Помогите справиться с вирусом

[ANASTASIKUS]

Помогите справиться с вирусом

может кто сталкивался с такой проблемой. сама по себе на фоне страницы сайта появляется рекламная заставка порнографического характера, антивирус выявил рекламное ПО Generic 5.sxx, я его удалил но проблема осталась, и антивирус ничего больше не определяет.в инете вируса с таким названием не нашёл. может кто поможет, как выловить эту заразу.

 

[safety]

добавьте образ автозапуска в следующее ваше сообщение как вложенный файл http://www.tehnari.ru/f150/t81269/ если не получится из нормального режима системы сделать, сделайте из безопасного режима системы.

 

[Kashtan]

Баннер на windows 7 как на картинке, в заглавном сообщении

Баннер о блокировании windows 7 такой же как и на картинке, только номер телефона другой, добавляю сюда образ автозапуска...
или создать новую тему?

 

[akok]

Николай_С, вы чего это так возбудились? Нормальная утилита для анализа системы. Анализ прост и ясен.
HiJackThis - устарел безнадежно и в чистом виде уже года 2 не используется.


Выполните скрипт UVS и пришлите карантин

;uVS v3.77.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg

; C:\USERS\АЛЕКСЕЙ\8859592.EXE
addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412

zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
bl 85EE5579991B32AA91146EA7A43DC273 93184
; zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
; C:\SYSTEMHOST\24FC2AE30E1.EXE
addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 Дрянь

zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
bl CC4BD35FF01204C77ABF3F569C83B3A9 286720
; zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE

deltmp
chklst
delvir
czoo
restart

После выполнения скрипта компьютер перезагрузится.

 

[Kashtan]

Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?

 

[ANASTASIKUS]

Помогите справиться с вирусом

~safety, благодарю что откликнулся, вот копия автозапуска

 

[safety]

1. просьба к администраторам раздела удалить сообщения из темы не по делу.

ANASTASIKUS
2.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
setdns Подключение по локальной сети\4\{2A50B391-4FD3-41AF-B418-84971189DCE7}\
delref HTTP://WEBALTA.RU/SEARCH
delref %Sys32%\DRIVERS\81853245.SYS
delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\25986~1.67\{C16C1~1\BROWSE~1.DLL
delref HTTP://SEARCH.BABYLON.COM/?AFFID=109220&TT=111212_NOKW_5012_8&BABSRC=NT_SS&MNTRID=A409EB270000000000006CF04913CD2C
deltmp
delnfr
exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}
exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.8.4.9\GUNINSTALLER.EXE" -UPRTC -KEY "BABYLONTOOLBAR"
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в малваребайт
http://www.tehnari.ru/f150/t81927/

 

[safety]

Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?

не все хорошо,
остались задачи с подменой hosts

выполните данный скрипт еще раз (что-то уже было удалено в первом скрипте)
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 SpyEye.0128
zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE
addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412 [DrWeb]
zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
chklst
delvir
delref /C
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec "C:\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\UNINS000.EXE"
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в малваребайт
http://www.tehnari.ru/f150/t81927/

 

[safety]

А про программу HiJackThis и подобные что-нибудь слышали?

hj, это вчерашний день.
в данном случае в образе автозапуска помимо трояна-локера в shell еще и SpyEye, который виден в системе только с применением антисплайсинга. поэтому hj в данном случае много чего не увидит.

 

[safety]

вот, кстати, задачи с подменой hosts

Полное имя /C
Имя файла /C
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\206607aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\1345508aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT3.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\2879466aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\TASKS\AT4.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\CD86~1\AppData\Local\Temp\2879466aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT3

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT4

 

[akok]

Kashtan, учтите, что вам удалили:

• MCAFEE SECURITY SCAN
• MAIL.RU агент
• BABYLONTOOLBAR
• YANDEX бар

Что из этого ставили сами?

 

[safety]

если точнее, то

Ask Toolbar,
GuardMail.ru
praetorian
mediaget
MCAFEE SECURITY SCAN
BABYLONTOOLBAR

второй и третий, чтобы не мешали очистке hosts.