Старое по новому? - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Sadovnik

Старое по новому?

Автор Sadovnik, в Помощь

Recommended Posts

Sadovnik    0

Sadovnik
Опубликовано

Народ! Помогите пожалуйста, ибо силы и терпение на исходе...

Подцепил трояна, как в инет захожу выводит что якобы комп заблокирован за рассылку спама извольте пройти на vkontakte.ru, где уже требует отправить смс c текстом 1629017169 на номер 6681...

Стоял нод32 и ничего не обнаружил... Снёс поставил аваст, тоже ничего не обнаружил.

Просканил Др.Веб'oм cure it!... нашёл полчища троянов, но загвоздка с смской осталась.

Прошарил реестр, чисто!

При повторном сканировании Веб обнаруживает постоянно один и тот же pmtuf.sys и якобы удаляет, но потом опять скан и вновь эта бяка, не удаляемая обычным способом(

Помогите пожалуйста! Я неделю с ним бьюсь(((

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sadovnik    0

Sadovnik
Опубликовано

Я даже по этой ссылке пройти не могу...

Блокируется зараза(

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Black Angel    125

Black Angel
Опубликовано

Sadovnik

А сюда или сюда зайти получается?

При выходе в инет появляется баннер в браузере или блокируется Windows?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kopeicev    94

Kopeicev
Опубликовано

Сделайте логи антивирусной утилиты AVZ (http://z-oleg.com/avz.exe) как показано ниже:

Untitled.gif

На рабочем столе появится папка LOG выложите 2 архива (syscure и syscheck) сюда.

post-7840-1284272436_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sadovnik    0

Sadovnik
Опубликовано
Sadovnik

А сюда или сюда зайти получается?

При выходе в инет появляется баннер в браузере или блокируется Windows?

Первую ссылку блокирует, во второй выдаёт ошибку.

Баннер.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Black Angel    125

Black Angel
Опубликовано

Какой браузер? И сделайте логи, как показано в сообщении № 5.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sadovnik    0

Sadovnik
Опубликовано

Логи сделал, AVZ не помог.

И такая фигатень в 3х браузерах: опере, мозиле и эксплорере.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kopeicev    94

Kopeicev
Опубликовано
Логи сделал, AVZ не помог.

И не должен помочь я вам написал чтобы вы логи выложили сюда, помогать вам буду я на основании логов :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sadovnik    0

Sadovnik
Опубликовано
И не должен помочь я вам написал чтобы вы логи выложили сюда, помогать вам буду я на основании логов :)

Я дико извиняюсь, но хочу напомнить что вы имеете дело с ПОЛНЫМ нубом(((

Как сюда эти логи выложить?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Black Angel    125

Black Angel
Опубликовано

Кнопка "Ответить" (не Быстрый ответ), далее Обзор и Загрузить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sadovnik    0

Sadovnik
Опубликовано

virusinfo_syscure.xml

virusinfo_syscheck.xml

Как то так...

virusinfo_syscheck.xml

virusinfo_syscure.xml

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

akoK    75

akoK
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\gyxrlre.dll','');QuarantineFile('c:\program files\anti-vibrate oscar editor\win32share.dll','');QuarantineFile('c:\windows\system32\3f0ce993.exe','');QuarantineFile('c:\windows\system32\qeiljx.exe','');DeleteFile('c:\windows\system32\gyxrlre.dll');DeleteFile('c:\windows\system32\3f0ce993.exe');DeleteFile('c:\windows\system32\qeiljx.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(13);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@)

Вы правили virusinfo_syscure.xml ?

Создайте новые логи и прикрепите к этой теме.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано

там еще файлы типа

File="C:\WINDOWS\system32\pr2agqwc.exe"

File="C:\WINDOWS\System32\DRIVERS\inspect.sys"

File="C:\WINDOWS\system32\drivers\pe3agqwc.sys"

File="C:\WINDOWS\system32\drivers\ps6agqwc.sys"

File="C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys"

и сервис abp480n5 мне кажется там нужен сначала avptool т.к. cureit видимо не поможет

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
      ---------------------------------------------------------
       5.0
      ---------------------------------------------------------
       o Новый параметр в settings.ini
         [Settings]
         ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
          TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
×