Trojan.Mayachok.MEM

Ваня · 28.07.2013, 13:39

Всем привет!
Случайно поймал этого зловреда, пытался поставить DJVU reader. (с сайта mydjvu, не ходите туды

)
Так в браузерах появился смс-вымогатель. Курейт чистил его только из оперативной памяти, по этому после перезагрузки он появлялся вновь.
Сделал вот так:

Цитата:

1. Жмем сочетание «Win+R» (удерживая кнопку с изображением флажка, нажимаем R), набираем «Regedit» и заходим в редактор реестра;
2. Проходим по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»
Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;
4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр (правой кнопкой мыши щёлкнуть по названию параметра и выбрать Изменить, затем стереть внизу значение самого параметра); б) запишите имя файла, что бы его можно было легко найти на компьютере; в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ (например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;
5. Перезагружаем систему, ибо сейчас файл не удастся удалить;
6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;
7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.
Для тех у кого стоит 64-х разрядная система есть некоторые отличия:
1. Вирус может находиться в папке C:\windows\SYSWOW64
2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SystemRoot%\SysWOW64\regedit.exe
В остальном все тоже самое. Ну, вроде, это всё.

Но теперь не работает опера, при попытке открыть яндекс или гугл зависает напрочь.
Я вот думаю, может зловред еще остался?

ВОТ что пишет uVS:

serij-68tmb · 28.07.2013, 13:49

В "хосте" лишние строчки не появились? Папка WINDOWS\system32\drivers\etc файл hosts открыть блокнотом. Смотрим, там снизу должна быть только строчка localhost.

Ваня · 28.07.2013, 13:52

Dr.Web туда зачем-то ютуб добавил, однако он работает.

safety · 28.07.2013, 15:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4261C5AE9C32E9AD328703826943D554B773CA923A2E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 Ciavax
bl 91FAE3CC5B573C2F3E5A436FCF8FA1FC 69632
delref %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL
deltmp
delnfr
; Bonjour
exec MsiExec.exe /X{E4F5E48E-7155-4CF9-88CD-7F377EC9AC54} /quiet

; Pandora Service
exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Как создать лог сканирования в malwarebytes?

Ваня · 29.07.2013, 11:23

Проблемы ушли, спасибо!
Malwarebytes нашел один зараженный файл в Program Files, удалил.

safety · 29.07.2013, 12:53

хорошо,
далее, закрываем уязвимости с помощью AVZ

Цитата:

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Ваня · 30.07.2013, 11:11

Нашел некую Уязвимость в MSXML. Поставил обновление.

safety · 30.07.2013, 17:04

сделайте еще проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

Ваня · 30.07.2013, 17:58

Re: Сделал:

safety · 30.07.2013, 21:36

удалите найденное в AdwCleaner по кнопке delete
автоперезагрузка будет системы.

на этом можно закончить проверки.

28.07.2013, 13:52	#3 (permalink)
Ваня Почётный Шарлотан Регистрация: 27.08.2010 Адрес: Культурная столица России Сообщений: 9,152 Записей в дневнике: 45 Сказал(а) спасибо: 612 Поблагодарили 751 раз(а) в 114 сообщениях Репутация: 105004	Dr.Web туда зачем-то ютуб добавил, однако он работает. __________________ Хотел как лучше, а получилось идеально!

28.07.2013, 15:00	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.80.13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4261C5AE9C32E9AD328703826943D554B773CA923A2E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 Ciavax bl 91FAE3CC5B573C2F3E5A436FCF8FA1FC 69632 delref %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL deltmp delnfr ; Bonjour exec MsiExec.exe /X{E4F5E48E-7155-4CF9-88CD-7F377EC9AC54} /quiet ; Pandora Service exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe czoo restart перезагрузка, пишем о старых и новых проблемах. архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru ------------ далее, сделайте дополнительно быструю проверку системы в малваребайт Как создать лог сканирования в malwarebytes?

29.07.2013, 11:23	#5 (permalink)
Ваня Почётный Шарлотан Регистрация: 27.08.2010 Адрес: Культурная столица России Сообщений: 9,152 Записей в дневнике: 45 Сказал(а) спасибо: 612 Поблагодарили 751 раз(а) в 114 сообщениях Репутация: 105004	Проблемы ушли, спасибо! Malwarebytes нашел один зараженный файл в Program Files, удалил. __________________ Хотел как лучше, а получилось идеально!

30.07.2013, 11:11	#7 (permalink)
Ваня Почётный Шарлотан Регистрация: 27.08.2010 Адрес: Культурная столица России Сообщений: 9,152 Записей в дневнике: 45 Сказал(а) спасибо: 612 Поблагодарили 751 раз(а) в 114 сообщениях Репутация: 105004	Нашел некую Уязвимость в MSXML. Поставил обновление. __________________ Хотел как лучше, а получилось идеально!

28.07.2013, 13:39
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Возможно в данных темах уже был ответ который вам нужен Trojan.bat.killfiles.pf Что делать? Trojan-Dropper-Delf ik Trojan. Generic Trojan Remover

28.07.2013, 13:49	#2 (permalink)
serij-68tmb Member Регистрация: 23.08.2012 Сообщений: 1,801 Записей в дневнике: 2 Сказал(а) спасибо: 6 Поблагодарили 10 раз(а) в 3 сообщениях Репутация: 5686	В "хосте" лишние строчки не появились? Папка WINDOWS\system32\drivers\etc файл hosts открыть блокнотом. Смотрим, там снизу должна быть только строчка localhost.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

30.07.2013, 17:04	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	сделайте еще проверку в АдвКлинере Как выполнить проверку в AdwCleaner?

30.07.2013, 21:36	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	удалите найденное в AdwCleaner по кнопке delete автоперезагрузка будет системы. на этом можно закончить проверки.