32\055.tmp','');
DeleteService('tkspeb');
DeleteFile('C:\WINDOWS\system32\055.tmp');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vovan_Gor; 12.11.2010 в 14:26.
-
- quarantine.zip - удалите из темы
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 1 минуту
- Сохраните текст ниже как 1.bat в ту же папку, где находится op2yjf1r.exe (GMER) и запустите этот батник(1.bat):
Код:
op2yjf1r.exe -del service eenje
op2yjf1r.exe -del file "C:\WINDOWS\system32\qnrxn.dll"
op2yjf1r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eenje"
op2yjf1r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eenje"
op2yjf1r.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
Последний раз редактировалось polword; 12.11.2010 в 13:16.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
вот
но перед перезагрузкой написал что парамтры заданы не верно
-
- выполните такой скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('F:\autorun.inf','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
-
Junior Member
- Вес репутации
- 53
теперь до понедельника)))
-
Junior Member
- Вес репутации
- 53
sorry но оно недает мне ничего загрузить. ругается: данный файл был уже загружен(
мож я чё торможу? но.....
-
F:\autorun.inf - вам знаком?
Если нет, то
Код:
begin
clearquarantine;
QuarantineFile('F:\autorun.inf','');
deletefile('F:\autorun.inf');
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\usrinit.exe - Trojan-Ransom.Win32.FSWarning.bh ( DrWEB: Trojan.MulDrop3.25044, BitDefender: Trojan.Generic.KDV.62930, AVAST4: Win32:Malware-gen )
-
