Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите! Баннер-вымогатель и много других странностей (http://forum.oszone.net/showthread.php?t=175719)

toraburu 15-05-2010 01:44 1413632
Помогите! Баннер-вымогатель и много других странностей
 
Вложений: 1
Здравствуйте.
Итак: один из компьютеров в загородном доме, ноутбук по wifi подключенный к инету. Все началось с того, что индикатор лицензионного ESET NOD32 поменял свой цвет с зеленого на красный. На это не было времени обращать внимание, я выключил комп и уехал. Следующая загрузка через несколько дней обернулась появлением непристойного баннера с информацией на корявом русском про отправку смс и окном ввода кода разблокировки. Кроме этого на компьютере обнаружилась так называемая Microsoft Security Essentials, занявшая место NOD32 в трее, также просящая смс при обнаружении "вирусов". В контекстном меню появилась функция "сканировать объект с помощью AVAST", который оказался чешским антивирусом, вроде вполне реальным (http://www.avsoft.ru/avast/), появившимся без причин, но абсолютно отказывающимся удаляться простыми методами. Заблокированы диспетчер задач, редактор реестра, AnVir, NOD32 и т.п.

Было сделано (не считая других нервозных движений):
- msconfig: минимальный набор, что позволило работать без баннера (девочки хоть и привлекательные, но занимают пол рабочего стола - неудобно); при этом блокировка программ осталась.
- cmd.exe - sfc /scannow, работал долго, подгружая что-то с диска.

Дальше все действия с AVZ и Highjackthis по инструкции в теме 98169. Результат (логи) прикладываю, так как нужна помощь, редактор реестра и т.п. все еще заблокированы.
Заранее всем больше спасибо.

thyrex 15-05-2010 09:33 1413717
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\XwiEz.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\1963715e.exe,C:\WINDOWS\system32\6fdaf893.exe,C:\WINDOWS\system32\8bc8218.exe,C:\WINDOWS\system32\734c5578.exe,C:\WINDOWS\system32\97f0927.exe,\\?\globalroot\systemroot\system32\by114Rm.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\97f0927.exe','');
 QuarantineFile('C:\WINDOWS\system32\8bc8218.exe','');
 QuarantineFile('C:\WINDOWS\system32\734c5578.exe','');
 QuarantineFile('C:\WINDOWS\system32\6fdaf893.exe','');
 QuarantineFile('C:\WINDOWS\system32\1963715e.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft Security Essentials\msseces.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Almia\inki.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\adildr.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('Adiratt_ln.sys','');
 QuarantineFile('C:\WINDOWS\system\svhost.exe','');
 DeleteFile('C:\WINDOWS\system\svhost.exe');
 DeleteFile('Adiratt_ln.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\Documents and Settings\user\Application Data\Almia\inki.exe');
 DeleteFile('C:\Documents and Settings\user\Application Data\Microsoft Security Essentials\msseces.exe');
 DeleteFile('C:\WINDOWS\system32\1963715e.exe');
 DeleteFile('C:\WINDOWS\system32\6fdaf893.exe');
 DeleteFile('C:\WINDOWS\system32\734c5578.exe');
 DeleteFile('C:\WINDOWS\system32\8bc8218.exe');
 DeleteFile('C:\WINDOWS\system32\97f0927.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{6220A90E-D487-D97E-D0EA-054AB12C774A}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
DeleteService('WindowsTelephony');
 DeleteService('Adiratt_ln');
DeleteService('sysdrv32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

iskander-k 15-05-2010 13:25 1413811
+ сказанному thyrex, проверьте систему . ZbotKiller.exe по инструкции http://support.kaspersky.ru/faq/?qid=208636281

toraburu 15-05-2010 16:01 1413872
Друзья, спасибо за ответы. Сделал все, что сказали. Сейчас на неисправном компе работает Cure IT, уже более часа, на 35-40% замедлился до скорости 220 кб в сек. К слову сказать - он нашел три инфицированных файла трояном Fakealarm что-ли. Как только закончит - сразу же соберу логи и выложу.

toraburu 15-05-2010 17:10 1413919
Ответ по файлу карантина:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

sdra64.exe - Trojan.Win32.VB.aech

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

toraburu 15-05-2010 17:47 1413935
Вложений: 1
Выкладываю последние логи:

thyrex 15-05-2010 22:20 1414116
Плохого не видно

Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE

Drongo 15-05-2010 22:57 1414154
toraburu, Если проблем нет, отмечайте тему решённой - Отметить решенной

toraburu 16-05-2010 12:27 1414409
Единственное, что до сих пор не работает - NOD32. При попытке запустить его вылезает сообщение, что программа не может быть открыта из-за политики ограничений в использовании программного обеспечения. Предлагает обратиться к системному администратору или открыть "Просмотр событий". Это ведь не нормально?

Drongo 16-05-2010 12:48 1414425
toraburu, Переустановить NOD пробовали?

thyrex 16-05-2010 13:11 1414437
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.

Что с запуском антивируса?

toraburu 16-05-2010 13:44 1414466
Все заработало, большое вам спасибо. Даже не знаю, что еще сказать, друзья. Спасибо!


Время: 21:36.

Время: 21:36.
© OSzone.net 2001-