троян вымогатель3
#1
Отправлено 29 Май 2009 - 00:00
вылезло окно типа "Ваш комп заражен....Ля..ля..ля..Отошлите смс...И наши спецы починят машину"(Учитесь по смс вири лечить )
диспетчер недоступен был, ниче недоступно было
выловил я это чудо(portmap.exe), удалил из автозагрузки
вылечил диспетчер задач
теперь самое интересное
комп включился
последствия:
не реагирует regedit(пробовал лечить HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System)
др.веб вроде в процессах висит, в трее не отображается
хайджек запустить не удалось
filemon тоже
и че-то много процессов svchost штук 6, и оперативы жрут по 50-80мб (2гб ОП)
rkulogs.rar 4,86К 207 Скачано раз
gmerlog.rar 4,47К 140 Скачано раз
надеюсь на вашу помощь
да и еще куреит поймал свхост один, удалил
#2
Отправлено 29 Май 2009 - 12:10
нужен лог сканера drweb по правилам
#3
Отправлено 29 Май 2009 - 14:15
#4
Отправлено 29 Май 2009 - 14:15
по правилам раздела
#6
Отправлено 29 Май 2009 - 21:30
Переименуйте его.хайджек запустить не удалось
Отошлите в вирлаб эти файлы:
G:\WINDOWS\system32\lowsec
G:\WINDOWS\system32\lowsec\local.ds
G:\WINDOWS\system32\lowsec\user.ds
G:\WINDOWS\system32\lowsec\user.ds.lll
G:\WINDOWS\system32\sdra64.exe
И portmap.exe, если остался...
#7
Отправлено 29 Май 2009 - 22:55
лог хайджека
hijackthis.rar 3,95К 133 Скачано раз
добавил файл
G:\WINDOWS\system32\userinit.exe
portmap.exe не сохранился =(
drweb.com #898648
#8
Отправлено 29 Май 2009 - 23:14
"Dr.Web Scanner for Windows v5.00.3 (5.00.3.03113)" - почему такой древний?вот лог
O4 - HKLM\..\RunOnce: [DrWebScanner] G:\Program Files\DrWeb\drweb32w.exe /full
Вы только что проинсталлили 5.0 и еще ни разу не обновлялись, что ли?
Пофиксите в Хайджеке и проверьте, не появляется запись снова:
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,
Проверьте на ВирусТотале:
C:\Pascl.exe
G:\WINDOWS\System32\appdrvrem01.exe
G:\WINDOWS\system32\GameMon.des.exe
G:\WINDOWS\services.exe
G:\WINDOWS\system32\mmbank.exe
G:\WINDOWS\system32\urlmon.exe
Борис А. Чертенко aka Borka.
#9
Отправлено 29 Май 2009 - 23:17
pascl.exe эт хайджек =) я так переименовал
#10
Отправлено 29 Май 2009 - 23:17
Этот не должен быть опаснымG:\WINDOWS\system32\userinit.exe
Пофиксите в хайджеке
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,
Проверьте на VirusTotal
G:\WINDOWS\system32\drivers\Dyncal.sys
G:\WINDOWS\system32\Bubbles.scr
G:\WINDOWS\system32\drmupgds.exe
Дополнительно отправьте в вирлаб:
G:\WINDOWS\system32\advapi32t.dll
G:\WINDOWS\system32\mmbank.exe
#11
Отправлено 29 Май 2009 - 23:40
[drweb.com #898665]
Файл mmbank.exe получен 2009.05.29 20:57:32 (UTC)
Результат: 17/40 (42.5%)
http://www.virustotal.com/ru/analisis/0019...8121-1243630652
GameMon.des.exe 8/40
http://www.virustotal.com/ru/analisis/8c03...f435-1243529286
Файл services.exe получен 2009.05.29 20:51:24 (UTC)
Результат: 12/40 (30%)
http://www.virustotal.com/ru/analisis/e013...4fb6-1243630284
Файл urlmon.exe получен 2009.05.29 20:49:43 (UTC)
Результат: 14/38 (36.85%)
http://www.virustotal.com/ru/analisis/4d4b...d608-1243630183
Файл Bubbles.scr получен 2009.05.29 20:55:15 (UTC)
Результат: 1/40 (2.5%)
http://www.virustotal.com/ru/analisis/8cf1...3beb-1243630515
Файл advapi32.dll получен 2009.05.29 20:58:53 (UTC)
Результат: 0/40 (0%)
http://www.virustotal.com/ru/analisis/d574...dbe5-1243630733
#12
Отправлено 29 Май 2009 - 23:42
Плохо. Значит, активнй, гад.фикшу, хайджик опять эту строку выводит
В вирлаб его: http://vms.drweb.com/sendvirus Номер тикета - сюда.mmbank.exe 10/40
http://www.virustotal.com/ru/analisis/0019...8121-1243509649
Борис А. Чертенко aka Borka.
#13
Отправлено 30 Май 2009 - 00:02
там не 10 а 17 нашли =(
#14
Отправлено 30 Май 2009 - 00:16
там не 10 а 17 нашли =(
Хм, но ДрВеб его тоже нашел, судя по ссылке
#15
Отправлено 30 Май 2009 - 00:21
Да, но "2009.05.29 20:57:32 (UTC)" - это всего пару часов назад.Хм, но ДрВеб его тоже нашел, судя по ссылкетам не 10 а 17 нашли =(
Борис А. Чертенко aka Borka.
#16
Отправлено 30 Май 2009 - 00:26
#17
Отправлено 30 Май 2009 - 00:27
А что говорит ВирусТотал проdrweb.com #898665
там не 10 а 17 нашли =(
G:\WINDOWS\system32\sdra64.exe
?
Борис А. Чертенко aka Borka.
#18
Отправлено 30 Май 2009 - 00:32
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583
#19
Отправлено 30 Май 2009 - 00:35
Есть возможность загрузиться с внешнего носителя (LiveCD, BartPE, WinPE)?Файл sdra64.exe получен 2009.05.29 21:29:43 (UTC)
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583
Борис А. Чертенко aka Borka.
#20
Отправлено 30 Май 2009 - 00:37
даже livecd ubuntu есть ;D
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых