Показано с 1 по 19 из 19.

Помогите устранить последствия смс вымогателей (заявка № 66378)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27

    Thumbs up Помогите устранить последствия смс вымогателей

    Убрал 2 смс баннера. Один про ПО File Downloader и порно баннер на розовом фоне. Первый убил с помощью Get3, а второй в безопасном режиме с помощью CureIt. В автозагрузке находятся непонятные svcnost.exe аж 3 штуки и ещё что-то типа msmsgs.exe/background. Были и другие, но после сканирования CureIt благополучно исчезли. Установленный NOD32 ничего из перечисленного не обнаружил. Думаю, что в системе не всё в порядке, хотя внешне вроде ничего. Да, ярлыки некоторые всё же не отображаются в Internet Explorer, в Mozilla и ещё некоторых программах. Посылаю логи и заархивированный drv, созданный Get3. Помогите, пожалуйста разобраться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ogvxzb');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\pdjtt');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\plwvtbrs');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\tgasa');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.


    Переименуйте drv.sys в MRxSmb.sys и скопируйте в папку C:\WINDOWS\System32\Drivers, заменив имеющийся файл.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    После выполнения скрипта компьютер стал перезагружаться, но завис и пришлось нажимать reset. Это не страшно?

  5. #4
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Сделал новый лог
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2496
    Не страшно, такое возожно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Не всё сработало.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    end.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Новый лог

    Прилагаю файл avz_log.txt
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 08.01.2010 в 21:58.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Новый лог virusinfo_syscheck.zip совсем не новый.
    Загляните в avz_log.txt.

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Новый лог(точно новый)
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Теперь чисто.

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Заглянул в avz_log.txt. Посоветуйте пожалуйста, что мне следует делать с теми уязвимостями, что там указаны?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
    Установите обновления безопасности на программы.

  14. #13
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?

    Добавлено через 21 минуту

    В автозагрузке по прежнему msmsgs. Что это за файл? Не опасный?
    Последний раз редактировалось Артёмий; 08.01.2010 в 23:39. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    не могу удалить Mozilla Firefox

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Цитата Сообщение от Артёмий Посмотреть сообщение
    В автозагрузке по прежнему msmsgs. Что это за файл?
    Windows Messenger

    Цитата Сообщение от Артёмий Посмотреть сообщение
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?
    Пришло время обновить.

    Цитата Сообщение от Артёмий Посмотреть сообщение
    не могу удалить Mozilla Firefox
    Он, наверное, уже удалён, просто в реестре его записи остались.

  17. #16
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Немного расходуется траффик, хотя ничего не происходит, может обновления программ какие сами загружаются?

    Добавлено через 36 минут

    Ага. После перезагрузки выскочил баннер Adobe Flash Player. Предлагает обновить сейчас, напомнить позже или не устанавливать. Можно установить или опять вирус?
    Последний раз редактировалось Артёмий; 09.01.2010 в 13:01. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1288
    Вы теперь о каждом действии будете нас спрашивать?

  19. #18
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    27
    Огромное Вам спасибо!!! Буду Вас рекламировать друзьям и знакомым как единственных достойных специалистов.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    949

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Piker.bja ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.IS.416765, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Артёмий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите устранить последствия вируса.
      От holoc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.02.2012, 21:19
    2. Ответов: 0
      Последнее сообщение: 28.03.2011, 21:16
    3. Ответов: 3
      Последнее сообщение: 02.06.2010, 20:43
    4. Помогите устранить последствия
      От hotwhitewind в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.06.2009, 13:15
    5. Помогите устранить последствия
      От ZYY в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2008, 00:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00324 seconds with 18 queries