-
Junior Member
- Вес репутации
- 53
Последствия "СМСбаннера"? Несколько вирусов, не запускается Аваст и т.п.
Здравствуйте.
Проблем несколько. Я не знаю, существует ли причинно-следственная связь между описанными ниже событиями, но раз в правилах говорится, что надо описать ситуацию подробно, начну с того момента, когда началась эта череда несчастий:
Несколько дней назад был подхвачен баннер, блокирующий windows с требованием отправить СМС. В безопасном режиме CureIt (на тот момент не самая новая, так как доступа в инет не было) обнаружила несколько объектов (точные названия привести сейчас не могу), которые были вылечены или удалены. После этого комп стал очень долго загружаться, баннер при этом не исчез.
Пришлось звать системщика, в результате манипуляций которого баннера не стало. Был установлен SP4, драйвер SoundMAX (ибо пропал звук) и программка Panda Research USB Vaccine.
Спустя пару часов я заметил новые проблемы. Аваст стал периодически обнаруживать вирусы (одни и те же, но несколько разных), удалял - через некоторое время происходило тоже самое. Также появлялись сообщения: «Generic Host Process for Win32 Services – обнаружена ошибка. Приложение будет закрыто». CureIt также обнаруживала объекты, лечила/удаляла и снова обнаруживала. Все это происходит в течение четырех дней, более-менее нормальная работа чередуется с такими проблемами как:
- непонятные звуки (периодическое «попикивание»),
- невозможность переключить раскладку клавиатуры,
- случается торможение
- ноль реакции на любые действия, в том числе на вызов диспетчера задач
- появление сообщения «Generic Host Process for Win32 Services – обнаружена ошибка»
- вчера перестал запускаться Аваст, хотя, судя по сообщениям файервола, программа проявляет активность. (файервол Outpost был установлен в процессе борьбы с вирусами)
Аваст и CureIt обнаруживали следующие объекты: WinLock, Win32.HLLM.Autorunner.5555 (объект x), Troyan.Oficla.4, Troyan.PWS.Webmonier.198. Были и другие, но их названия сейчас не вспомнить.
P.S.
1. Следуя инструкциям, изложенным в правилах, не обнаружил вкладки «Восстановление системы» (XP, есть вкладки: общие, имя компьютера, оборудование, дополнительно, автоматическое обновление, удаленные сеансы) и соответственно отключить не мог.
2. От имени администратора программы не запускаются с той же аргументацией, что и при попытке запустить Аваст.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сообщите, что изменилось.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вкладка "восстановление системы" появилась. Аваст запустился, обновился и через пять минут нашел 2 объекта Win32:Confi[Wrm]
x в WINDOWS\System32 и
myhqkamt[1].jpg в ...TemporaryInternetFiles\Content.IES\WD2Z0LIB
Удалил
После перезагрузки запустил CureIt, которая обнаружила три объекта также со случайными именами и графическими расширениями, квалифицировав все как Win32.HLLM.Autorunner.5555.
1 файл в папке в ...TemporaryInternetFiles\Content.IES\WD2Z0LIB
еще 2 файла в ...TemporaryInternetFiles\Content.IES\K5EFK1IN
Снова сделал логи. Комп завис, а после перезагрузки я не мог попасть на ваш сайт (как и на другие, антивирусные). После того, как KidoKiller убил один файл, проблема вроде решилась.
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('esohch');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
напоминаю о себе (так как прошло более одного дня)