Обнаружил вирус, когда при попытке войти в социальную сеть появилось подозрительное окошко с требованием ввести номер телефона. Кроме этого возникла проблема с обоями рабочего стола (выдавал ошибку Active Desktop, вылечил сбросом настроек обозревателя). Файл Hosts в system32/drivers/etc содержал в глубине документа приписки с адресами касперского и др. сайтов (могу выслать), эту дрянь исправить не удалось, т.к. файл возвращается в такое состояние каждый раз после запуска системы.
AVPTool использовать не удалось: при установке ошибка: Please try to reboot your computer. Error message is Client register error:-2147024894. В другой раз вообще перезагрузился непроизвольно при попытке установки.
CureIt при полной проверке всего диска нашёл только dorkdin.dat в WINDOWS/AppPatch, зараженный Trojan.PWS.Ibank.300 (удален).
Применил по правилам AVZ и HijackThis, последний при выполнении "Do a system scan and save a logfile" выдал ошибку An unexpected error has occured at procedure: modMain_Start Scan() Error #5 - Invalid procedurecall or argument. Сделанные логи высылаю.
Прошу помочь устранить проблемы с hosts, если возможно найти в чём проблема c AVP и HiJackThis. Кроме этого напрягает окошко трея: разное число иконок, точнее часто загружает далеко не все.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\serzhpiter\application data\lsass.exe');
QuarantineFile('c:\documents and settings\serzhpiter\application data\lsass.exe','');
DeleteFile('c:\documents and settings\serzhpiter\application data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполнил, карантин прислал. Левый lsass убит, больше в hosts левые приписки не идут, процессы в трее отображаются по-прежнему когда как, иногда даже ползунок громкости не появляется. AVP по-прежнему не устанавливается, Hijack выдает ту же ошибку.
Последний раз редактировалось SerzhPiter; 03.09.2011 в 02:49.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Зараженные папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029845.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015090.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015091.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015092.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015093.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015094.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015095.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015096.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015097.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015098.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029843.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029844.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029846.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029847.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029848.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029849.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029850.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029851.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\администратор\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\documents and settings\serzhpiter\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
c:\documents and settings\serzhpiter\local settings\Temp\0.3636030326466685.exe (Exploit.Drop.2) -> No action taken.
c:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
