Показано с 1 по 10 из 10.

следы после синего баннера "Windows заблокирован" (заявка № 125530)

  1. #1
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    88
    Вес репутации
    52

    следы после синего баннера "Windows заблокирован"

    Походу,это был trojan.winlock.6234 (судя по картинке :-D).

    После Kaspersky WindowsUnlocker удалил ms.exe из c:\documents and settings\mag - баннер пропал. AVPTool и cureIt следов винлока не нашли.
    Проверил на virustotal и virusscan userinit,taskmgr,taskman:

    1) userinit из system32 и C:\WINDOWS\ServicePackFiles\i386
    и
    все 3 файла taskmgr
    (из system32,C:\WINDOWS\$NtServicePackUninstall$ и C:\WINDOWS\ServicePackFiles\i386)
    - чистые,

    2) userinit из C:\WINDOWS\$NtServicePackUninstall$ - nProtect детектит Trojan/W32.Small.25088.BP,а McAfee-GW-Edition - Heuristic.LooksLike.Win32.Suspicious.I,

    3) в taskman (из system32 и system32\dllcache) и TASKMAN (из C:\WINDOWS) только CPsecure нашел Packed.W32.PolyCrypt.B.

    После удаления баннера снова запустил Kaspersky WindowsUnlocker- по-прежнему:
    "Userinit - подозрительная модификация: userinit.exe
    Userinit - восстановлено в C:\WINDOWS\system32\userinit.exe".

    userinit заражен? Какие-нибудь системные файлы нужно менять?

    З.Ы. также проверил на virustotal wiasf.ax (от "MyCompanyName") в папке system32 - esafe определил как Win32.Banker. Даже в блокноте CPSecure c virusscan нашел Troj.W32.DNSChanger.hd. :-D
    Отправлял оба файла в вирлабы каспера и веба - чистые. Ложное срабатывание esafe и CPSecure?)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) ifstream, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Сделайте лог полного сканирования МВАМ.

    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    88
    Вес репутации
    52
    лог mbam прикрепил)

    с avz траблы: скрипт выполняет,но архив пустой. Из лога:

    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\uphcleanhlp.sys)
    Карантин с использованием прямого чтения - ошибка

    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка

    Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
    Карантин с использованием прямого чтения - ошибка

    + Функция NtUnloadKey (107) перехвачена (806559A2->A227575C), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

    упс :-D восстановление системы надо было выключать?
    Последний раз редактировалось ifstream; 10.10.2012 в 01:00.

  6. #5

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    88
    Вес репутации
    52
    удалил)

    это следы от винлока?

    userinit,taskmgr,taskman чистые?

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    нет, это следы от банковского троянца ...
    в остальном чисто. Удалите MBAM.

    Советы и рекомендации после лечения компьютера

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    88
    Вес репутации
    52
    спасибо

    - - - Добавлено - - -

    Что насчет ошибок с карантином файлов (avz)?

  12. #9

  13. #10
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    88
    Вес репутации
    52
    спасибо 8 )

  • Уважаемый(ая) ifstream, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 27.08.2010, 00:21
    2. (4460)Интернет секьюрити оставил "следы" после себя
      От Алексейка в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.01.2010, 21:52
    3. Следы после "плагина порно в IE"
      От xZEROx в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 11.05.2009, 15:06
    4. Ответов: 8
      Последнее сообщение: 26.04.2009, 11:55
    5. Ответов: 14
      Последнее сообщение: 22.02.2009, 06:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00992 seconds with 19 queries