Steel Rain Опубликовано 3 января, 2010 Поделиться Опубликовано 3 января, 2010 (изменено) Всем доброго времени суток. С Новым Годом. Клиенты подхватили заразу в виде всплывающего баннера с сообщением о нарушении лицензионного соглашение Dawnload Master и требованием отправить SMS с кодом K705613100 на номер 4460 (для России) или 4171 (для Украины). Предложенные коды активации на сайтах лаборатории Касперского и доктора Веба не подошли. При появлении баннера экран периодически мигает. Щелкает таймер, отмеряет 3 часа, по истечении этого срока баннер пропадает, но работоспособность системы не восстанавливается и после перезагрузки все начинается заново. Пакостит эта дрянь изрядно. Само собой сожрала касперского, заблокировала диспетчер задач, скрытые файлы не отображаются ну стандартный набор в общем. Но кроме этого есть ещё ряд неприятных вещей с которыми я раньше не сталкивался. Вирус блокирует запуск всех исполняемых файлов кроме тех что в каталоге Windows находяться. С большим трудом удалось стартануть AVZ в виде pif файла. Обычная версия со съемного носителя не запускается, а при попытке скопировать на комп удаляются все файлы с расширением .avz. ComboFix не стартует, какой то ещё файлик пробовал запустить gog2 что ли... тоже не срабатывает. Все пробовал переименовывать в iexplore.exe, частично помогло только с avz. Запустился, но ни баз ни скриптов в нем нет, т.к. все *.avz потерты. В autoruns не увидел ничего подозрительного, собственно как и в processxp. Такая же картина в безопасном режиме. Временами при попытке запустить avz или даже открыть папку содержащую его, комп перезагружается или выключается. Собственно такая картина с любым антивирусом. Помогите люди добрые, завтра эта машинка должна работать кровь из носу... Заранее благодарен. P.S. Заметил интересную фишку. Если попробовать вызвать свойства экрана, то баннер пропадает и можно "нормально" работать. hijackthis.log virusinfo_syscure.zip Изменено 3 января, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 3 января, 2010 Поделиться Опубликовано 3 января, 2010 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\lm40xxHF.sys',''); QuarantineFile('C:\WINDOWS\system32\ddmcoe.dll',''); DeleteFile('C:\WINDOWS\system32\ddmcoe.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите логи. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 3 января, 2010 Поделиться Опубликовано 3 января, 2010 + к akoK Пуск - Выполнить - regedit Щелкая по плюсикам, доберитесь в ветку HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\ddmcoe.dll 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 3 января, 2010 Автор Поделиться Опубликовано 3 января, 2010 (изменено) Сейчас подключил хард к другому компу, идет проверка. Обнаружено пока около 300 зараженных объектов 03.01.2010 15:07:45 Удалено троянская программа Trojan-Downloader.Win32.Piker.baq D:\WINDOWS\system32\bxeja.dll - в основном вот это, таких dll-ок туева хуча, начали c a*.dll сейчас до d*.dll дошло и, сдается мне, так по всему алфавиту будет... но ещё попадаются следующие: 03.01.2010 14:52:18 Удалено троянская программа Packed.Win32.Krap.w D:\System Volume Information\_restore{70806F85-BE5E-42F9-8755-E65B1BAF140C}\RP55\A0018348.exe 03.01.2010 14:52:12 Удалено троянская программа Trojan-Downloader.Win32.Piker.azg D:\System Volume Information\_restore{70806F85-BE5E-42F9-8755-E65B1BAF140C}\RP55\A0018347.dll 03.01.2010 14:40:16 Удалено троянская программа Trojan.JS.Redirector.af D:\Documents and Settings\Direktor\Local Settings\Temporary Internet Files\Content.IE5\EVOX6TSN\15509[2].js 03.01.2010 14:32:58 Удалено троянская программа Trojan-Downloader.Win32.Piker.azg D:\Documents and Settings\Direktor\Local Settings\Temp\e.dll после проверки попробую выполнить скрипты Также забыл упомянуть, что вызвать regedit, cmd, msconfig и т.п. вирус не дает. Изменено 3 января, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 3 января, 2010 Поделиться Опубликовано 3 января, 2010 Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 3 января, 2010 Автор Поделиться Опубликовано 3 января, 2010 (изменено) Собственно после проверки харда на другом компе KIS 2010, жизнь наладилась По крайней мере на первый взгляд... Ну пришлось кое что в ручную пофиксить немножко, как то заблокированный диспетчер задач и прочие мелкие пакости с реестром. Благо хоть екзешники стали сразу запускаться без всяких танцев с бубнами. На всякий случай выполнил скрипт предложенный akoK и так же прилагаю новые логи, может быть что то затаилось... Всем огромное спасибо за помощь. hijackthis.log virusinfo_syscheck.zip Изменено 3 января, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 3 января, 2010 Поделиться Опубликовано 3 января, 2010 Найдите и проверьте на www.virustotal.com C:\WINDOWS\system32\smiylg.dll AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\smiylg.dll',''); DeleteFile('C:\WINDOWS\system32\smiylg.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: C:\WINDOWS\system32\smiylg.dll Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 4 января, 2010 Автор Поделиться Опубликовано 4 января, 2010 (изменено) smiylg.dll не нашел к сожалению (хотя, скорее, к счастью ) Скрипты выполнил на всякий случай, но архив получился пустой. В HijackThis пофиксил, выкладываю новые логи. Сейчас поеду машинку ставить на рабочее место, там протестирую по полной что работает\не работает, отпишусь. Спасибо. virusinfo_syscheck.zip hijackthis.log Изменено 4 января, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 4 января, 2010 Поделиться Опубликовано 4 января, 2010 Чисто Установите SP3(может потребоваться активация)+все последующие обновления Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 4 января, 2010 Автор Поделиться Опубликовано 4 января, 2010 Все нормально заработало. Ещё раз всем спасибо за помощь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти