Jump to content
СофтФорум - всё о компьютерах и не только
Sign in to follow this  
andrei_777.87

Вымогание отправки СМС

Recommended Posts

Сделайте логи полиморфным AVZ (ссылка на него в моей подписи)

Share this post


Link to post
Share on other sites

полиморфным AVZ три раза пытался скачать загрузка на месте стоит. Мне кто-нибуть может обьяснить что это за ерунда?

Share this post


Link to post
Share on other sites

Только что проверил. Все качается.

Переходите по ссылке. Файл называется linux.exe

Правой кнопкой по нему щелкаете и выбираете Сохранить объект как (в зависимости от браузера эта строчка может иметь другой вид)

Share this post


Link to post
Share on other sites

Я пробовал как ты говоришь в Опере и Explorer загрузка не шла. Получилось только через Mozilla Firefox.У меня такие фишки уже 3дня. Не открываются сайты где ссылки на антивирус и антиспам.

Логи:virusinfo_syscheck.zip и virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Share this post


Link to post
Share on other sites

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверьте на virustotal Ссылку на результат проверки сообщите

Если новые логи RSIT не делаете, то не выкладывайте, пожалуйста, старые (они у Вас от 14.05)

Share this post


Link to post
Share on other sites

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверил говорит что файл не найден. Я каждый раз делаю повторные логи как в инструкции, почему не сохраняется в RSIT я не знаю.А папке лог всё сохраняется.Вот и сейчас сделал повторные логи virusinfo_syscheck.zip и virusinfo_syscure.zip, а в RSIT ни чего не сохранилось.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Share this post


Link to post
Share on other sites

Скачайте GMER и сохраните лог.

После этого найдите вкладку со стрелочкой и выберите вкладку Files. Попытайтесь скопировать

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll
и другие "файл не найден" Edited by Loader

Share this post


Link to post
Share on other sites

Пока оставим в покое gmer.

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll','');DeleteFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll');DelBHO('{4FF29A02-B1D7-7AB6-E0BD-2B73F4A86773}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Дополнительно quarantine.zip отправьте на thyrex2002@tut.by В письме укажите ссылку на тему

Share this post


Link to post
Share on other sites

Всё по старому.Если страницы не доканца загружать то по сайтам можно лазить. Скажите если я винду переустановлю я попращаюсь с этой гадостью. А востановление на дисках включить или пускай пока так?

Вот и сейчас сервер не отвечает не могу отправить сообщение.

Share this post


Link to post
Share on other sites

Давайте еще раз логи полиморфного AVZ

И лог gmer, сделанный по такой инструкции.

Запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Share this post


Link to post
Share on other sites

А востановление на дисках включить или пускай пока так?

Для проведения успешного лечения немаловажную роль играет отключение восстановления системы которая "консервирует" всех зловредов живущих в Вашей системе и как следствие возникает риск повторного заражения.

http://www.softboard.ru/index.php?showtopic=52115

1. Отключите восстановление системы (Приложение 1).

http://www.softboard.ru/index.php?showtopic=51343

Share this post


Link to post
Share on other sites

полиморфный AVZ опять ни чего не сохранил в папке RSIT, только в ЛОГ virusinfo_syscheck.zip и virusinfo_syscure.zip. Может логи в полиморфном AVZ не так как в обычном AVZ делаются?

Gmer при запуке отсканировал и там по умолчанию стояла галачка на диске С.Я убирал, снова ставил а кнопка скан не хотела нажиматься.Сохранил только такой лог _2.log

Вот сейчас пишу сообщение, на весь экран голая баба мигает, ни чего из-за неё не видно.

virusinfo_syscheck.zip

virusinfo_syscure.zip

_2.log

Share this post


Link to post
Share on other sites

C:\Program Files\Google\googletoolbar1.dll проверьте на virustotal Ссылку на результат проверки сообщите

Логи log.txt, info.txt получаются в результате работы программы RSIT, а не после AVZ

Share this post


Link to post
Share on other sites

Спосибо за подсказку info.txt иlog.txt.

-squared 4.0.0.101 2009.05.16 -

AhnLab-V3 5.0.0.2 2009.05.16 -

AntiVir 7.9.0.168 2009.05.15 -

Antiy-AVL 2.0.3.1 2009.05.15 -

Authentium 5.1.2.4 2009.05.16 -

Avast 4.8.1335.0 2009.05.15 -

AVG 8.5.0.336 2009.05.15 Adload_r.GM

BitDefender 7.2 2009.05.16 -

CAT-QuickHeal 10.00 2009.05.15 -

ClamAV 0.94.1 2009.05.16 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.16 -

eSafe 7.0.17.0 2009.05.14 -

eTrust-Vet 31.6.6508 2009.05.16 -

F-Prot 4.4.4.56 2009.05.16 -

F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.PolyBrow.cp

Fortinet 3.117.0.0 2009.05.16 -

GData 19 2009.05.16 -

Ikarus T3.1.1.49.0 2009.05.16 -

K7AntiVirus 7.10.737 2009.05.16 -

Kaspersky 7.0.0.125 2009.05.16 not-a-virus:AdWare.Win32.PolyBrow.cp

McAfee 5616 2009.05.15 -

McAfee+Artemis 5616 2009.05.15 -

McAfee-GW-Edition 6.7.6 2009.05.15 -

Microsoft 1.4602 2009.05.16 Adware:Win32/Fakegoog

NOD32 4080 2009.05.15 -

Norman 6.01.05 2009.05.16 -

nProtect 2009.1.8.0 2009.05.16 -

Panda 10.0.0.14 2009.05.16 -

PCTools 4.4.2.0 2009.05.16 -

Prevx 3.0 2009.05.16 -

Rising 21.29.52.00 2009.05.16 -

Sophos 4.41.0 2009.05.16 -

Sunbelt 3.2.1858.2 2009.05.16 -

Symantec 1.4.4.12 2009.05.16 -

TheHacker 6.3.4.1.326 2009.05.15 -

TrendMicro 8.950.0.1092 2009.05.15 Cryp_Naix-6

VBA32 3.12.10.5 2009.05.16 -

ViRobot 2009.5.15.1737 2009.05.15 -

VirusBuster 4.6.5.0 2009.05.16 -

Дополнительная информация

File size: 57344 bytes

MD5...: f90d40c8372ccb6ceeff1833b915c142

SHA1..: 40fef6eacae181e15a2e84674d287057f6d89e99

SHA256: af44eb185197f1a2f927d5c1c2699d8ae8f3118be36cf676f3b51cfea1ceac44

SHA512: 54490cc728d4c6af61d400ba50346bb4cddb0d250bef66336e7adf1cc3142fd7

27e00eba23b113bc3319c482eb182e744500db723033f471d063123251ededdc

ssdeep: 768:Ofu5e4bZYh7gRdhh2d+LScRwR+Gjr+V6T7mgOEszjZ5xpd75Et7:O25ebh7g

RX0GSc0Jjr+y71szjZ5xpQF

PEiD..: -

TrID..: File type identification

DirectShow filter (46.7%)

Windows OCX File (28.6%)

Win64 Executable Generic (19.8%)

Win32 Executable Generic (1.9%)

Win32 Dynamic Link Library (generic) (1.7%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x8af0

timedatestamp.....: 0x49f85a01 (Wed Apr 29 13:45:37 2009)

machinetype.......: 0x14c (I386)

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x7d50 0x8000 5.90 9a30f91b59fff9f6c01195672621c3fd

.rdata 0x9000 0xd4d 0x1000 4.75 2c537801083c7c1421b89ebfa1132a8c

.data 0xa000 0x15d5 0x2000 4.58 55bb7365a7f26a7adeeb2cd5fddf8efd

.rsrc 0xc000 0xe80 0x1000 4.04 8202bdb603391390198a739886dd1cc8

.reloc 0xd000 0x964 0x1000 4.47 391cf7ece77a7cad90fd68dbce7461f5

( 7 imports )

