Показано с 1 по 13 из 13.

Непонятный вирус Hidden object (заявка № 62635)

  1. #1
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27

    Thumbs up Непонятный вирус Hidden object

    Отключает отображение языковой панели на рабочем столе и восстановление системы. При включении отображения панели и перезагрузке ПК запускается попеременно от 10 до 30 процессов msnwm.exe (наблюдается в диспетчере задачь). Данные процессы нельзя отключить. (загрузка ЦП 100% комп еле тепердвигается. Но можно в Безопасном режиме снова скрыть язык панель, и все восстановится. Касперский int sec 2010 находит файл hidden object msnwm.exe в с:\Temp, c:\windows\system 32. но при удалении пишет что файл не нашел, и физически его там нет.

    Помогите пожалуйста: третий день не могу с ним справится. Не один антивирус не вычещает.

    Вот результаты тестирования avz^

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Пофиксить в HijackThis
    Код:
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
    O2 - BHO: (no name) - {E707216F-6AFF-4BD4-962D-EC5CDBA812A1} - (no file)
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
    O20 - AppInit_DLLs: в
    O20 - Winlogon Notify: ddcCtQjg - ddcCtQjg.dll (file missing)
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\System Volume Information\_restore{7352D456-85B4-4187-80EA-E5E6283BCEFF}\RP192\A0050193.sys','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('msnwm.exe','');
     DeleteFile('msnwm.exe');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{7352D456-85B4-4187-80EA-E5E6283BCEFF}\RP192\A0050193.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Карантин отправил.

    Языковая панель восстановилась, но восстановление системы заблокировано. К окне "Свойства системы" невозможно установить восстановление системы.

    Вот логи после выполнения скрипта:

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118.

  6. #5
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Cделать лог с помощью антируткита Gmer:

    gmer.log

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    QuarantineFile('C:\WINDOWS\system32\wsldso.dll','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы


    Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    7013zxjy.exe -del service SRTime
    7013zxjy.exe -del file "C:\WINDOWS\system32\wsldso.dll"
    7013zxjy.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SRTime"
    7013zxjy.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SRTime"
    7013zxjy.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SRTime"
    7013zxjy.exe -reboot
    Сделайте новый лог gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Выполнил скрипт AVZ:

    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    QuarantineFile('C:\WINDOWS\system32\wsldso.dll','' );
    end.

    Скрипт выполнен без ошибок - в каркнтине пусто.

    Удаление файла:C:\Documents and Settings\User\Рабочий стол\for virusinfo\avz4\Quarantine\ *.*
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wsldso.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wsldso.dll)
    Карантин с использованием прямого чтения - ошибка

    Сейсас делаю лог gmer

  9. #8
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Сделал лог:

    gmer1.log

  10. #9
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Скажите вирус остался на ПК? И чтото можно сделать с "восстановлением системы" или нужно windows переустановить. (резервной копии нет).

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Чисто

    Установите SP3 (может потребоваться активация) + все новые заплатки

  12. #11
    Junior Member Репутация
    Регистрация
    06.12.2009
    Сообщений
    17
    Вес репутации
    27
    Спасибо большое.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Спасибо не пишется, а нажимается.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,237
    Вес репутации
    948

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Sasfis.wzk ( DrWEB: Trojan.Spambot.6760, AVAST4: Win32:FakeAlert-FD [Trj] )


  • Уважаемый(ая) flyers, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. PDM.Hidden.object
      От Ivan K в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.01.2012, 21:52
    2. Hidden.Object
      От d1o2r3a4 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 01.07.2010, 18:40
    3. hidden object
      От walid в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 08.12.2009, 05:09
    4. Hidden object
      От arbatskaja в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.06.2009, 10:15
    5. Hidden.Object
      От Warder в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01294 seconds with 21 queries