Войти

Показать полную графическую версию : Поймал необычный вирус


microon
18-12-2012, 21:04
Одноклассники и Vk пишут якобы я заблокирован,просят отправить им смс.
Host чист,в процессах ничего не нашел, еще по клику в браузере открывался sex-mambo.***** , avz его удалил
Подозрения на Java скрипт, при заходе на сайт Chrome попросил запустить плагин,я с дуру жмякнул,консолька пробежала и все...
Надеюсь на вашу помощь,а то анонимайзер задрал :)
_____
O_o почему то avz пишет что в хосте есть вирус,а при открытии его не чего нету =\

microon
18-12-2012, 21:27
Хочешь сделать - сделай сам. При редактировании хоста не чего не обнаруживалось,удалил его и все стало хорошо, кто может объяснить почему в нем не было того,что нашел avz ? )
SexMambo не пропал,все еще сидит,жду вашу помощь :)

Ау,помогите при клике по страничка выскакивает сайт SexMambo ... !((

iskander-k
19-12-2012, 01:48
Временно отключите:
Антивирус/Файерволл

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\tasks\At1.job','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PielCrypt.exe','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat (1).exe','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat.exe','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonatWH.exe','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\result.exe','');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PielCrypt.exe');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat (1).exe');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat.exe');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonatWH.exe');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\result.exe');
DeleteFile('C:\Windows\tasks\At1.job');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\40f0ef6a191f93437f7b');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

microon
19-12-2012, 16:28
Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000
www.malwarebytes.org

Версия базы данных: v2012.12.19.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Эдуард :: ЭДУАРД-ПК [администратор]

Защитный модуль : Включен

19.12.2012 15:14:36
mbam-log-2012-12-19 (17-59-41).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 763386
Времени прошло: 2 часов , 13 минут , 38 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 2
HKCU\Software\((Mutex)) (Backdoor.Agent) -> Действие не было предпринято.
HKCU\Software\Topckit (PUP.Topckit) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 25
C:\Program Files (x86)\ICCup\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.
C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Эдуард\AppData\Roaming\uTorrent\Sandboxie 3.60\Old Version 3.46\Sandboxie 3.46 Keygen [x86-x64].exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Эдуард\Downloads\Connectify Pro 3.4.0.23678\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\Эдуард\Downloads\IEInspector HTTP Analyzer Full Edition v6.1.1.313\KeyMaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Windows\DVD-Cripter.exe (HackTool.BNCrypt.Gen) -> Действие не было предпринято.
C:\Windows\pss\PielCrypt.exe.Startup (Trojan.Backdoor) -> Действие не было предпринято.
C:\Windows\pss\PizDonatWH.exe.Startup (Trojan.Backdoor) -> Действие не было предпринято.
D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe (Adware.Agent) -> Действие не было предпринято.
D:\_antmic\avz4\Infected\2012-12-18\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\aikabot\AikAx.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\Crack\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\hack\botnet\Zeus_\Zeus scripts\Builder 1.2.7.19\zsb.exe (Trojan.Banker) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\hack\Дедики\vnc.exe (HackTool.Agent) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\hack\Дедики\сканер.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\hack\Дедики\DUBrute_2.1\DUBrute.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\Программы\UFR.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\Программы\vk bot\VkBot.exe (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\Программы\Сервера\DUBrute_2.1\DUBrute.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Desktop\Программы\Сервера\VNC SCANNER GUI\vnc.exe (HackTool.Agent) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Downloads\Autodesk Maya 2012 x32 x64 ISO\activation\x-force_2012_x32.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Downloads\Autodesk Maya 2012 x32 x64 ISO\activation\x-force_2012_x64.exe (Trojan.Agent.ck) -> Действие не было предпринято.
D:\Пользователи\Эдуард\Downloads\Crack\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg (Malware.Trace) -> Действие не было предпринято.
C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat (Malware.Trace) -> Действие не было предпринято.

(конец)

alex_sev
19-12-2012, 16:54
Карантин-то пришлите!!!

Затем:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\pss\PielCrypt.exe.Startup','');
QuarantineFile('C:\Windows\pss\PizDonatWH.exe.Startup','');
QuarantineFile('D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg','');
QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat','');
QuarantineFile('C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f','');
DeleteFile('C:\Windows\pss\PielCrypt.exe.Startup');
DeleteFile('C:\Windows\pss\PizDonatWH.exe.Startup');
DeleteFile('D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg');
DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat');
DeleteFile('C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\((Mutex))');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Topckit');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ServerEncryptado.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^result.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonatWH.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonat.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonat (1).exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PielCrypt.exe');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

microon
19-12-2012, 17:23
Я послал через форму карантин.

alex_sev
19-12-2012, 17:25
Продублируйте на почту

microon
19-12-2012, 17:34
Отправил,щяс прикреплю логи

alex_sev
19-12-2012, 21:17
Прокси сами настраивали:

202.104.128.53:80

microon
19-12-2012, 21:28
в хроме указан,но он не активен

alex_sev
19-12-2012, 21:29
В IE тоже указан, так сами или чужак?

microon
19-12-2012, 21:39
настройки сети для всех браузеров одинаковы, сам ставил :)

alex_sev
19-12-2012, 21:45
Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

microon
20-12-2012, 12:19
WebSite: www.safezone.cc
DataLog 20.12.2012 15:19:01
Program directory: C:\Users\Эдуард\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lan:0419
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-18 12:32:02
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky CRYSTAL
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky CRYSTAL
-------------AntiSpyware_WMI----------------------
Kaspersky CRYSTAL
Windows Defender
-------------AntiVirusFirewallInstall-------------
AVG Security Toolbar v.13.2.0.5
Kaspersky CRYSTAL v.12.0.1.288
Kaspersky Security Scan v.12.0.1.117
-------------OtherUtilities-----------------------
CCleaner v.3.19
TuneUp Utilities 2013 v.13.0.2020.115
-------------Java---------------------------------
JavaFX 2.1.1 (64-bit) v.2.1.1 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
JavaFX 2.1.1 SDK (64-bit) v.2.1.1 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/1880261)
^Скачайте jre-7u10-windows-x64.exe^
Java SE Development Kit 7 Update 5 (64-bit) v.1.7.0.50 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html)
^Удалите старую версию и установите новую (jdk-7u10-windows-x64.exe)^
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/1880261)
^Скачайте jre-7u10-windows-i586.exe^
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
QuickTime v.7.73.80.64
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Mozilla Firefox 14.0.1 (x86 ru) v.14.0.1 Внимание! Скачать обновления (http://www.mozilla.org/ru/firefox/fx)
Opera 12.02 v.12.02.1578 Внимание! Скачать обновления (http://www.opera.com/browser/)
-------------RunningProcess-----------------------
C:\Users\Эдуард\AppData\Local\Google\Chrome\Application\chrome.exe v.23.0.1271.97
-------------EndLog-------------------------------

alex_sev
20-12-2012, 13:06
Обновляйтесь, ссылки в Вашем посте




© OSzone.net 2001-2012