-
Junior Member
- Вес репутации
- 56
windows security alert
Здравствуйте!
После перезагрузки компьютера вылезло окно иммитирующее windows security alert, с просьбой отправит СМС для разблокировки windows на номер 3649
На сайте DrWeb'a нашел что нужно ввести 13616 и все пропадет, только пропадает на минуту и окно восстанавливаеться заново. Удалось запустить AVZ и включить в нем AVZ Guard. Получилось сделать логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows.0\winudpmgrs.exe');
TerminateProcessByName('d:\windows.0\windows7addon.exe');
QuarantineFile('D:\WINDOWS.0\system32\mstask.dll','');
QuarantineFile('d:\windows.0\system32\hasplms.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe','');
QuarantineFile('Serc2amuhihd.sys','');
QuarantineFile('d:\windows.0\winudpmgrs.exe','');
QuarantineFile('d:\windows.0\windows7addon.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Обновите базы AVZ и повторите логи.
Последний раз редактировалось Bratez; 12.10.2009 в 11:36.
Причина: поправил скрипт
-
-
Junior Member
- Вес репутации
- 56
Заранее спасибо сейчас буду пробывать
Добавлено через 11 минут
При попытке запустить скринпт выдает: ошибка ')' expected в позиции 13:95
Последний раз редактировалось Navator; 12.10.2009 в 11:35.
Причина: Добавлено
-
I am not young enough to know everything...
-
-
Navator, прошу прощения, не проверил синтаксис.
-
-
Junior Member
- Вес репутации
- 56
Белый Сокол, Скрипт выполнил, После перезагрузки все тоже самое что и описывал в первом сообщении. Отправил Вам карантин. Сейчас повторно делаю логи.
-
Подождем ответа по карантину, в любом случае не все возможные зловреды были сразу поставлены на удаление. От вас ждем логи.
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось Navator; 17.09.2010 в 16:18.
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\RECYCLER\S-1-5-21-2748241380-0862612883-702134836-0268\nvapbar.exe','');
DeleteFile('D:\WINDOWS.0\winudpmgrs.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-2748241380-0862612883-702134836-0268\nvapbar.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_DeleteSvc('Serc2amuhihd');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56951).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Карантин отправил. Вот логи
Последний раз редактировалось Navator; 17.09.2010 в 16:18.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\RECYCLER\S-1-5-21-3418509746-1931028992-938746607-6527\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-4024721439-8751666346-386328955-1850\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-1874414197-3076458891-697304082-6356\mwau.exe');
DeleteFile('winudpmgrs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows UDP Control Center');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пофиксите:
Код:
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgrs.exe
Повторите логи.
Последний раз редактировалось Белый Сокол; 12.10.2009 в 14:48.
-
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgrs.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\RECYCLER\S-1-5-21-3418509746-1931028992-938746607-6527\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-4024721439-8751666346-386328955-1850\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-1874414197-3076458891-697304082-6356\mwau.exe');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Вчера вырубили свет не успел прислать логи. Выкладываю логи, Сегодня при включение проблема повторилась. Скрипт выполнил пофиксил что просил. Вот логи
Последний раз редактировалось Navator; 17.09.2010 в 16:18.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows.0\windows7addon.exe');
QuarantineFile('D:\WINDOWS.0\0\system32\ntkrnlpa.exe','');
QuarantineFile('d:\windows.0\windows7addon.exe','');
DeleteFile('d:\windows.0\windows7addon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Очистите временные папки с помощью одного из этих методов.
Подготовьте новые логи.
-
-
Junior Member
- Вес репутации
- 56
Карантин отправил вот логи
Последний раз редактировалось Navator; 17.09.2010 в 16:18.
-
Сделайте еще лог virusinfo_syscure.
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось Navator; 17.09.2010 в 16:18.
-
-
-
Junior Member
- Вес репутации
- 56
по перезагружал компьютер, больше таблички не выскакивало. А логи чистые?
-
Да, в логах зловредов не видно.
-