Показано с 1 по 19 из 19.

Помогите устранить последствия смс вымогателей (заявка № 66378)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26

    Thumbs up Помогите устранить последствия смс вымогателей

    Убрал 2 смс баннера. Один про ПО File Downloader и порно баннер на розовом фоне. Первый убил с помощью Get3, а второй в безопасном режиме с помощью CureIt. В автозагрузке находятся непонятные svcnost.exe аж 3 штуки и ещё что-то типа msmsgs.exe/background. Были и другие, но после сканирования CureIt благополучно исчезли. Установленный NOD32 ничего из перечисленного не обнаружил. Думаю, что в системе не всё в порядке, хотя внешне вроде ничего. Да, ярлыки некоторые всё же не отображаются в Internet Explorer, в Mozilla и ещё некоторых программах. Посылаю логи и заархивированный drv, созданный Get3. Помогите, пожалуйста разобраться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ogvxzb');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\pdjtt');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\plwvtbrs');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\tgasa');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.


    Переименуйте drv.sys в MRxSmb.sys и скопируйте в папку C:\WINDOWS\System32\Drivers, заменив имеющийся файл.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    После выполнения скрипта компьютер стал перезагружаться, но завис и пришлось нажимать reset. Это не страшно?

  5. #4
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Сделал новый лог
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Не страшно, такое возожно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Не всё сработало.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    end.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Новый лог

    Прилагаю файл avz_log.txt
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 08.01.2010 в 21:58.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Новый лог virusinfo_syscheck.zip совсем не новый.
    Загляните в avz_log.txt.

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Новый лог(точно новый)
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Теперь чисто.

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Заглянул в avz_log.txt. Посоветуйте пожалуйста, что мне следует делать с теми уязвимостями, что там указаны?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
    Установите обновления безопасности на программы.

  14. #13
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?

    Добавлено через 21 минуту

    В автозагрузке по прежнему msmsgs. Что это за файл? Не опасный?
    Последний раз редактировалось Артёмий; 08.01.2010 в 23:39. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    не могу удалить Mozilla Firefox

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от Артёмий Посмотреть сообщение
    В автозагрузке по прежнему msmsgs. Что это за файл?
    Windows Messenger

    Цитата Сообщение от Артёмий Посмотреть сообщение
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?
    Пришло время обновить.

    Цитата Сообщение от Артёмий Посмотреть сообщение
    не могу удалить Mozilla Firefox
    Он, наверное, уже удалён, просто в реестре его записи остались.

  17. #16
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Немного расходуется траффик, хотя ничего не происходит, может обновления программ какие сами загружаются?

    Добавлено через 36 минут

    Ага. После перезагрузки выскочил баннер Adobe Flash Player. Предлагает обновить сейчас, напомнить позже или не устанавливать. Можно установить или опять вирус?
    Последний раз редактировалось Артёмий; 09.01.2010 в 13:01. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Вы теперь о каждом действии будете нас спрашивать?

  19. #18
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Огромное Вам спасибо!!! Буду Вас рекламировать друзьям и знакомым как единственных достойных специалистов.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Piker.bja ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.IS.416765, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Артёмий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите устранить последствия вируса.
      От holoc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.02.2012, 21:19
    2. Ответов: 0
      Последнее сообщение: 28.03.2011, 21:16
    3. Ответов: 3
      Последнее сообщение: 02.06.2010, 20:43
    4. Помогите устранить последствия
      От hotwhitewind в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.06.2009, 13:15
    5. Помогите устранить последствия
      От ZYY в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2008, 00:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00188 seconds with 22 queries