-
Junior Member
- Вес репутации
- 56
Порно-баннер. Отправьте СМС на номер 8353
Поймал порно-баннер с просьбой отправить СМС на номер 8353.
Через сервис разблокировки на сайте Касперского получил код. Баннер исчез.
В безопасном режиме компьютер не загрузился. Прогнал в «обычном режиме» Drweb CureIt и Spybot – Search & Destroy.
Drweb CureIt нашел trojan.startpage.1505.
Spybot – Search & Destroy тоже «выцепил» какую-то дрянь (к сожалению в торопях не зафиксировал названия.).
После также пробовал Drweb LiveCD - тот ничего не обнаружил.
После всех процедур компьютер так и грузиться в «безопасном режиме» - похоже какая-то дрянь все же осталась. Помогите пожалуйста искоренить!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(10);
RebootWindows(true);
end.
Отпишитесь
-
-
Junior Member
- Вес репутации
- 56
Прошу прощения! В предыдущем сообщении опечатка! Надо было «компьютер так и НЕ грузиться в «безопасном режиме»».
Скрипт выполнил, но ситуация не изменилась. В «безопасном режиме» все же загрузился, подождав 10-15 минут (возможно он и до выполнения скрипта загрузился бы, если подождать 10-15 мин.)
Запустил в «безопасном режиме» Drweb CureIt … Раньше Drweb CureIt проходил все HDD за 3-4 часа. Сейчас прошло уже 10 часов, а мы все еще в районе C:\windows\system32\drivers\*.sys. На каждый файл *.sys уходит по 5-7 минут. Индикатор HDD постоянно горит, как будто бы идут непрерывные дисковые операции. Пока ничего не найдено за исключением пары вирусов в кэше Eset (c:\program files\eset\cache) и Trojan.StartPage.1505 в каталоге c:\documents and settings\All Users\Application Data\Spybot – Search & Destroy\Snapshots2.
Вот еще. При перезагрузках комп завершает работу раза в 2 дольше обычного. Может это Spybot – Search & Destroy и его лучше uninstall уже?
-
-
-
Junior Member
- Вес репутации
- 56
Готово. При закрытии MBAM почему-то сказал что идет сканирование, хотя все вроде было закончено .
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.
Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Директор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Директор\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Директор\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
После выполнения скрипта комп НЕ перезагрузился автоматически. Сохранил в архив карантин AVZ, а затем перезагрузил вручную.
После перезагрузки выполнил инструкции по удалению в МВАМ. Лог прикреплен. Карантин где положено.
К сожалению симптомы пока все остались:
- комп долго уходит на перезагрузку
- в "безопасный режим" грузиться примерно 10 минут.
-
Попробуйте удалить SpyBot
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Вот еще нашел в Spybot – Search & Destroy чего он удалил (ну то есть с моего согласия):
- Bredolab.fb
- Virtumonde.sdn
- Microsoft.Windows.AppFirewallBypass
- PornoBHO.ru
- TargetMarketingAgency
Сейчас попробую его (Spybot – Search & Destroy ) удалить
Добавлено через 2 минуты
Увы! Не помогло ... Неужели format C: !?
Последний раз редактировалось chips; 13.04.2010 в 21:03.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 56
Может быть еще раз AVZтом?
-
Сделайте комплект логов. И, если не затруднит, подробнее опишите суть проблемы.
-
-
Junior Member
- Вес репутации
- 56
Поймал порно-баннер с просьбой отправить СМС на номер 8353.
Через сервис разблокировки на сайте Касперского получил код. Баннер исчез.
Остались ощущения присутствия какой то дряни, складывающиеся из следующих признаков:
- комп долго уходит на перезагрузку
- в "безопасный режим" грузиться примерно 10 минут
- при запуске Drweb в безопасном режиме за 10 часов прошел не более 30% проверки. При этом на каждый файл C:\windows\system32\drivers\*.sys уходит по 5-7 минут. Индикатор HDD постоянно горит, как будто бы идут непрерывные дисковые операции.
Прогнал в «обычном режиме» Drweb CureIt. Нашел и удалил trojan.startpage.1505.
Запустил Spybot – Search & Destroy. Нашел и удалил:
- Bredolab.fb
- Virtumonde.sdn
- Microsoft.Windows.AppFirewallBypass
- PornoBHO.ru
- TargetMarketingAgency
Загрузился с Drweb LiveCD и просканировал. Ничего не обнаружено.
Далее обратился к Вам. Выполнил все предписания. Однако все вышеуказанные проблемы:
- комп долго уходит на перезагрузку;
- в "безопасный режим" грузиться примерно 10 минут;
- при запуске Drweb в безопасном режиме за 10 часов проходит не более 30% проверки. При этом на каждый файл C:\windows\system32\drivers\*.sys уходит по 5-7 минут. Индикатор HDD постоянно горит, как будто бы идут непрерывные дисковые операции
остались
-
Junior Member
- Вес репутации
- 56
Ну хоть бы вердикт какой?
-
Сообщение от
chips
Остались ощущения присутствия какой то дряни, складывающиеся из следующих признаков:
- комп долго уходит на перезагрузку
- в "безопасный режим" грузиться примерно 10 минут
- при запуске Drweb в безопасном режиме за 10 часов прошел не более 30% проверки. При этом на каждый файл C:\windows\system32\drivers\*.sys уходит по 5-7 минут. Индикатор HDD постоянно горит, как будто бы идут непрерывные дисковые операции.
Предполагаю, что Ваши проблемы могут быть из-за этих вот программ:
- SuperSpeed Software;
- StrongDisk Pro--
Основные функции данной утилиты:
* возможность разделения диска на логические устройства без потери данных;
* возможность изменения размеров разделов без потери данных; возможность изменения размера кластеров, преобразования из FAT16 в FAT32 и обратно;
* встроенные утилиты для управления разделами и низкоуровневого редактирования содержимого жестких дисков;
* поддержка до 100 операционных систем на одном компьютере;
* возможность загрузки операционной системы с любого раздела, с любого жесткого диска;
* поддержка нескольких операционных систем на одном FAT-разделе;
* проверка на наличие бутовых вирусов.
Временно отключите/удалите эти программы и понаблюдайте за ПК
-
-
Junior Member
- Вес репутации
- 56
Дело в том, что этот софт стоит уже ...ндцать лет и не приводил к таким последствиям.
Если я Вас правильно понял - в логах все чисто?
Видимо все-таки что-то слетело в реестре и придется делать format C: (
В любом случае спасибо за помощь.
Добавлено через 4 часа 46 минут
Сейчас вспомнил!!! Точно такая же проблема была и здесь http://virusinfo.info/showthread.php?t=53833. Я ведь тогда ее победил. Но КАК? Вот этого не могу вспомнить!
Последний раз редактировалось chips; 15.04.2010 в 18:59.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-