Поймал необычный вирус - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Поймал необычный вирус (http://forum.oszone.net/showthread.php?t=249445)

Поймал необычный вирус

Одноклассники и Vk пишут якобы я заблокирован,просят отправить им смс.
Host чист,в процессах ничего не нашел, еще по клику в браузере открывался sex-mambo.***** , avz его удалил
Подозрения на Java скрипт, при заходе на сайт Chrome попросил запустить плагин,я с дуру жмякнул,консолька пробежала и все...
Надеюсь на вашу помощь,а то анонимайзер задрал :)
_____
O_o почему то avz пишет что в хосте есть вирус,а при открытии его не чего нету =\

Хочешь сделать - сделай сам. При редактировании хоста не чего не обнаруживалось,удалил его и все стало хорошо, кто может объяснить почему в нем не было того,что нашел avz ? )
SexMambo не пропал,все еще сидит,жду вашу помощь :)

Ау,помогите при клике по страничка выскакивает сайт SexMambo ... !((

Временно отключите:
Антивирус/Файерволл

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:



begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Windows\tasks\At1.job','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PielCrypt.exe','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat (1).exe','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat.exe','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonatWH.exe','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\result.exe','');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PielCrypt.exe');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat (1).exe');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonat.exe');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizDonatWH.exe');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\result.exe');

 DeleteFile('C:\Windows\tasks\At1.job');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\40f0ef6a191f93437f7b');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

 ExecuteRepair(13);

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Malwarebytes Anti-Malware

Код:

(Пробная версия) 1.65.1.1000

www.malwarebytes.org



Версия базы данных:  v2012.12.19.04



Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Эдуард :: ЭДУАРД-ПК [администратор]



Защитный модуль : Включен 



19.12.2012 15:14:36

mbam-log-2012-12-19 (17-59-41).txt



Тип сканирования:  Полное сканирование  (C:\|D:\|)

Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM

Опции сканирования отключены: P2P

Просканированные объекты:  763386

Времени прошло:  2 часов , 13 минут , 38 секунд 



Обнаруженные процессы в памяти:  0

(Вредоносных программ не обнаружено) 



Обнаруженные модули в памяти:  0

(Вредоносных программ не обнаружено) 



Обнаруженные ключи в реестре:  2

HKCU\Software\((Mutex)) (Backdoor.Agent) -> Действие не было предпринято.

HKCU\Software\Topckit (PUP.Topckit) -> Действие не было предпринято.



Обнаруженные параметры в реестре:  0

(Вредоносных программ не обнаружено) 



Объекты реестра обнаружены:  0

(Вредоносных программ не обнаружено) 



Обнаруженные папки:  0

(Вредоносных программ не обнаружено) 



Обнаруженные файлы:  25

C:\Program Files (x86)\ICCup\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.

C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f (Trojan.Downloader) -> Действие не было предпринято.

C:\Users\Эдуард\AppData\Roaming\uTorrent\Sandboxie 3.60\Old Version 3.46\Sandboxie 3.46 Keygen [x86-x64].exe (Trojan.Agent) -> Действие не было предпринято.

C:\Users\Эдуард\Downloads\Connectify Pro 3.4.0.23678\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Users\Эдуард\Downloads\IEInspector HTTP Analyzer Full Edition v6.1.1.313\KeyMaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Windows\DVD-Cripter.exe (HackTool.BNCrypt.Gen) -> Действие не было предпринято.

C:\Windows\pss\PielCrypt.exe.Startup (Trojan.Backdoor) -> Действие не было предпринято.

C:\Windows\pss\PizDonatWH.exe.Startup (Trojan.Backdoor) -> Действие не было предпринято.

D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe (Adware.Agent) -> Действие не было предпринято.

