Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Порно-информер IE7 Vista (http://forum.oszone.net/showthread.php?t=136830)

roteiro 05-04-2009 02:55 1084471
Порно-информер IE7 Vista
 
все по инструкции

thyrex 05-04-2009 11:59 1084599
На время выполнения скрипта отключить защитное ПО (анивирус, файрволл). Включите брандмауэр Windows
Отключите автозапуск со сменных носителей

Выполните скрипт в AVZ (запустив AVZ от имени администратора)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\ldglib.dll','');
 QuarantineFile('C:\ProgramData\crtlib.dll','');
 QuarantineFile('C:\ProgramData\mpnlib.dll','');
 DeleteFile('C:\ProgramData\mpnlib.dll');
 DeleteFile('C:\ProgramData\crtlib.dll');
 DeleteFile('C:\ProgramData\ldglib.dll');
DelBHO('{A449340F-A80D-49BD-A931-45AC4DB33881}');
 DelBHO('{66AA753B-1593-432D-997F-FF965F38D507}');
 DelBHO('{3DD96B8E-968D-41B2-A41D-AD076B077548}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by, указав в теле письма ссылку на тему

Повторите логи

roteiro 05-04-2009 12:21 1084623
отправил

thyrex 05-04-2009 12:34 1084632
C:\ProgramData\mpnlib.dll - Trojan-Ransom.Win32.HexZone.aio (сработал мой KIS2009)
Больше ничего в карантин не попало

Ждем повторные логи

roteiro 05-04-2009 15:06 1084723
в IE стало все норм. теперь при повторном сканировании в AVZ стандарнтный 3 скрипт вываливается после минут 5 проверки в синий экран ошибка вроде 0х00.....7F

Pili 06-04-2009 18:04 1085900
roteiro, Если 3-ий скрипт не выполняется, сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis
Что с проблемой?

roteiro 07-04-2009 11:12 1086584
Вложений: 1
Проблема решилась

Pili 07-04-2009 12:18 1086646
roteiro, CrackTcpip.sys - сами ставили?
C:\Windows\system32\Drivers\CrackTcpip.sys - Rootkit.Win32.Tiny.ap - http://www.virustotal.com/analisis/b...12795d892470b4
Вы с помощью AVPTool проверяли систему? (в правилах есть) Если не проверялись - рекомендую.
У вас DrWeb, он этот зловред не знает, поэтому можете запаковать с паролем virus и отправить в в вирлаб DrWeb
то же самое с C:\Windows\System32\drivers\royal.sys - http://www.virustotal.com/analisis/8...c8369100ab9f52
C:\Windows\System32\Drivers\stremu.SYS - http://www.virustotal.com/analisis/d...8a03bcb833208b - возможно фолс, требуется проверка в вирлабе
Можете выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\Drivers\stremu.SYS','');
 QuarantineFile('C:\Program Files\ArtMoney\artmoney.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ScreamingBAudio.sys','');
 QuarantineFile('C:\Windows\System32\drivers\royal.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\CrackTcpip.sys','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте в вирлаб DrWeb и дополнительно можете отправить на newvirus@kaspersky.com, ответ сообщите.
artmoney.sys и ScreamingBAudio.sys можете сами проверить на virustatal.com
Можете, после карантина, удалить скриптом или дождаться ответа вирлаба, обновить базы и проверить систему, возможно драйвер tcpip придется вернуть оригинальный (если сами заменяли).
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('CrackTcpip');
 DeleteFile('C:\Windows\system32\Drivers\CrackTcpip.sys');
 DeleteFile('C:\Windows\System32\drivers\royal.sys');
 DeleteService('OemBiosDevice');
 DeleteService('CrackTcpip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('OemBiosDevice');
 BC_DeleteSvc('CrackTcpip');
BC_Activate;
RebootWindows(true);
end.
Рекомендую обновить Adobe Acrobat. Также иожете пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, далее обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip, 2-ой стандартный скрипт AVZ
Выложите также результаты проверки архива безопасных, дополнительно см. здесь

roteiro 07-04-2009 13:56 1086742
CrackTcpip.sys сам ставил

Результаты обработки
Архив 090407_131218_virusinfo_files_ALEXSANDR_49db18f2a9 365.zip, загружен 07.04.2009 13:30:17, размер 23486698 байт
Всего файлов: 22 (исполняемых 22), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 11
обычный приоритет: 10

Pili 07-04-2009 15:23 1086850
roteiro, сигнатура безопасных вероятно ещё не успела попасть в базу, судя по логам.
C:\Windows\system32\Drivers\stremu.sys
C:\Windows\system32\drivers\ScreamingBAudio.sys
C:\Program Files\ArtMoney\artmoney.sys
Что ответил вирлаб по этим файлам?


Время: 16:15.

Время: 16:15.
© OSzone.net 2001-