Фишинг

[Мирный Атом]

Народ!У меня был фишинговые сайты (вконтакте,касперский и т.д.)Я выполнил скрипт в avz очистки файла hosts вроде пока норм.Единственная проблема-при запуске дистпетчера задач выходит сообщение,что дистпетчер задач отключен администратором.До этого KIS поймал вирус на загрузке-вышло,что заблокирован.Логи выкладываю.

 

 

 

[EAlekseev]

Сообщение от модератора thyrex

Не поможет. Т.к. редактор реестра тоже заблокирован

 

Народ!У меня был фишинговые сайты (вконтакте,касперский и т.д.)Я выполнил скрипт в avz очистки файла hosts вроде пока норм.Единственная проблема-при запуске дистпетчера задач выходит сообщение,что дистпетчер задач отключен администратором.

Включить Task Manager не проблема. Запустите regedit. Откройте

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"

и присвойте ключу "DisableTaskMgr" значение 0.

Можете на всякий случай еще посмотреть

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System"

на наличие того же ключа.

 

Ну а для успокоения я ещё проверил бы компьютер утилитой CureIT от DrWeb. Двойная проверка никогда не помешает тем более после факта заражения.

[thyrex]

1. Сами блокировали?

>> Ограничение отображения дисков в проводнике

2. Пофиксите в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\winlogon.exe
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

3. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

4. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

5. Сделайте новые логи

[Мирный Атом]

1.Нет,это результат действия вредоноснй программы

2.Выполнено

3.

DeleteFile('C:\WINDOWS\system32\drivers\winlogon.exe');

Все-таки системный файл вы уверены,что его нужно удалить?(пока выполнил скрипт без удаления системного файла)

4.Выполнил

5.Сделал

 

 

Изменено 12 декабря, 2009 пользователем vaga7777

[snifer67]

Все-таки системный файл вы уверены,что его нужно удалить?

Посмотрите в какой этот "системный" файл находится ?

[Мирный Атом]

Посмотрите в какой этот "системный" файл находится ?

Этот ситемный файл находится в D:\WINDOWS\system32\drivers\winlogon.exe

[snifer67]

Выполняйте срипт из поста №3.

[Мирный Атом]

А что это а файл такой?

P.S. в википедии нашел:"Winlogon — компонент операционной системы Microsoft Windows, отвечающий за вход в систему. и т.д."Сразу вопрос:Я должен удалить компонент ОС?

Изменено 12 декабря, 2009 пользователем vaga7777

[Jen94]

vaga7777,

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.

Securitylab

[Мирный Атом]

Скрипты выполнены

 

Пришел ответ с newvirus@kaspersky.com:

 

Здравствуйте,

 

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

 

Trojan-Ransom.Win32.VB.byС уважением,Вирусный аналитик

[Mark D. Pearlstone]

Скрипты выполнены

Вы забыли:

5. Сделайте новые логи

Изменено 12 декабря, 2009 пользователем Mark D. Pearlstone

[Мирный Атом]

Вы забыли:

Читай пост №4

[snifer67]

В логах все впорядке.

 

Удалите TuneUp Utilities

[Мирный Атом]

Удалите TuneUp Utilities

А почему?

[thyrex]

Потому что пользы от них практически никакой