-
Junior Member
- Вес репутации
- 48
Смс для входа в Одноклассники + не открывался реестр
Снова к вам за помощью!
Ситуация такая: возникло подозрение на вирус, Avast поймал эксплойт и файло lsass.exe в папке Temp (ну, типа, замаскировался под системный процесс). После удаления и перезагрузки на рабочем столе в правом нижнем углу появилась надпись "Windows Vista (TM), Сборка 6002, Ваша копия Windows не является лицензионной" (ага, 1,5 года она была лицензионной, а тут вдруг...). После отката на точку восстановления надпись исчезла. При восстановлении, кстати, была выполнена проверка на ошибки и вышло сообщение, что были восстановлены какие-то параметры конфигурации, в которых были обнаружены несанкционированные изменения. После этого снова проверила на вирусы, снова удалила найденное. В процессах висел lsass.exe из папки Temp, вырубила. Затем попыталась открыть реестр, чтоб убрать там этот lsass.exe из Winlogon - и облом, реестр не открывается, не переименовывается, никаких сообщений об ошибках при этом нет, просто не выполнялось открытие и все.
Dr. Web нашел и исправил что-то там в HOST, запись в реестре я поправила через Hijackthis.
Ах, да - до подозрения на вирусы и всех этих проверок у меня не открылись Одноклассники, вылезло сообщение типа "введите ваш номер для подтверждения того, что вы не бот, и отправьте код в ответном сообщении". Номер я ввела, а ответное сообщение отправлять не стала, т.к. заподозрила, что что-то тут не то.
После всяких антивирусных проверок на данный момент реестр открывается, Одноклассники открываются без всяких там смс.
Насчет смс у меня теперь вопрос, может, кто в курсе - не подписалась ли я случаем на какую-нибудь услугу, за которую у меня теперь будут снимать деньги? Или там подписка происходит только при отправке кода в ответном сообщении?
И второе - сделала логи в соответствии с правилами, посмотрите, плиз, не осталось ли там чего нехорошего.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Ellina, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
Ellina
Или там подписка происходит только при отправке кода в ответном сообщении?
без ответного сообщения ни на какую платную услугу вас подписать не могут.
Добавлено через 25 минут
Внимание !!! База поcледний раз обновлялась
25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
- выполните такой скрипт
Код:
begin
QuarantineFile('G:\TranscendService(JF).exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\Protector Suite QL\infra.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось regist; 08.06.2011 в 22:37.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
regist
без ответного сообщения ни на какую платную услугу вас подписать не могут.
Отлично! А я-то, темнота, чуть было не повелась, т.к. уж очень натурально выглядело (когда-то было примерно такого же содержания сообщение, только с капчей), а про то, что это мошенничество и вирусы, только с этого форума узнала...
Базы обновила, карантин прислала, но по карантинным файлам я вам и так могу сказать, что это: первые два находятся на флешке, она же съемный диск G (завела спец.флешку, на кот. AVZ, Dr.Web, HiJackThis и Касперский, больше на ней ничего нет и использую только для борьбы с вирусами в дополнение к Авасту, который на диске С), первый файл открывает в IE страницу активации пожизненной гарантии продуктов Transcend, во втором прописан путь к первому. А третий - это компонент программы для биометрического датчика (вход по отпечатку), в свойствах датирован 2008 годом, ко вчерашней вирусной атаке он отношения явно не имеет.
-
Ellina, в логах больше ничего подозрительного не видно.
Сейчас проблеммы есть ? если есть то сделайте новые логи (с уже обновлёнными базами) и лог полногого сканирования MBAM
Добавлено через 1 минуту
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Последний раз редактировалось regist; 09.06.2011 в 07:09.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 48
Сейчас проблем нет, спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-