Здравствуйте, был черный порно баннер на рабочем столе с отправкой смс для его устранения,
я его снес но что-то осталось, потомучто AVZ(pp.exe) и HijackThis(game.exe) запускаються только с переименованием.
Пожалуйста помогите убить заразу :)
Printable View
Здравствуйте, был черный порно баннер на рабочем столе с отправкой смс для его устранения,
я его снес но что-то осталось, потомучто AVZ(pp.exe) и HijackThis(game.exe) запускаються только с переименованием.
Пожалуйста помогите убить заразу :)
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency','*.*',true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин [/COLOR][/U][/B]вверху темы.
Сделайте новые логи
Воть
Пофиксите в HijackThis:
[code]
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Crazy Vegas Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\crazyvegasMPP\MPPoker.exe (file missing) (HKCU)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('PowerManager');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Выполните скрипт из этой темы:
[url]http://virusinfo.info/showthread.php?t=43700[/url].
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\activedsl.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
.
Пролечитесь так [url]http://virusinfo.info/showthread.php?t=15927[/url]
Вариант с LiveCD предпочтительнее
пролечился LiveCD c svchost.exe проблем нет спс))
вопрос, в AVZ пишится...
[SIZE=2]KiST = 804E26A8 (284)
[/SIZE][SIZE=2][COLOR=#ff0000]Функция NtCreateKey (29) перехвачена (8056E9A9->F770E0E0), перехватчик spge.sys
Функция NtEnumerateKey (47) перехвачена (8056F0B0->F772CCA2), перехватчик spge.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F772D030), перехватчик spge.sys
Функция NtOpenKey (77) перехвачена (80567EFB->F770E0C0), перехватчик spge.sys
Функция NtQueryKey (A0) перехвачена (8056EDB9->F772D108), перехватчик spge.sys
Функция NtQueryValueKey (B1) перехвачена (8056B303->F772CF88), перехватчик spge.sys
Функция NtSetValueKey (F7) перехвачена (8057516D->F772D19A), перехватчик spge.sys
[/COLOR][/SIZE][SIZE=2]Проверено функций: 284, перехвачено: 7, восстановлено: 0
[/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862A2368 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862A2368 -> перехватчик не определен
[/COLOR][/SIZE]
это нормально?
С перехватами все в порядке
Вопрос: у Вас DrWeb установлен?
spge.sys - драйвер виртуального диска от Даемона.
сейчас нету Работующего антивиря, есть DrWeb AV-Desk установленный но он перестал запускаться гдето месяца 3 назат, и пока порно баннер не появился ни разу ни какого антивируса не запускал(да и они комп нагружают, умя он слабенький:)), сейчас пользуюсь Dr.Web CureIt.... еще раз большое спасиб вам за помощь:>
Насчёт AV-Desk надо провайдера спросить. Может, подписка у вас кончилась?
Поищите вот этот файл C:\WINDOWS\system32\activedsl.exe (возможно скрытый)
На врятли, думаю Win32.HLLP.Jeefo.36352 убил .exe у мя еще мног программ не запускалось... я так понял этот злой WINDOWS\svchost.exe и сеял этого Дракона Jeefo сейчас пролечился LIveCD и Dr.Web CureIt, программы всеравно не запускаються, только с переустановкой, ну главное что Дракон убит знач все хорошо)
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\activedsl.exe
такого файла нету, есть похожие
C:\WINDOWS\system32\activeds.dll
C:\WINDOWS\system32\activeds.tlb
и
C:\WINDOWS\system32\dllcache\activeds.dll
C:\WINDOWS\system32\dllcache\activeds.tlb
Выполните скрипт в AVZ
[code]begin
DeleteService('WebClientSPIDERNT');
DeleteFile('C:\WINDOWS\system32\activedsl.exe');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
/
Порядок
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\svchost.exe - [B]Virus.Win32.Hidrag.a[/B] ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )[*] c:\windows\system32\drivers\mssrvc.sys - [B]Trojan.Win32.Agent.ddeu[/B] ( BitDefender: Trojan.Generic.2854654, AVAST4: Win32:Crypt-AUN [Trj] )[/LIST][/LIST]