-
Junior Member
- Вес репутации
- 55
Проблема с банк клиентом
Здрасти. Такая проблема клиент банк (Сбербанк) не работает, ведет себя так что якобы переустановили Windows, при запуске файла конфигурации и нажатии на ОК должно появиться окно с кодом и просьбой ввести ответ, а этого не происходит при копировании на другой комп все правильно работает. Лечил антивирусниками (Nod avira), не помогло, когда avz запускаешь на лечение все работает, после перезагрузке опять не работает. Помогите разобраться
Последний раз редактировалось demonn_32; 02.02.2010 в 17:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_DeleteSvc('hjgruiuxmpjxum');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам Приложение 3.
Сделать новые логи + лог Gmer.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил, вот новые логи и карантин. Жду дальнейших указаний
Последний раз редактировалось demonn_32; 02.02.2010 в 17:17.
-
Выполнить скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys','');
QuarantineFile('C:\WINDOWS\system32\hjgruiobowlxdo.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruirvkypbob.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruivyqjivdk.dat','');
QuarantineFile('C:\WINDOWS\system32\hjgruiqjkvpnpo.dat','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\hjgruiqjkvpnpo.dat');
DeleteFile('C:\WINDOWS\system32\hjgruirvkypbob.dll');
DeleteFile('C:\WINDOWS\system32\hjgruiobowlxdo.dll');
DeleteFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service hjgruitkyidqgi
gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiobowlxdo.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruirvkypbob.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruivyqjivdk.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiqjkvpnpo.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruitkyidqgi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruitkyidqgi"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новые логи + новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Добрый день. Все сделал как и писали. один файл AVZ не может поместить в карантин, поэтому и в прошлый раз карантин был пустой и сейчас файла этого нету. Вот что пишет:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\itcadvapi.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\itcadvapi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\itcadvapi.dll)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось demonn_32; 02.02.2010 в 17:17.
-
Это от ViPNet CryptoService нормальный файл.
C:\WINDOWS\SYSTEM32\VIDEO.sys - поищите через AVZ и пришлите через карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Не находит VIDEO.sys ни AVZ, ни Total Com, ни стандартный поиск, только в реестре находит ключи
-
Выполнить скрипт:
Код:
begin
BC_DeleteSvc('VIDEO');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_Activate;
RebootWindows(true);
end.
Повторить станд. скрипт №2. Прислать лог.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось demonn_32; 02.02.2010 в 17:17.
-
Не удалился. Попробуй в AVZ поиск по реестру найти video.sys и удалить его.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Ура. Вроде все заработало, пару дней попробуем потестируем как себя вести будет. Спасибо за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\hjgruirvkypbob.dll - Trojan.Win32.Monder.cqbi ( DrWEB: BackDoor.Tdss.265 )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( BitDefender: Trojan.Generic.1339854 )
-