-
Junior Member
- Вес репутации
- 53
Черный смс-баннер на рабочем столе
Доброго дня!
30.11.2009 подхватил пару троянов, в темпах нашел войдя с др. ос, антивируса не было, после поставил. Вирусы также были обнаружены в папке Windows\Installer ... В папке Program files обнаружил некую папку Temp (внутри Admin.exe и пр. dll - Удалил спокойно.)
1. В безопасном режиме также появляется, но после небольшой чистки реже.
2. Сама служба "Безопасный режим" отключена и при попытке включить пишет что она запускается но потом закрывается, ибо некоторые службы могут проставить...
3. При попытке запустить ярлык "Восстановления" пишет мол отключена возможость в групповых политиках и обратитесь к администратору домена. Домена НЕТ! =)
4. AVZ нашел два подозрительных dll, некий advapi.dll и netapi32.dll. Пишет
Код:
Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->73A6462A->73A51423
и типа того, таких строк много.
Даже в безопасном режиме полноценно сканить нельзя, устанавливать программы тоже, закрывается все и висит как при смене юзера.зы Читал советы по смене имени AVZ и Hijack... попробую. Что еще посоветуете ? )))
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
после переименования и запуска в безопасном режиме все исчезает ((( пустой экран и курсор... приходится перегружаться.
можно ли загрузить проверки с др ос ? она в другом разделе диска и прекрасно работает.
Добавлено через 2 часа 31 минуту
Я могу запустить переименованный файл программы HijackThis, но после запуска он выводит список найденных и закрывается, операционка уходит в пустое окно. Дальше ничего не работает. Естественно безопасный режим.
Последний раз редактировалось dasboot; 02.12.2009 в 22:32.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
кое как удается запустить, но он в конце не находит путь и спрашивает куда сохранить логи, на этом шаге все исчезает.... вроде успеваю нажать на сохранить... но пока логов в той самой папке не вижу.
ко всему прочему на днях появилось - мол повреждена среда юзера, но раб стол грузит тот же... + еще пару троянов удалил с диска системы.
Файл hosts переполнен какой-то фигней с намеком на Spybot search... очень большой список. И он не редактируется.
Последний раз редактировалось dasboot; 03.12.2009 в 00:34.
-
Сообщение от
dasboot
кое как удается запустить,
Пофиксите строку O20 - AppInit_DLLs:
Есть шанс, что поможет сделать логи после перезагрузки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, удалось. прикрепляю....
Последний раз редактировалось dasboot; 24.01.2010 в 17:48.
-
Junior Member
- Вес репутации
- 53
Сейчас удалось запустить остальные проверки. ZBotkiller нашел 12 Hooked imports а повторно еще 33...
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Полный комплект логов сделайте (в нормальном режиме)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Стало значительно лучше.
- Диспетчер задач заработал
- Ctrl + Alt + Del тоже ))
ps интернет на той ОС пока не включал.
Пару раз вылетал "проводник" при сёрфе по папкам винды.
Правда такое было и до вирусов, но редко.
Вот логи. В нормальном режиме.
Вопросы:
- Ось пишет что профиль поврежден, но вроде все загружается и работает. Как решить проблему ?
- Восстановление системы не содержит точек восстановления до сегодняшнего дня. Что стало со старыми ? Можно ли восстановить ?
Последний раз редактировалось dasboot; 24.01.2010 в 17:47.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
DeleteService('mssrvc');
DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось dasboot; 24.01.2010 в 17:46.
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Самое страшное, что пока замечаю это ошибка "explorer.EXE", появляется при поиске "F3" в моем компьютере. Вечерком могу скрин прицепить.
Если не трудно, можете прокомментировать данные вопросы:
- Ось пишет что профиль поврежден, но вроде все загружается и работает. Если я создам новый профиль проблема решится ?
- Восстановление системы не содержит точек восстановления до сегодняшнего дня. Можно ли восстановить старые, которые точно были ? Или, если вирусов нет можно спокойно пользоваться данной системой ?
Огромное Вам спасибо!!!!!!!!!!!!!!!!!!
Последний раз редактировалось dasboot; 24.01.2010 в 17:48.
-
Junior Member
- Вес репутации
- 53
Еще какие-то трояны нашел. ((
Последний раз редактировалось dasboot; 24.01.2010 в 17:48.
-
Сообщение от
dasboot
- Восстановление системы не содержит точек восстановления до сегодняшнего дня.
Все старые точки удалены при отключении восстановления
Сообщение от
dasboot
Еще какие-то трояны нашел.
Какие и где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделал повторную многократную проверку различными программами - ни единого вируса.
Огромное спасибо за решение проблемы !!!!!!!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan.Win32.Agent2.cmhl ( BitDefender: Gen:Trojan.Heur.bOelrPDBHxcID )
-