Перейти к содержимому


Фото
- - - - -

троян вымогатель3


  • Please log in to reply
64 ответов в этой теме

#1 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 00:00

вчера перезагрузился
вылезло окно типа "Ваш комп заражен....Ля..ля..ля..Отошлите смс...И наши спецы починят машину"(Учитесь по смс вири лечить ;))
диспетчер недоступен был, ниче недоступно было
выловил я это чудо(portmap.exe), удалил из автозагрузки
вылечил диспетчер задач
теперь самое интересное
комп включился
последствия:
не реагирует regedit(пробовал лечить HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System)
др.веб вроде в процессах висит, в трее не отображается
хайджек запустить не удалось
filemon тоже
и че-то много процессов svchost штук 6, и оперативы жрут по 50-80мб (2гб ОП)

Прикрепленный файл  rkulogs.rar   4,86К   207 Скачано раз
Прикрепленный файл  gmerlog.rar   4,47К   140 Скачано раз

надеюсь на вашу помощь

да и еще куреит поймал свхост один, удалил

#2 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 29 Май 2009 - 12:10

TalleR
нужен лог сканера drweb по правилам

#3 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 14:15

быстрый или полный?

#4 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 29 Май 2009 - 14:15

TalleR
по правилам раздела

#5 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 14:52

сори ступил
вот лог
Прикрепленный файл  drw_results.cab   82,15К   150 Скачано раз

#6 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 29 Май 2009 - 21:30

хайджек запустить не удалось

Переименуйте его.

Отошлите в вирлаб эти файлы:
G:\WINDOWS\system32\lowsec
G:\WINDOWS\system32\lowsec\local.ds
G:\WINDOWS\system32\lowsec\user.ds
G:\WINDOWS\system32\lowsec\user.ds.lll
G:\WINDOWS\system32\sdra64.exe

И portmap.exe, если остался...

#7 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 22:55

файлы отправил архивом
лог хайджека
Прикрепленный файл  hijackthis.rar   3,95К   133 Скачано раз

добавил файл
G:\WINDOWS\system32\userinit.exe

portmap.exe не сохранился =(
drweb.com #898648

#8 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 29 Май 2009 - 23:14

вот лог

"Dr.Web Scanner for Windows v5.00.3 (5.00.3.03113)" - почему такой древний?
O4 - HKLM\..\RunOnce: [DrWebScanner] G:\Program Files\DrWeb\drweb32w.exe /full
Вы только что проинсталлили 5.0 и еще ни разу не обновлялись, что ли? ;)

Пофиксите в Хайджеке и проверьте, не появляется запись снова:
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,

Проверьте на ВирусТотале:
C:\Pascl.exe
G:\WINDOWS\System32\appdrvrem01.exe
G:\WINDOWS\system32\GameMon.des.exe
G:\WINDOWS\services.exe
G:\WINDOWS\system32\mmbank.exe
G:\WINDOWS\system32\urlmon.exe
С уважением,
Борис А. Чертенко aka Borka.

#9 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 23:17

он не может обновиться, не запускается обновление

pascl.exe эт хайджек =) я так переименовал

#10 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 29 Май 2009 - 23:17

G:\WINDOWS\system32\userinit.exe

Этот не должен быть опасным ;)

Пофиксите в хайджеке
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,

Проверьте на VirusTotal
G:\WINDOWS\system32\drivers\Dyncal.sys
G:\WINDOWS\system32\Bubbles.scr
G:\WINDOWS\system32\drmupgds.exe

Дополнительно отправьте в вирлаб:
G:\WINDOWS\system32\advapi32t.dll
G:\WINDOWS\system32\mmbank.exe

#11 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 29 Май 2009 - 23:40

фикшу, хайджик опять эту строку выводит
[drweb.com #898665]

Файл mmbank.exe получен 2009.05.29 20:57:32 (UTC)
Результат: 17/40 (42.5%)
http://www.virustotal.com/ru/analisis/0019...8121-1243630652
GameMon.des.exe 8/40
http://www.virustotal.com/ru/analisis/8c03...f435-1243529286
Файл services.exe получен 2009.05.29 20:51:24 (UTC)
Результат: 12/40 (30%)
http://www.virustotal.com/ru/analisis/e013...4fb6-1243630284
Файл urlmon.exe получен 2009.05.29 20:49:43 (UTC)
Результат: 14/38 (36.85%)
http://www.virustotal.com/ru/analisis/4d4b...d608-1243630183
Файл Bubbles.scr получен 2009.05.29 20:55:15 (UTC)
Результат: 1/40 (2.5%)
http://www.virustotal.com/ru/analisis/8cf1...3beb-1243630515
Файл advapi32.dll получен 2009.05.29 20:58:53 (UTC)
Результат: 0/40 (0%)
http://www.virustotal.com/ru/analisis/d574...dbe5-1243630733

#12 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 29 Май 2009 - 23:42

фикшу, хайджик опять эту строку выводит

Плохо. ;) Значит, активнй, гад.

mmbank.exe 10/40
http://www.virustotal.com/ru/analisis/0019...8121-1243509649

В вирлаб его: http://vms.drweb.com/sendvirus Номер тикета - сюда.
С уважением,
Борис А. Чертенко aka Borka.

#13 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 30 Май 2009 - 00:02

drweb.com #898665

там не 10 а 17 нашли =(

#14 sleb

sleb

    Member

  • Posters
  • 159 Сообщений:

Отправлено 30 Май 2009 - 00:16

там не 10 а 17 нашли =(


Хм, но ДрВеб его тоже нашел, судя по ссылке ;)
Some are born to sweet delight, some are born to endless night. © William Blake

#15 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 30 Май 2009 - 00:21

там не 10 а 17 нашли =(

Хм, но ДрВеб его тоже нашел, судя по ссылке ;)

Да, но "2009.05.29 20:57:32 (UTC)" - это всего пару часов назад.
С уважением,
Борис А. Чертенко aka Borka.

#16 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 30 Май 2009 - 00:26

это свежая проверка была! я принудительно по новой проверил

#17 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 30 Май 2009 - 00:27

drweb.com #898665
там не 10 а 17 нашли =(

А что говорит ВирусТотал про
G:\WINDOWS\system32\sdra64.exe
?
С уважением,
Борис А. Чертенко aka Borka.

#18 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 30 Май 2009 - 00:32

Файл sdra64.exe получен 2009.05.29 21:29:43 (UTC)
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583

#19 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 30 Май 2009 - 00:35

Файл sdra64.exe получен 2009.05.29 21:29:43 (UTC)
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583

Есть возможность загрузиться с внешнего носителя (LiveCD, BartPE, WinPE)?
С уважением,
Борис А. Чертенко aka Borka.

#20 TalleR

TalleR

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 30 Май 2009 - 00:37

куча
даже livecd ubuntu есть ;D


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых