24 ответов в этой теме

[ninulik]

Здравствуйте, уважаемые лекари!
Не так уж давно меня не было. Вот со мной снова приключилась оказия!
На рабочий стол прицепилась панель с порно (в архиве прилагаю ее скрин, может, кто узнает в ней свою проблему тоже).
На сайте Касперского по номеру телефона (5121), указанному на этом баннере, и тексту для отправки смс (1011424), были подобраны коды для удаления этой панели с порно:
сначала код №1: 19452671, затем код №2: 25689372.
Панель удалилась с рабочего стола.
Затем я произвела санирование CureItом, который обнаружил и удалил:
1) hide.dll (Trojan.NtRootKit.1188)
2) A0022544.dll (Trojan.NtRootKit.1188)
Прилагаю в архиве логи. Посмотрите, пожалуйста, какие манипуляции мне еще проделать.

P.S. Интересно, что данная панель с порно пыталась себя защищать - были заблокированы интернет-браузеры. Поэтому выходить на ваш сайт до удаления панели (до ввода кодов) приходилось с другого компа.
Блокировщик, как я понимаю, прятался здесь C:\Program Files\Common Files\SysAware Soft. В этом папке лежали svhost.exe, hide.dll, time.txt (файл, в который записывались минуты нахождения баннера на моем компе), а также ярлыки интернет-браузеров, которые после удаления (ввода кодов) баннера из этой папки переместились, наверное, на свое прежнее место.

Прикрепленные файлы:

•  ________.rar   1,5Мб   56 Скачано раз

[AleksZver]

У друга такой же удалял(по крайней мере картинка почти та жа), ищи в C:/Users(пользователи) файл Systems.exe удалять Unlockerom лучше, в общем я просто сказал где вирус.

[v.martyanov]

C:\DOCUME~1\User\LOCALS~1\Temp\RtkBtMnt.exe
rundll32.exe
Этих в вирлаб.

[userr]

ninulik
1. отключите восстановление системы http://support.microsoft.com/kb/310405/ru
2. сделайте новый лог свежим cureit по правилам !
3. логи делать отключившись от Интернета.

[ninulik]

ninulik
1. отключите восстановление системы http://support.microsoft.com/kb/310405/ru
2. сделайте новый лог свежим cureit по правилам !
3. логи делать отключившись от Интернета.

А по тем логам, что я прикладывала, что?

[ninulik]

Дааа, когда я обращалась за помощью в предыдущий раз, то не успевала читать ответы. Так радовалась отзывчивости...

Прикрепила свежие логи. Pauk, Bora, где же вы, друзья?

Прикрепленные файлы:

•  my_log_31_05_2010.rar   222,22К   34 Скачано раз

[PAUK]

Фиксить в HJ, проверить, что-бы не появился:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe

RkU -старый в шапке есть новый...
Проверьте на VT C:\WINDOWS\System32\Drivers\a6659r73.SYS

Диски h:\ и i:\ - ЭТО что?

+ C:\WINDOWS\system32\Qu1FQb3.exe инфицирован Trojan.PWS.Ibank.18 - удален
МЕНЯЙТЕ пароли... все, что есть. вот Вам и Нортон...

+ курилка старЫй - 1380440 записей, сейчас уже "Записей в вирусной базе: 1383869"
Обновите и заново...

[ninulik]

Фиксить в HJ, проверить, что-бы не появился:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe

RkU -старый в шапке есть новый...
Проверьте на VT C:\WINDOWS\System32\Drivers\a6659r73.SYS

Диски h:\ и i:\ - ЭТО что?

+ C:\WINDOWS\system32\Qu1FQb3.exe инфицирован Trojan.PWS.Ibank.18 - удален
МЕНЯЙТЕ пароли... все, что есть. вот Вам и Нортон...

1) Как это VT C:\WINDOWS\System32\Drivers\a6659r73.SYS проверить?

2) h:\ и i:\ - это внешний жесткий диск и флешка

3) C:\WINDOWS\system32\Qu1FQb3.exe инфицирован Trojan.PWS.Ibank.18 - а что это значит?
Пароли какие? К сайтам? К компу?

[PAUK]

1) Как это VT C:\WINDOWS\System32\Drivers\a6659r73.SYS проверить?

Здесь: http://www.virustotal.com/ru/ + еще C:\WINDOWS\system32\836AC431D2.sys на всякий случай...

2) h:\ и i:\ - это внешний жесткий диск и флешка

Плохо - на них есть файлики h:\autorun.exe и autorun.inf - проверить на VT! и если есть что - отправить в вирлаб! Сюда: http://vms.drweb.com/sendvirus

Пароли какие? К сайтам? К компу?

