Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Еще один попался на tt1.tmp.vbs (заявка № 30268)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57

    Еще один попался на tt1.tmp.vbs

    Здравствуйте Господа!
    Сегодня столнулся с VBS: Malware-gen.
    Все по старому Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. Просканировал антивирусом, он обнаружил его в директории: C/Temp/tt1.tmp.vbs. Имя вируса VBS: Malware-gen В общем все симптомы.

    Прошу помогите мне решить мою проблему и Вашу мозоль!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Messengerdmserver');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa31.sys','');
     QuarantineFile('C:\WINDOWS\system32\blphc90uj0etdj.scr','');
     QuarantineFile('C:\WINDOWS\system32\lphc90uj0etdj.exe','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteService('Winsa31');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\lphc90uj0etdj.exe');
     DeleteFile('C:\WINDOWS\system32\blphc90uj0etdj.scr');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsa31.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Winsa31');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57

    Еще один попался на tt1.tmp.vbs

    Спасибо за помощь, теперь у меня все ок!!! Высылаю Логи повторно, карантин высал по указанной ссылке. Спасибо что Вы есть
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_DeleteSvc('Messengerdmserver');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки
    - Сделайте повторные логи syscheck и hijackthis
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57

    Еще один попался на tt1.tmp.vbs

    Высылаю.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\Drivers\Lsa42.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lsa42.sys','');
     QuarantineFile('c:\windows\system32\cpl32ver.exe','');
     DeleteService('Lsa42');
     DeleteFile('c:\windows\system32\cpl32ver.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lsa42.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Lsa42');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57

    Еще один попался на tt1.tmp.vbs

    Спасибо, но при посещении ссылки для скачивания он просит оплатить даную программу, как можно сделать это без оплаты?

    Добавлено через 17 минут

    Все уже скачалал с другого ресурса, прдолжаю действовать
    Последний раз редактировалось Куликовских Дмитрий; 16.09.2008 в 19:41. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Куликовских Дмитрий Посмотреть сообщение
    Спасибо, но при посещении ссылки для скачивания он просит оплатить даную программу, как можно сделать это без оплаты?
    rapidshare бесплатна, или что Вы качаете?

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    Высылаю Логи после удаления Lsa42.sys с помошью IceSword 1.22, но блин почему то он опять в изоляторе . Похоже что фойле не прикрепились он пишет что они уде были
    Пробую еще раз. Получилось. Также повторяю изолятор по инструкции.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 16.09.2008 в 21:28.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в IceSword удалите C:\WINDOWS\system32\Drivers\Hov42.sys
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Hov42');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hov42.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  12. #11
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    Повторяю Логи, также изолятор.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполнить ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Hov42');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hov42.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  14. #13
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    Высылаю
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего плохого

  16. #15
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    т.е. все в порядке и компьтер чист??? Или необходимо произвести какие либо еще действия???

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    установить сп3 (потребуется повторная активация)

  18. #17
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    Вы имеете ввиду Servis Pack 3? Ести так, но дело в том что у меня не лицензионная копия винды и при установки SR3 он требует активации в течении 30 дней, чего я не могу сделать. Какие мои действия???

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    купить лицензию ...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Куликовских Дмитрий Посмотреть сообщение
    Какие мои действия???
    Купить лицензию. Без СП3 Вы долго чистеньким не останетесь. Решайте, что Вам дороже обойдется - лицензия, чтобы защитить ПК либо похищенные с него данные.

  21. #20
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    16
    Вес репутации
    57
    т.е. если я правильно понимаю мне в необходимо купить лицензионный диск с виндой и переустановть ее, соответственно при дальнейшей эксплуатации и аналогичных проблемах будут решения таких проблем. А если буду эксплуатировать данную ОС данные с моего ПК будут похищатся данные т.к. за VBS: Malware-gen замоскировался Тороян. Еще меня интересует, данные вирус может похищать данные только с диска С или с Д тоже???
    Последний раз редактировалось Rene-gad; 17.09.2008 в 10:16.

  • Уважаемый(ая) Куликовских Дмитрий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. и я с LockDir попался
      От abilla в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.01.2012, 22:45
    2. Помогите,попался вымогателям!
      От ТТМ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 13.03.2011, 13:51
    3. Попался в ботнет
      От reav123 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2010, 11:18
    4. попался на bolenjx.exe и bolenja.exe
      От Vovathuma в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 03:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00635 seconds with 18 queries