-
Вложений: 3
Неизвестный вирус
Обнаружил вирус, когда при попытке войти в социальную сеть появилось подозрительное окошко с требованием ввести номер телефона. Кроме этого возникла проблема с обоями рабочего стола (выдавал ошибку Active Desktop, вылечил сбросом настроек обозревателя). Файл Hosts в system32/drivers/etc содержал в глубине документа приписки с адресами касперского и др. сайтов (могу выслать), эту дрянь исправить не удалось, т.к. файл возвращается в такое состояние каждый раз после запуска системы.
AVPTool использовать не удалось: при установке ошибка: Please try to reboot your computer. Error message is Client register error:-2147024894. В другой раз вообще перезагрузился непроизвольно при попытке установки.
CureIt при полной проверке всего диска нашёл только dorkdin.dat в WINDOWS/AppPatch, зараженный Trojan.PWS.Ibank.300 (удален).
Применил по правилам AVZ и HijackThis, последний при выполнении "Do a system scan and save a logfile" выдал ошибку An unexpected error has occured at procedure: modMain_Start Scan() Error #5 - Invalid procedurecall or argument. Сделанные логи высылаю.
Прошу помочь устранить проблемы с hosts, если возможно найти в чём проблема c AVP и HiJackThis. Кроме этого напрягает окошко трея: разное число иконок, точнее часто загружает далеко не все.
-
Уважаемый(ая) [B]SerzhPiter[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Выполните скрипт в AVZ в [B]безопасном[/B] режиме
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\serzhpiter\application data\lsass.exe');
QuarantineFile('c:\documents and settings\serzhpiter\application data\lsass.exe','');
DeleteFile('c:\documents and settings\serzhpiter\application data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
Выполнил, карантин прислал. Левый lsass убит, больше в hosts левые приписки не идут, процессы в трее отображаются по-прежнему когда как, иногда даже ползунок громкости не появляется. AVP по-прежнему не устанавливается, Hijack выдает ту же ошибку.
-
-
Вложений: 3
Отправляю во вложении новые логи
-
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\SerzhPiter\Application Data\lsass.exe[/CODE]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
-
Вложений: 1
Отправляю во вложении лог полного сканирования МБАМ.
-
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Зараженные папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029845.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015090.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015091.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015092.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015093.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015094.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015095.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015096.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015097.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0015098.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029843.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029844.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029846.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029847.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029848.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029849.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029850.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\serzhpiter\doctorweb\quarantine\A0029851.exe (PUP.Uusee) -> No action taken.
c:\documents and settings\администратор\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\documents and settings\serzhpiter\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
c:\documents and settings\serzhpiter\local settings\Temp\0.3636030326466685.exe (Exploit.Drop.2) -> No action taken.
c:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> No action taken.[/code]
-
Вложений: 1
Выполнил. Проблемы с треем, AVP и HiJackThis сохранились. Логи МБАМ прилагаются
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00909 seconds with 10 queries