Показано с 1 по 18 из 18.

Черный смс-баннер на рабочем столе (заявка № 62099)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53

    Thumbs up Черный смс-баннер на рабочем столе

    Доброго дня!
    30.11.2009 подхватил пару троянов, в темпах нашел войдя с др. ос, антивируса не было, после поставил. Вирусы также были обнаружены в папке Windows\Installer ... В папке Program files обнаружил некую папку Temp (внутри Admin.exe и пр. dll - Удалил спокойно.)
    1. В безопасном режиме также появляется, но после небольшой чистки реже.
    2. Сама служба "Безопасный режим" отключена и при попытке включить пишет что она запускается но потом закрывается, ибо некоторые службы могут проставить...
    3. При попытке запустить ярлык "Восстановления" пишет мол отключена возможость в групповых политиках и обратитесь к администратору домена. Домена НЕТ! =)
    4. AVZ нашел два подозрительных dll, некий advapi.dll и netapi32.dll. Пишет
    Код:
    Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->73A6462A->73A51423
    и типа того, таких строк много.

    Даже в безопасном режиме полноценно сканить нельзя, устанавливать программы тоже, закрывается все и висит как при смене юзера.зы Читал советы по смене имени AVZ и Hijack... попробую. Что еще посоветуете ? )))

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте сделать лог HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    после переименования и запуска в безопасном режиме все исчезает ((( пустой экран и курсор... приходится перегружаться.

    можно ли загрузить проверки с др ос ? она в другом разделе диска и прекрасно работает.

    Добавлено через 2 часа 31 минуту

    Я могу запустить переименованный файл программы HijackThis, но после запуска он выводит список найденных и закрывается, операционка уходит в пустое окно. Дальше ничего не работает. Естественно безопасный режим.
    Последний раз редактировалось dasboot; 02.12.2009 в 22:32. Причина: Добавлено

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Этот HiJack тоже не работает http://virusinfo.info/soft/1.zip ?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    кое как удается запустить, но он в конце не находит путь и спрашивает куда сохранить логи, на этом шаге все исчезает.... вроде успеваю нажать на сохранить... но пока логов в той самой папке не вижу.

    ко всему прочему на днях появилось - мол повреждена среда юзера, но раб стол грузит тот же... + еще пару троянов удалил с диска системы.

    Файл hosts переполнен какой-то фигней с намеком на Spybot search... очень большой список. И он не редактируется.
    Последний раз редактировалось dasboot; 03.12.2009 в 00:34.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от dasboot Посмотреть сообщение
    кое как удается запустить,
    Пофиксите строку O20 - AppInit_DLLs:
    Есть шанс, что поможет сделать логи после перезагрузки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Да, удалось. прикрепляю....
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  9. #8
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Сейчас удалось запустить остальные проверки. ZBotkiller нашел 12 Hooked imports а повторно еще 33...

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
    Полный комплект логов сделайте (в нормальном режиме)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Стало значительно лучше.
    - Диспетчер задач заработал
    - Ctrl + Alt + Del тоже ))

    ps интернет на той ОС пока не включал.
    Пару раз вылетал "проводник" при сёрфе по папкам винды.
    Правда такое было и до вирусов, но редко.

    Вот логи. В нормальном режиме.

    Вопросы:
    - Ось пишет что профиль поврежден, но вроде все загружается и работает. Как решить проблему ?
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня. Что стало со старыми ? Можно ли восстановить ?
    Последний раз редактировалось dasboot; 24.01.2010 в 17:47.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
     DeleteService('mssrvc');
     DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Карантин выслал.
    Последний раз редактировалось dasboot; 24.01.2010 в 17:46.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Самое страшное, что пока замечаю это ошибка "explorer.EXE", появляется при поиске "F3" в моем компьютере. Вечерком могу скрин прицепить.

    Если не трудно, можете прокомментировать данные вопросы:
    - Ось пишет что профиль поврежден, но вроде все загружается и работает. Если я создам новый профиль проблема решится ?
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня. Можно ли восстановить старые, которые точно были ? Или, если вирусов нет можно спокойно пользоваться данной системой ?
    Огромное Вам спасибо!!!!!!!!!!!!!!!!!!
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  16. #15
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Еще какие-то трояны нашел. ((
    Последний раз редактировалось dasboot; 24.01.2010 в 17:48.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от dasboot Посмотреть сообщение
    - Восстановление системы не содержит точек восстановления до сегодняшнего дня.
    Все старые точки удалены при отключении восстановления

    Цитата Сообщение от dasboot Посмотреть сообщение
    Еще какие-то трояны нашел.
    Какие и где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    15
    Вес репутации
    53
    Сделал повторную многократную проверку различными программами - ни единого вируса.

    Огромное спасибо за решение проблемы !!!!!!!!!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan.Win32.Agent2.cmhl ( BitDefender: Gen:Trojan.Heur.bOelrPDBHxcID )


  • Уважаемый(ая) dasboot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Баннер на рабочем столе
      От dendo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.02.2011, 11:54
    2. баннер на рабочем столе
      От Igrekk в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.01.2010, 23:00
    3. баннер на рабочем столе
      От KeizeR_Viki в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.01.2010, 15:48
    4. баннер на рабочем столе
      От anargist в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 23.01.2010, 17:48
    5. Черный порно-информер на рабочем столе
      От Submariner в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.11.2009, 11:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01659 seconds with 17 queries