> KERNEL32.dll: GetTempFileNameA, lstrcmpA, ReadFile, SetFilePointer, GetFileSize, SystemTimeToFileTime, GetSystemTime, SetFileTime, Process32Next, TerminateProcess, OpenProcess, lstrcmpiA, Module32First, Process32First, CreateToolhelp32Snapshot, GetLocaleInfoA, GetVersionExA, GetVolumeInformationA, GetDriveTypeA, GetLogicalDriveStringsA, CreateDirectoryA, FindClose, FindNextFileA, WritePrivateProfileStringA, FindFirstFileA, RemoveDirectoryA, CopyFileA, GetModuleFileNameA, GetCurrentProcessId, ReleaseMutex, GetLastError, CreateMutexA, FreeLibrary, GetProcAddress, LoadLibraryA, GetModuleHandleA, WaitForSingleObject, CreateEventA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, DisableThreadLibraryCalls, CreateThread, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, HeapAlloc, GetSystemInfo, HeapCreate, InterlockedIncrement, InterlockedDecrement, DebugBreak, HeapReAlloc, HeapFree, GetWindowsDirectoryA, lstrcatA, GetSystemDirectoryA, ExpandEnvironmentStringsA, GetTempPathA, DeleteFileA, GlobalAlloc, CreateFileA, WriteFile, CloseHandle, GlobalFree, lstrcpynA, lstrcpyA, SetFileAttributesA, lstrlenA

> USER32.dll: GetTopWindow, GetWindowThreadProcessId, GetWindow, IsWindowVisible

> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyA, RegCloseKey

> SHELL32.dll: StrStrA, ShellExecuteA, StrRChrA, StrStrIA

> OLEAUT32.dll: -, -, -, -, -

> ATL.DLL: -, -, -, -, -, -, -, -, -, -

> MSVCRT.dll: _itoa, strchr, strlen, atoi, abs, rand, memcmp, memcpy, time, srand, _ftol, memset

( 8 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, calloc, free, malloc, realloc

PDFiD.: -

RDS...: NSRL Reference Data Set

Сайт был закрыт черной пеленой и висело окно для отправки смс.

info.txt

log.txt

Share this post


Link to post
Share on other sites

Выполните скрипт в AVZ

 beginDelBHO('{63E87A89-B91E-718F-FDE1-E17BF68761D2}');DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');RebootWindows(true);end. 

Компьютер перезагрузится.

Изменилось ли что-нибудь после выполнения скрипта?

Share this post


Link to post
Share on other sites

Выполните скрипт в AVZ

 beginDelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');RebootWindows(true);end. 

Компьютер перезагрузится.

Еще поищите файлы типа *lib.dll (например, jgnlib.dll) где-нибудь в папке Local Settings

Если проблема не исчезла, еще раз сделайте логи полиморфного AVZ с включенным AVZPM (выбрать первую строчку в соответствующем меню программы), а также логи RSIT

Share this post


Link to post
Share on other sites

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Share this post


Link to post
Share on other sites

Вот что получилось:

Malwarebytes' Anti-Malware 1.36

Версия базы данных: 1945

Windows 5.1.2600 Service Pack 3

17.05.2009 1:55:02

mbam-log-2009-05-17 (01-55-02).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 208698

Прошло времени: 1 hour(s), 7 minute(s), 42 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 7

Заражено значений реестра: 0

Заражено параметров реестра: 1

Заражено папок: 1

Заражено файлов: 5

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:

C:\Documents and Settings\user\Local Settings\Temp\Rar$EX00.453\setup.exe (Adware.SnappyAds) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\UY2IDQXD\2-setup3[1].exe (Adware.SnappyAds) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ (Trojan.Downloader) -> Delete on reboot.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...