Здравствуйте, был черный порно баннер на рабочем столе с отправкой смс для его устранения,
я его снес но что-то осталось, потомучто AVZ(pp.exe) и HijackThis(game.exe) запускаються только с переименованием.
Пожалуйста помогите убить заразу
Здравствуйте, был черный порно баннер на рабочем столе с отправкой смс для его устранения,
я его снес но что-то осталось, потомучто AVZ(pp.exe) и HijackThis(game.exe) запускаються только с переименованием.
Пожалуйста помогите убить заразу
Последний раз редактировалось Vova89; 02.12.2009 в 02:51.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll',''); DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys'); DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency','*.*',true); DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency'); DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы.
Сделайте новые логи
Воть
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Crazy Vegas Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\crazyvegasMPP\MPPoker.exe (file missing) (HKCU)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('securentm'); BC_DeleteSvc('port135sik'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('netsik'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('i386si'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('acpi32'); BC_DeleteSvc('ws2_32sik'); BC_DeleteSvc('PowerManager'); BC_Activate; ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RebootWindows(true); end.
Выполните скрипт из этой темы:
http://virusinfo.info/showthread.php?t=43700.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\activedsl.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
.
Пролечитесь так http://virusinfo.info/showthread.php?t=15927
Вариант с LiveCD предпочтительнее
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пролечился LiveCD c svchost.exe проблем нет спс))
вопрос, в AVZ пишится...
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8056E9A9->F770E0E0), перехватчик spge.sys
Функция NtEnumerateKey (47) перехвачена (8056F0B0->F772CCA2), перехватчик spge.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F772D030), перехватчик spge.sys
Функция NtOpenKey (77) перехвачена (80567EFB->F770E0C0), перехватчик spge.sys
Функция NtQueryKey (A0) перехвачена (8056EDB9->F772D10, перехватчик spge.sys
Функция NtQueryValueKey (B1) перехвачена (8056B303->F772CF8, перехватчик spge.sys
Функция NtSetValueKey (F7) перехвачена (8057516D->F772D19A), перехватчик spge.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862A2368 -> перехватчик не определен
это нормально?
С перехватами все в порядке
Вопрос: у Вас DrWeb установлен?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
spge.sys - драйвер виртуального диска от Даемона.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сейчас нету Работующего антивиря, есть DrWeb AV-Desk установленный но он перестал запускаться гдето месяца 3 назат, и пока порно баннер не появился ни разу ни какого антивируса не запускал(да и они комп нагружают, умя он слабенький), сейчас пользуюсь Dr.Web CureIt.... еще раз большое спасиб вам за помощь
Насчёт AV-Desk надо провайдера спросить. Может, подписка у вас кончилась?
Поищите вот этот файл C:\WINDOWS\system32\activedsl.exe (возможно скрытый)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
На врятли, думаю Win32.HLLP.Jeefo.36352 убил .exe у мя еще мног программ не запускалось... я так понял этот злой WINDOWS\svchost.exe и сеял этого Дракона Jeefo сейчас пролечился LIveCD и Dr.Web CureIt, программы всеравно не запускаються, только с переустановкой, ну главное что Дракон убит знач все хорошо)
Добавлено через 11 минут
C:\WINDOWS\system32\activedsl.exe
такого файла нету, есть похожие
C:\WINDOWS\system32\activeds.dll
C:\WINDOWS\system32\activeds.tlb
и
C:\WINDOWS\system32\dllcache\activeds.dll
C:\WINDOWS\system32\dllcache\activeds.tlb
Последний раз редактировалось Vova89; 03.12.2009 в 23:53. Причина: Добавлено
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin DeleteService('WebClientSPIDERNT'); DeleteFile('C:\WINDOWS\system32\activedsl.exe'); ExecuteSysClean; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
/
Порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\svchost.exe - Virus.Win32.Hidrag.a ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )
- c:\windows\system32\drivers\mssrvc.sys - Trojan.Win32.Agent.ddeu ( BitDefender: Trojan.Generic.2854654, AVAST4: Win32:Crypt-AUN [Trj] )
Уважаемый(ая) Vova89, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.