Ко всему, что помните - читать Trojan.PWS.Ibank

[Driver]

Найти файл a6659r73.SYS и проверить на VT

Пароли все. 

[PAUK]

И сделайте, как в правилах - лог курилки через бат-файл! http://forum.drweb.com/index.php?showtopic=277652

[ninulik]

Файл 836AC431D2.sys получен 2010.05.30 23:58:01 (UTC)
Результат: 0/41 (0%)

Антивирус Версия Обновление Результат a-squared4.5.0.502010.05.10-AhnLab-V32010.05.30.002010.05.29-AntiVir8.2.1.2422010.05.30-Antiy-AVL2.0.3.72010.05.26-Authentium5.2.0.52010.05.29-Avast4.8.1351.02010.05.30-Avast55.0.332.02010.05.30-AVG9.0.0.7872010.05.31-BitDefender7.22010.05.31-CAT-QuickHeal10.002010.05.29-ClamAV0.96.0.3-git2010.05.30-Comodo49592010.05.31-DrWeb5.0.2.033002010.05.31-eSafe7.0.17.02010.05.30-eTrust-Vet35.2.75192010.05.29-F-Prot4.6.0.1032010.05.31-F-Secure9.0.15370.02010.05.30-Fortinet4.1.133.02010.05.30-GData212010.05.31-IkarusT3.1.1.84.02010.05.30-Jiangmin13.0.9002010.05.30-Kaspersky7.0.0.1252010.05.31-McAfee5.400.0.11582010.05.31-McAfee-GW-Edition2010.12010.05.31-Microsoft1.58022010.05.31-NOD3251562010.05.30-Norman6.04.122010.05.30-nProtect2010-05-30.012010.05.30-Panda10.0.2.72010.05.30-PCTools7.0.3.52010.05.31-Prevx3.02010.05.31-Rising22.49.06.042010.05.30-Sophos4.53.02010.05.31-Sunbelt63772010.05.30-Symantec20101.1.0.892010.05.31-TheHacker6.5.2.0.2902010.05.30-TrendMicro9.120.0.10042010.05.30-TrendMicro-HouseCall9.120.0.10042010.05.31-VBA323.12.12.52010.05.29-ViRobot2010.5.20.23262010.05.28-VirusBuster5.0.27.02010.05.30- Дополнительная информация File size: 56 bytesMD5...: 499e4b9fc519ea48973759812cdb0aafSHA1..: 3a5f00246168ce160e5bb6d6b9a87c3bc38ae44cSHA256: 7910734340838b625041e8c98309a6588534c5180171f32c30018f1c44c020b3ssdeep: 3:/lx8p//Lzn:QRzzn
PEiD..: -PEInfo: -RDS...: NSRL Reference Data Set
-trid..: MS Flight Simulator Aircraft Performance Info (100.0%)pdfid.: -sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

a6659r73.SYS на компьютере не нашла.

[Driver]

Надо было просто ссылку на VT дать  Прочтите здесь, тогда и a6659r73.SYS найдётся.

[ninulik]

Надо было просто ссылку на VT дать Прочтите здесь, тогда и a6659r73.SYS найдётся.

Я не поняла, куда данную строчку launch.exe -sp/copy:[полный_путь_к_файлу_списка] надо прописать в CureIT?

[ninulik]

Инфицированный файл отправила...
Вот свежие логи:

Прикрепленные файлы:

•  cureit_results.cab   180,71К   31 Скачано раз
•  my_log_31_05_2010_2.rar   22К   30 Скачано раз

[PAUK]

Поищите и проверьте на VT:
c:\documents and settings\user\local settings\temp\rtkbtmnt.exe
c:\documents and settings\user\local settings\temp\QDT996yn.sys
C:\Documents and Settings\All Users\Application Data\D231C46A83.sys
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\system32\836AC431D2.sys
C:\WINDOWS\System32\Drivers\a6659r73.SYS

+ полезно очистить компьютер от временных файлов

[ninulik]

+ полезно очистить компьютер от временных файлов

постоянно чищу вот этой прогой ATF-Cleaner, как вы еще в прошлый раз посоветовали.

Я не нашла на компе вот этот файл a6659r73.SYS. Это нормально? Или нужно было его искать какими-то другими средствами, а не обычным поиском?

[ninulik]

Получила ответ, что файл H:\autorun.inf не представляет угрозы.

[userr]

ninulik
какие проблемы остались?
Norton AntiVirus на автообновлении?

[ninulik]

Вот этот не нашла c:\documents and settings\user\local settings\temp\QDT996yn.sys на компе