-
Priority Member
- Вес репутации
- 60
HmBlocker, Iframe, Winlock, Agent, ..... веело, весело встретил новый год
Сосед, любитель злачных мест. Искал приятность, а получил Winlockera
Травил Касперским
Код:
10.01.2011 22:09:42 Задача запущена
10.01.2011 22:10:11 Обнаружено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:23:35 Задача остановлена
10.01.2011 22:26:06 Задача запущена
10.01.2011 22:26:45 Обнаружено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temp\updates.exe
10.01.2011 22:27:47 Обнаружено: Trojan-Dropper.Win32.Agent.dswb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\dm8[1].php
10.01.2011 22:27:54 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\show[1].htm
10.01.2011 22:47:31 Удалено: Trojan-Dropper.Win32.Agent.dswb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\dm8[1].php
10.01.2011 22:47:32 Удалено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temp\updates.exe
10.01.2011 22:47:34 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\show[1].htm
10.01.2011 22:48:21 Обнаружено: Trojan-Dropper.Win32.Agent.dncn C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ADCJ618T\forum[1]
10.01.2011 22:48:31 Удалено: Trojan-Dropper.Win32.Agent.dncn C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ADCJ618T\forum[1]
10.01.2011 22:48:49 Обнаружено: Trojan.JS.Iframe.rb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\EVPC7O8F\fol[2].js
10.01.2011 22:48:49 Удалено: Trojan.JS.Iframe.rb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\EVPC7O8F\fol[2].js
10.01.2011 22:49:48 Обнаружено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\KXUJ85UN\UL6bhyg9ZajIPsj0b1S9IP9gXoF6Gher[1]
10.01.2011 22:49:53 Удалено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\KXUJ85UN\UL6bhyg9ZajIPsj0b1S9IP9gXoF6Gher[1]
10.01.2011 22:50:21 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\1246[1].pdf/data0000
10.01.2011 22:50:31 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].php/ytkmyucm9[1]/JIM
10.01.2011 22:50:31 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].htm/JIM
10.01.2011 23:12:41 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].htm
10.01.2011 23:12:42 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\1246[1].pdf
10.01.2011 23:12:43 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].php
10.01.2011 23:13:20 Обнаружено: Trojan-Ransom.Win32.HmBlocker.acc C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\UQMHDD86\xpiofrbtkzhr[1].exe/UPX
10.01.2011 23:13:24 Удалено: Trojan-Ransom.Win32.HmBlocker.acc C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\UQMHDD86\xpiofrbtkzhr[1].exe
10.01.2011 23:13:33 Обнаружено: Trojan.JS.Redirector.os C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\W3QTUX67\rule[1].htm
10.01.2011 23:13:34 Удалено: Trojan.JS.Redirector.os C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\W3QTUX67\rule[1].htm
10.01.2011 23:13:40 Обнаружено: Exploit.JS.Pdfka.cyk C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WT27WPMZ\xwbvxsbpyrjs[1].pdf/data0000
10.01.2011 23:13:41 Удалено: Exploit.JS.Pdfka.cyk C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WT27WPMZ\xwbvxsbpyrjs[1].pdf
10.01.2011 23:15:56 Задача завершена
Лечение активных угроз: завершено 58 минут назад (событий: 4, объектов: 1445, время: 00:00:41)
10.01.2011 22:23:35 Задача запущена
10.01.2011 22:23:35 Обнаружено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:23:41 Удалено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:24:16 Задача завершена
Ужасного ничего не заметил, вроде всё работает.
Посмотрите пожалуйста логи
Последний раз редактировалось tigr62; 02.02.2011 в 11:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O20 - AppInit_DLLs: c:\windows\system32\surbkcj.dll
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\User\2417410006\2417410006.exe','');
QuarantineFile('c:\windows\system32\surbkcj.dll','');
DeleteFile('C:\Documents and Settings\User\2417410006\2417410006.exe');
DeleteFile('c:\windows\system32\surbkcj.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
Olejah
Закройте все программы
Отключите
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Карантин отправил
Последний раз редактировалось tigr62; 02.02.2011 в 11:11.
-
Ничего необычного
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 9.4 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