D:\_antmic\avz4\Infected\2012-12-18\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\aikabot\AikAx.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\Crack\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\hack\botnet\Zeus_\Zeus scripts\Builder 1.2.7.19\zsb.exe (Trojan.Banker) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\hack\Дедики\vnc.exe (HackTool.Agent) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\hack\Дедики\сканер.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\hack\Дедики\DUBrute_2.1\DUBrute.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\Программы\UFR.exe (Trojan.Agent) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\Программы\vk bot\VkBot.exe (RiskWare.Tool.Vkbot) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\Программы\Сервера\DUBrute_2.1\DUBrute.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Desktop\Программы\Сервера\VNC SCANNER GUI\vnc.exe (HackTool.Agent) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Downloads\Autodesk Maya 2012 x32 x64 ISO\activation\x-force_2012_x32.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Downloads\Autodesk Maya 2012 x32 x64 ISO\activation\x-force_2012_x64.exe (Trojan.Agent.ck) -> Действие не было предпринято.

D:\Пользователи\Эдуард\Downloads\Crack\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.

C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg (Malware.Trace) -> Действие не было предпринято.

C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat (Malware.Trace) -> Действие не было предпринято.



(конец)

Карантин-то пришлите!!!

Затем:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Windows\pss\PielCrypt.exe.Startup','');

 QuarantineFile('C:\Windows\pss\PizDonatWH.exe.Startup','');

 QuarantineFile('D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg','');

 QuarantineFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat','');

 QuarantineFile('C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f','');

 DeleteFile('C:\Windows\pss\PielCrypt.exe.Startup');

 DeleteFile('C:\Windows\pss\PizDonatWH.exe.Startup');

 DeleteFile('D:\$RECYCLE.BIN\S-1-5-21-4260074315-3958859537-3785434177-1000\$RCN9AQX.exe');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg');

 DeleteFile('C:\Users\Эдуард\AppData\Roaming\Microsoft\Windows\((Mutex)).dat');

 DeleteFile('C:\Users\Эдуард\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6d50d240-68b5f90f');

 RegKeyDel('HKEY_LOCAL_MACHINE','Software\((Mutex))');

 RegKeyDel('HKEY_LOCAL_MACHINE','Software\Topckit');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ServerEncryptado.exe');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^result.exe');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonatWH.exe');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonat.exe');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PizDonat (1).exe');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Эдуард^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PielCrypt.exe');

ExecuteSysClean;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Я послал через форму карантин.

Продублируйте на почту

Отправил,щяс прикреплю логи

Прокси сами настраивали:

Код:

202.104.128.53:80

в хроме указан,но он не активен

В IE тоже указан, так сами или чужак?

настройки сети для всех браузеров одинаковы, сам ставил :)

Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

WebSite: www.safezone.cc
DataLog 20.12.2012 15:19:01
Program directory: C:\Users\Эдуард\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lan:0419
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-18 12:32:02
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky CRYSTAL
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky CRYSTAL
-------------AntiSpyware_WMI----------------------
Kaspersky CRYSTAL
Windows Defender
-------------AntiVirusFirewallInstall-------------
AVG Security Toolbar v.13.2.0.5
Kaspersky CRYSTAL v.12.0.1.288
Kaspersky Security Scan v.12.0.1.117
-------------OtherUtilities-----------------------
CCleaner v.3.19
TuneUp Utilities 2013 v.13.0.2020.115
-------------Java---------------------------------
JavaFX 2.1.1 (64-bit) v.2.1.1 Внимание! Скачать обновления
JavaFX 2.1.1 SDK (64-bit) v.2.1.1 Внимание! Скачать обновления
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-x64.exe^
Java SE Development Kit 7 Update 5 (64-bit) v.1.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u10-windows-x64.exe)^
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-i586.exe^
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
QuickTime v.7.73.80.64
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Mozilla Firefox 14.0.1 (x86 ru) v.14.0.1 Внимание! Скачать обновления
Opera 12.02 v.12.02.1578 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Users\Эдуард\AppData\Local\Google\Chrome\Application\chrome.exe v.23.0.1271.97
-------------EndLog-------------------------------

Обновляйтесь, ссылки в Вашем посте