-
Junior Member
- Вес репутации
- 53
Помогите устранить последствия смс вымогателей
Убрал 2 смс баннера. Один про ПО File Downloader и порно баннер на розовом фоне. Первый убил с помощью Get3, а второй в безопасном режиме с помощью CureIt. В автозагрузке находятся непонятные svcnost.exe аж 3 штуки и ещё что-то типа msmsgs.exe/background. Были и другие, но после сканирования CureIt благополучно исчезли. Установленный NOD32 ничего из перечисленного не обнаружил. Думаю, что в системе не всё в порядке, хотя внешне вроде ничего. Да, ярлыки некоторые всё же не отображаются в Internet Explorer, в Mozilla и ещё некоторых программах. Посылаю логи и заархивированный drv, созданный Get3. Помогите, пожалуйста разобраться.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ogvxzb');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\pdjtt');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\plwvtbrs');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\tgasa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Переименуйте drv.sys в MRxSmb.sys и скопируйте в папку C:\WINDOWS\System32\Drivers, заменив имеющийся файл.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта компьютер стал перезагружаться, но завис и пришлось нажимать reset. Это не страшно?
-
Junior Member
- Вес репутации
- 53
-
Не страшно, такое возожно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Не всё сработало.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
-
-
Junior Member
- Вес репутации
- 53
Новый лог
Прилагаю файл avz_log.txt
Последний раз редактировалось AndreyKa; 08.01.2010 в 21:58.
-
Новый лог virusinfo_syscheck.zip совсем не новый.
Загляните в avz_log.txt.
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Junior Member
- Вес репутации
- 53
Заглянул в avz_log.txt. Посоветуйте пожалуйста, что мне следует делать с теми уязвимостями, что там указаны?
-
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Установите обновления безопасности на программы.
-
-
Junior Member
- Вес репутации
- 53
А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?
Добавлено через 21 минуту
В автозагрузке по прежнему msmsgs. Что это за файл? Не опасный?
Последний раз редактировалось Артёмий; 08.01.2010 в 23:39.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
не могу удалить Mozilla Firefox
-
Сообщение от
Артёмий
В автозагрузке по прежнему msmsgs. Что это за файл?
Windows Messenger
Сообщение от
Артёмий
А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?
Пришло время обновить.
Сообщение от
Артёмий
не могу удалить Mozilla Firefox
Он, наверное, уже удалён, просто в реестре его записи остались.
-
-
Junior Member
- Вес репутации
- 53
Немного расходуется траффик, хотя ничего не происходит, может обновления программ какие сами загружаются?
Добавлено через 36 минут
Ага. После перезагрузки выскочил баннер Adobe Flash Player. Предлагает обновить сейчас, напомнить позже или не устанавливать. Можно установить или опять вирус?
Последний раз редактировалось Артёмий; 09.01.2010 в 13:01.
Причина: Добавлено
-
Вы теперь о каждом действии будете нас спрашивать?
-
-
Junior Member
- Вес репутации
- 53
Огромное Вам спасибо!!! Буду Вас рекламировать друзьям и знакомым как единственных достойных специалистов.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Piker.bja ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.IS.416765, AVAST4: Win32:Rootkit-gen [Rtk] )
-