Показано с 1 по 18 из 18.

Черный смс-баннер на рабочем столе (заявка № 62099)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26

    Thumbs up Черный смс-баннер на рабочем столе

    Доброго дня!
    30.11.2009 подхватил пару троянов, в темпах нашел войдя с др. ос, антивируса не было, после поставил. Вирусы также были обнаружены в папке Windows\Installer ... В папке Program files обнаружил некую папку Temp (внутри Admin.exe и пр. dll - Удалил спокойно.)
    1. В безопасном режиме также появляется, но после небольшой чистки реже.
    2. Сама служба "Безопасный режим" отключена и при попытке включить пишет что она запускается но потом закрывается, ибо некоторые службы могут проставить...
    3. При попытке запустить ярлык "Восстановления" пишет мол отключена возможость в групповых политиках и обратитесь к администратору домена. Домена НЕТ! =)
    4. AVZ нашел два подозрительных dll, некий advapi.dll и netapi32.dll. Пишет
    Код:
    Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->73A6462A->73A51423
    и типа того, таких строк много.

    Даже в безопасном режиме полноценно сканить нельзя, устанавливать программы тоже, закрывается все и висит как при смене юзера.зы Читал советы по смене имени AVZ и Hijack... попробую. Что еще посоветуете ? )))

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Попробуйте сделать лог HiJack
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    после переименования и запуска в безопасном режиме все исчезает ((( пустой экран и курсор... приходится перегружаться.

    можно ли загрузить проверки с др ос ? она в другом разделе диска и прекрасно работает.

    Добавлено через 2 часа 31 минуту

    Я могу запустить переименованный файл программы HijackThis, но после запуска он выводит список найденных и закрывается, операционка уходит в пустое окно. Дальше ничего не работает. Естественно безопасный режим.
    Последний раз редактировалось dasboot; 02.12.2009 в 22:32. Причина: Добавлено

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Этот HiJack тоже не работает http://virusinfo.info/soft/1.zip ?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    кое как удается запустить, но он в конце не находит путь и спрашивает куда сохранить логи, на этом шаге все исчезает.... вроде успеваю нажать на сохранить... но пока логов в той самой папке не вижу.

    ко всему прочему на днях появилось - мол повреждена среда юзера, но раб стол грузит тот же... + еще пару троянов удалил с диска системы.

    Файл hosts переполнен какой-то фигней с намеком на Spybot search... очень большой список. И он не редактируется.
    Последний раз редактировалось dasboot; 03.12.2009 в 00:34.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Цитата Сообщение от dasboot Посмотреть сообщение
    кое как удается запустить,
    Пофиксите строку O20 - AppInit_DLLs:
    Есть шанс, что поможет сделать логи после перезагрузки
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Да, удалось. прикрепляю....
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  9. #8
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Сейчас удалось запустить остальные проверки. ZBotkiller нашел 12 Hooked imports а повторно еще 33...

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
    Полный комплект логов сделайте (в нормальном режиме)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Стало значительно лучше.
    - Диспетчер задач заработал
    - Ctrl + Alt + Del тоже ))

    ps интернет на той ОС пока не включал.
    Пару раз вылетал "проводник" при сёрфе по папкам винды.
    Правда такое было и до вирусов, но редко.

    Вот логи. В нормальном режиме.

    Вопросы:
    - Ось пишет что профиль поврежден, но вроде все загружается и работает. Как решить проблему ?
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня. Что стало со старыми ? Можно ли восстановить ?
    Последний раз редактировалось dasboot; 24.01.2010 в 17:47.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
     DeleteService('mssrvc');
     DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Карантин выслал.
    Последний раз редактировалось dasboot; 24.01.2010 в 17:46.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Самое страшное, что пока замечаю это ошибка "explorer.EXE", появляется при поиске "F3" в моем компьютере. Вечерком могу скрин прицепить.

    Если не трудно, можете прокомментировать данные вопросы:
    - Ось пишет что профиль поврежден, но вроде все загружается и работает. Если я создам новый профиль проблема решится ?
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня. Можно ли восстановить старые, которые точно были ? Или, если вирусов нет можно спокойно пользоваться данной системой ?
    Огромное Вам спасибо!!!!!!!!!!!!!!!!!!
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  16. #15
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Еще какие-то трояны нашел. ((
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Цитата Сообщение от dasboot Посмотреть сообщение
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня.
    Все старые точки удалены при отключении восстановления

    Цитата Сообщение от dasboot Посмотреть сообщение
    Еще какие-то трояны нашел.
    Какие и где?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    26
    Сделал повторную многократную проверку различными программами - ни единого вируса.

    Огромное спасибо за решение проблемы !!!!!!!!!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,523
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan.Win32.Agent2.cmhl ( BitDefender: Gen:Trojan.Heur.bOelrPDBHxcID )


  • Уважаемый(ая) dasboot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Баннер на рабочем столе
      От dendo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.02.2011, 11:54
    2. баннер на рабочем столе
      От Igrekk в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.01.2010, 23:00
    3. баннер на рабочем столе
      От KeizeR_Viki в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.01.2010, 15:48
    4. баннер на рабочем столе
      От anargist в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 23.01.2010, 17:48
    5. Черный порно-информер на рабочем столе
      От Submariner в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.11.2009, 11:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00076 seconds with 20 queries