Показано с 1 по 14 из 14.

Типа антивирус, требует смс (заявка № 85322)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24

    Thumbs up Типа антивирус, требует смс

    После загрузки компьютера появляются окна windows secutity centr и threat found, оповещающие об угрозах вирусов, при нажатии "лечить" появляется окно с требованием прислать смс. При убирании этого окна тут же вылетает браузер с ошибкой (скриншот ошибки http://s02.radikal.ru/i175/1008/ec/5a43378217b3.jpg ).
    В трее постоянно мигает значок PC defender с сообщением о найденных угрозах и время от времени предлагающий обновить базу данных (тоже за смс, конечно). И так повторяется и повторяется...
    После нескольких таких сообщений и отказов от предлагаемого ими выскакивает сообщение об ошибки в NT AUTHORITY\SYSTEM и предупреждение что через минуту компьютер перегрузится... ну и перезагружается, да.
    Никаких антивирусов перед этим не ставил, да и вообще ничего не ставил... Логи в таких условиях провести невозможно, попробую зайти и сделать их в безопасном режиме.
    Слава богу в этот раз хоть без всяких порнобаннеров...
    Ну вот, едва успел создать тему, как вылезла ещё куча ошибок и появился синий экран.
    Пишу уже с безопасного режима, тут никаких проблем не наблюдается, сейчас займусь логами.
    Последний раз редактировалось bam24; 13.08.2010 в 19:47.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    Сделал логи, прикреплены к сообщению. Перед ними так же делал проверку dr. web cureit, был вроде как найден один вирус.
    Вложения Вложения

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\d9b57950.exe','');
     QuarantineFile('C:\WINDOWS\system32\44d06860.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Program Files\Def Group\PC Defender\pcdef.exe','');
     DeleteFile('C:\Program Files\Def Group\PC Defender\pcdef.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Defender');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\WINDOWS\system32\44d06860.exe');
     DeleteFile('C:\WINDOWS\system32\d9b57950.exe');
    DeleteFileMask('C:\Program Files\Def Group', '*.*', true);
    DeleteDirectory('C:\Program Files\Def Group');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи в нормальном режиме без запущенного CureIt

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    Всё сделал.
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ в безопасном режиме
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('sfc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи в нормальном режиме + лог МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    Готово.
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09} (Trojan.Ransom) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken.
    C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\БАМ\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    C:\Documents and Settings\БАМ\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
    Выполните скрипт в AVZ в безопасном режиме
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи AVZ и МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    м, а если я уже закрыл МВАМ, для удаления теперь нужно заново проводить полное сканирование? В закладке "карантин" почему-то только прошлогодние, со старой проверки, файлы.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Да, сканировать придется заново
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    Сделал всё. Логов с МВАМ тут 2, более ранний это тот что дался после удаления, по ссылке в вашем посте сказано что он нужен, поздний лог - данный после очередного сканирования.
    Вложения Вложения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2010
    Сообщений
    32
    Вес репутации
    24
    Вроде всё нормально.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Acrobat Reader 9.3 или удалите старый
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\бам\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.Refroso.brlv ( DrWEB: Trojan.Botnetlog.126, BitDefender: Trojan.Generic.4775866, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\\program files\\def group\\pc defender\\pcdef.exe - Trojan.Win32.FakeAV.cki ( DrWEB: Trojan.Fakealert.18672, BitDefender: Trojan.Generic.4592656, NOD32: Win32/Adware.PCDefender.AC application, AVAST4: Win32:Adware-gen [Adw] )
      3. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
      4. c:\\windows\\system32\\d9b57950.exe - Trojan.Win32.Inject.atkb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.419900, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
      5. c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
      6. c:\\windows\\system32\\44d06860.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )


  • Уважаемый(ая) bam24, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Непонятный антивирус требует СМС
      От mikee442 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.01.2010, 21:04
    2. Новый поддельный антивирус требует с пользователей выкуп
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 26.03.2009, 22:09
    3. Типа sanitardiska
      От Vanya666 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 03:53
    4. Антивирус Stocona не требует обновлений
      От sorbek в разделе Общая сетевая безопасность
      Ответов: 4
      Последнее сообщение: 11.08.2005, 16:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00527 seconds with 21 queries