Показано с 1 по 18 из 18.

Подозрение на зловред! (заявка № 43793)

  1. #1
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55

    Question Подозрение на зловред!

    Не запускается скан диск, в IE появился порно банер. Помогите пожалуйста.
    п.с при выполнение второго стандартного скрипта, програма виснет.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
    R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('.exe','');
     QuarantineFile('D:\WINDOWS\system32\mslpadap.dll','');
     QuarantineFile('Explorer.exe csrcs.exe','');
     DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
     QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
     QuarantineFile('D:\WINDOWS\system32\icq5e.dll','');
     QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
     DeleteFile('D:\WINDOWS\system32\csrcs.exe');
     DeleteFile('D:\WINDOWS\system32\icq5e.dll');
     DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
     DeleteFile('Explorer.exe csrcs.exe');
     DeleteFile('D:\WINDOWS\system32\mslpadap.dll');
     DeleteFile('.exe');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    ExecuteRepair(7);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

    Обновите Адоби Ридер

  4. #3
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    Карантин выслал, но он что то большой получился.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте WinsockFIX, запустите, перегрузитесь.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('.exe','');
     QuarantineFile('mslpadap.dllmslpadap.dll','');
     QuarantineFile('mslpadap.dll','');
     QuarantineFile('icq5e.dll','');
     QuarantineFile('D:\WINDOWS\System32\vispafza.dll','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ovfsthxonmnreaxwbeyjvndaswwkraecblovqd.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\ovfsthxonmnreaxwbeyjvndaswwkraecblovqd.sys');
     DeleteFile('D:\WINDOWS\System32\vispafza.dll');
     DeleteFile('icq5e.dll');
     DeleteFile('mslpadap.dll');
     DeleteFile('mslpadap.dllmslpadap.dll');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    ExecuteRepair(13);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    запустился скан диск, исправил море разных ошибок! но порно информер висит. Карантин выслал.

    не запускается опера, в диспечере задач, загружается и 50% ест, IE и мазила работают нормально.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 15.04.2009 в 19:02.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Удалите Оперу - как программу так и все профили Оперы. Установите последнюю версию Оперы, обновите Адоби Ридер.
    В логах ничего подозрительного.

  8. #7
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    оперу поставил заного, новую версию, не помогло тоже самое осталось. порно банер не исчез с мазилы. Адоби Ридер. поставил последнюю версию, только зачем? я ей не пользуюсь всеравно.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ruslan13 Посмотреть сообщение
    Адоби Ридер. поставил последнюю версию, только зачем? я ей не пользуюсь всеравно.
    Тогда удалите совсем: В старой версии оч. много уязвимостей.
    Скачайте http://www.malwarebytes.org/mbam.php, обновите базы, просканьте систему полностью. Лог - в студию.

  10. #9
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    Нашел и удалил несколько вирусов, но это все равно не помогло.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    лог http://www.gmer.net/ сделайте ...

  12. #11
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    Catchme.exe просканировал нормально. а вот gmer.exe начинает сканровать и через минуту где-то черный экран, пробывал подождать ни какой реакции, только ресет спасает.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    Какие имено? с авз?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ruslan13 Посмотреть сообщение
    Какие имено? с авз?
    С ним

  16. #15
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    вот они...
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего плохого не видно. Сделайте очистку мусора CCleaner + ClearProg.

  18. #17
    Junior Member Репутация
    Регистрация
    13.04.2009
    Сообщений
    9
    Вес репутации
    55
    Сделал, все равно не помогло. Спасибо огромное за помощь и сорри за потраченое время.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 70
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\documents and settings\руслан\application data\bpfeed.dll - Trojan-Downloader.Win32.BHO.kgw ( DrWEB: Trojan.Blackmailer.1089 )
      2. d:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: archive: archive: Win32.HLLW.Autoruner.based, BitDefender: Trojan.Heur.AutoIT.1 )
      3. d:\windows\system32\drivers\ovfsthxonmnreaxwbeyjvn daswwkraecblovqd.sys - Rootkit.Win32.Agent.ito ( DrWEB: BackDoor.Tdss.115 )


  • Уважаемый(ая) Ruslan13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. перебои с сетью, подозрение на зловред
      От Avertin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.04.2012, 08:04
    2. подозрение на зловред
      От Dexee в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.03.2009, 16:02
    3. Подозрение на зловред
      От RuslanT13 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 09:50
    4. Ответов: 3
      Последнее сообщение: 22.04.2008, 14:17
    5. Подозрение на зловред
      От GREET в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2008, 16:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01476 seconds with 20 queries