Помогите справиться с вирусом

ANASTASIKUS · 26.01.2013, 14:34

может кто сталкивался с такой проблемой. сама по себе на фоне страницы сайта появляется рекламная заставка порнографического характера, антивирус выявил рекламное ПО Generic 5.sxx, я его удалил но проблема осталась, и антивирус ничего больше не определяет.в инете вируса с таким названием не нашёл. может кто поможет, как выловить эту заразу.

safety · 26.01.2013, 17:14

добавьте образ автозапуска в следующее ваше сообщение как вложенный файл Как создать образ автозапуска в uVS. Краткая инструкция если не получится из нормального режима системы сделать, сделайте из безопасного режима системы.

Kashtan · 28.01.2013, 01:03

Баннер о блокировании windows 7 такой же как и на картинке, только номер телефона другой, добавляю сюда образ автозапуска...
или создать новую тему?

akok · 28.01.2013, 01:53

Николай_С, вы чего это так возбудились? Нормальная утилита для анализа системы. Анализ прост и ясен.
HiJackThis - устарел безнадежно и в чистом виде уже года 2 не используется.

Выполните скрипт UVS и пришлите карантин

Код:

;uVS v3.77.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg

; C:\USERS\АЛЕКСЕЙ\8859592.EXE
addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412

zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
bl 85EE5579991B32AA91146EA7A43DC273 93184
; zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
; C:\SYSTEMHOST\24FC2AE30E1.EXE
addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 Дрянь

zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
bl CC4BD35FF01204C77ABF3F569C83B3A9 286720
; zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE

deltmp
chklst
delvir
czoo
restart

После выполнения скрипта компьютер перезагрузится.

Kashtan · 28.01.2013, 02:33

Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?

ANASTASIKUS · 28.01.2013, 02:47

~safety, благодарю что откликнулся, вот копия автозапуска

safety · 28.01.2013, 08:13

1. просьба к администраторам раздела удалить сообщения из темы не по делу.

ANASTASIKUS
2.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
setdns Подключение по локальной сети\4\{2A50B391-4FD3-41AF-B418-84971189DCE7}\
delref HTTP://WEBALTA.RU/SEARCH
delref %Sys32%\DRIVERS\81853245.SYS
delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\25986~1.67\{C16C1~1\BROWSE~1.DLL
delref HTTP://SEARCH.BABYLON.COM/?AFFID=109220&TT=111212_NOKW_5012_8&BABSRC=NT_SS&MNTRID=A409EB270000000000006CF04913CD2C
deltmp
delnfr
exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}
exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.8.4.9\GUNINSTALLER.EXE" -UPRTC -KEY "BABYLONTOOLBAR"
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в малваребайт
Как создать лог сканирования в malwarebytes?

safety · 28.01.2013, 08:25

Цитата:

Сообщение от Kashtan

Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?

не все хорошо,
остались задачи с подменой hosts

выполните данный скрипт еще раз (что-то уже было удалено в первом скрипте)
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 SpyEye.0128
zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412 [DrWeb]
zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
chklst
delvir
delref /C
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec "C:\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\UNINS000.EXE"
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в малваребайт
Как создать лог сканирования в malwarebytes?

safety · 28.01.2013, 08:36

Цитата:

Сообщение от Николай_С

А про программу HiJackThis и подобные что-нибудь слышали?

hj, это вчерашний день.
в данном случае в образе автозапуска помимо трояна-локера в shell еще и SpyEye, который виден в системе только с применением антисплайсинга. поэтому hj в данном случае много чего не увидит.

safety · 28.01.2013, 08:39

вот, кстати, задачи с подменой hosts

Цитата:

Полное имя /C
Имя файла /C
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\206607aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\1345508aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT3.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\2879466aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT4.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\2879466aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT3

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT4

26.01.2013, 14:34	#1 (permalink)
ANASTASIKUS Новичок Регистрация: 26.01.2013 Сообщений: 2 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Помогите справиться с вирусом может кто сталкивался с такой проблемой. сама по себе на фоне страницы сайта появляется рекламная заставка порнографического характера, антивирус выявил рекламное ПО Generic 5.sxx, я его удалил но проблема осталась, и антивирус ничего больше не определяет.в инете вируса с таким названием не нашёл. может кто поможет, как выловить эту заразу.

28.01.2013, 08:13	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	1. просьба к администраторам раздела удалить сообщения из темы не по делу. ANASTASIKUS 2. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE setdns Подключение по локальной сети\4\{2A50B391-4FD3-41AF-B418-84971189DCE7}\ delref HTTP://WEBALTA.RU/SEARCH delref %Sys32%\DRIVERS\81853245.SYS delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\25986~1.67\{C16C1~1\BROWSE~1.DLL delref HTTP://SEARCH.BABYLON.COM/?AFFID=109220&TT=111212_NOKW_5012_8&BABSRC=NT_SS&MNTRID=A409EB270000000000006CF04913CD2C deltmp delnfr exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.8.4.9\GUNINSTALLER.EXE" -UPRTC -KEY "BABYLONTOOLBAR" exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE" EXEC cmd /c"ipconfig /flushdns" restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в малваребайт Как создать лог сканирования в malwarebytes?

26.01.2013, 14:34
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Участники нашего форума ранее создавали подобные топики, отсылаю вам ссылки Проблема с вирусом Люди добрые, помогите пожалуйста справиться с контрольной

26.01.2013, 17:14	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	добавьте образ автозапуска в следующее ваше сообщение как вложенный файл Как создать образ автозапуска в uVS. Краткая инструкция если не получится из нормального режима системы сделать, сделайте из безопасного режима системы.

28.01.2013, 02:33	#5 (permalink)
Kashtan Новичок Регистрация: 06.01.2013 Сообщений: 2 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070