Показано с 1 по 6 из 6.

Перехват управления WM-keeper троянской программой (заявка № 45495)

  1. #1
    Junior Member Репутация
    Регистрация
    11.05.2009
    Сообщений
    5
    Вес репутации
    28

    Перехват управления WM-keeper троянской программой

    Арбитраж WEBMONEY с упорством в третий раз заявляет, что зафиксирован перехват управления моим WM-keeper троянской программой. Соответственно блокирует пользование кипером. В качестве последнего способа ссылается на ваш сайт. В качестве антивирусника пользуюсь AVP 8.0.0.506 с ежедневным обновлением баз и еженедельной полной проверкой всех дисков. Дважды проверял полностью винт KIS2009 "снаружи", то есть подключая его вторичным к другому компу - нет ничего. Помогите пожалуйста.
    Вложения Вложения
    Последний раз редактировалось Storog; 11.05.2009 в 01:27.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Отключите восстановление системы! См. Приложение 1 Правил.

    У вас есть флешка и она подключается как диск F? Если да, то подключите её.
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     SetAVZPMStatus(True);
     QuarantineFile('F:\WINDOWS\system32\CTFMON.EXE','');
     QuarantineFile('c:\s','');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('f:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
    BC_QrFile('C:\WINDOWS\system32\ntos.exe');
     DeleteService('Dex48');
     BC_DeleteSvc('Dex48');
     BC_DeleteSvc('Uvh27');
     BC_DeleteSvc('Xvx25');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dex48.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dex48.sys');
     SysCleanAddFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     SysCleanAddFile('\s');
     DeleteFile('f:\windows\system32\userinit.exe');
     DeleteFile('F:\WINDOWS\system32\CTFMON.EXE');
     SysCleanAddFile('C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    11.05.2009
    Сообщений
    5
    Вес репутации
    28

    1 этап рекомендаций

    Готово. Только диски в системе :
    С - системный
    D,E - данные
    F - CD-Rom
    G - виртуальный диск, создаётся при запуске веб-сервера DENWER, в процессе обследования запущен не был ни в 1 ни во 2 раз
    H - флешка

    Да, и использую PuntoSwitcher - автопереключатель клавиатуры
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    11.05.2009
    Сообщений
    5
    Вес репутации
    28

    Дополнение

    После второй проверки ещё раз перегрузился - после перезагрузки кто-то запросил подключение к интернету (раньше такого не было - везде отключал) и - только обратил внимание - в трее нет значков сети! (подключение по локальной сети и высокоскоростное) - хотя в свойствах обоих подключений стоит "показывать значки"!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В реестре были следы троянов, но их самих похоже уже нет.

    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     DeleteService('Xvx25');
     DeleteService('Uvh27');
     BC_DeleteSvc('Xvx25');
     BC_DeleteSvc('Uvh27');
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Установите Adobe Acrobat Reader 9.1 или удалите старый.

    Выполните процедуру описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Storog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 18.06.2010, 21:07
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:07
    3. Ответов: 4
      Последнее сообщение: 21.01.2009, 02:24
    4. Ответов: 2
      Последнее сообщение: 22.09.2008, 20:05
    5. Ответов: 1
      Последнее сообщение: 30.08.2008, 13:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01222 seconds with 21 queries