-
Junior Member
- Вес репутации
- 53
Неубиваемый порно информер
Добрый день,
Решил поделиться с вами своей проблемой. С таким не убиваемым вирусом сталкиваюсь впервые...
Проснувшись с утра и включив ноутбук, я обнаруживаю, что вместо нормально работающей винды у меня перед лицом огромный порно информер с просьбой отправить смс на короткий номер... Ну думаю, ничего страшного, сейчас включу (по-умолчанию постоянно отключен) каспера и все пройдет. Включаю, он скачивает новые базы и начинает проверять систему, естественно, что все это в безопасном режиме с поддержкой сетевых драйверов, в нормальном режиме система сразу виснет и ничего сделать нельзя - регэдит заблокирован, диспетчер заданий заблокирован. Запускаю каспера он ищет, находит кучу вирусов, особо отметился расплодившийся по всему компьютеру neshta.a, который каспер в большинстве случаев вылечить не смог, почитал в интернете - скачал CureIt, она вылечила некоторые файлы от нешты, нашла еще троян PWS.Panda, были еще другие разные тараканы... Но! Сам порно информер остался на месте, разблокировал реестр и диспетчер задач через AVZ, далее добавил в реестр, то что должно было по идеи помочь против нешты(нашел в интернете):
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command]
@="\"%1\" %*"
но при входе в винду в нормальном режиме все откатывается на прежние позиции, реестр и диспетчер снова блокируются... порно информер на том же месте где и был, Касперский беспомощно информируют об угрозе и предлагает ее нейтрализовать после чего сам нейтрализуется вирусом. Повозившись с AVZ удалось добиться того, что порно информер время от времени перестал появляться, но возникла другая проблема при попытке запустить касперского или AVZ в нормальном режиме компьютер просто отключался.
Перепробовал вообще все, потратил двое суток, сканировал Касперским, CureIt, через AVZ запускал разные скрипты (в том числе те, что находил на этом форуме по схожим проблемам) - безрезультатно... Порно информер так и вылезает (уже даже независимо от запуска браузера), если не вылезает, то компьютер просто отключается, даже оперу удалил, не помогает, половина приложений не пашет...
В винде под нормальным режимом, при попытке развернуть касперского из фонового режима - он закрывается, после чего снова открывается в виде порно информера (см. скриншоты), такая же ситуация с оперой и другими программами.
Мысли сводятся к формату винчестера...
Кто-нибудь с таким сталкивался?
Ниже два скриншота с порно информером. Второе изображение это скриншот, сделаный во время нажатия Alt+F4...
Alt+F4
P.S.
Работаю из под безопасного режима и режима восстановления службы каталогов.
P.S.S.
-------------------------------------
Нашел svcnost.exe в HiJack логе, что с ним делать?
Последний раз редактировалось Red19; 02.12.2009 в 22:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток. Отключите восстановление системы!
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\internet explorer\svcnost.exe,
O20 - AppInit_DLLs: C:\Windows\system32\KRkfW.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\internet explorer\svcnost.exe','');
QuarantineFile('C:\Windows\system32\KRkfW.dll','');
QuarantineFile('C:\Windows.old\Windows\svchost.com','');
DeleteFile('C:\Windows\system32\KRkfW.dll');
DeleteFile('c:\program files\internet explorer\svcnost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
Не удалось отключить восстановление системы, у меня почему-то отсутствует нужная закладка... После выполнение выше изложенных инструкций вроде отпустило... AVZ скачал вчера, базы обновить сегодня не получилось, что-то с конектом, у меня вай фай, а он мне выбрасывает окно со звонилкой, видимо у меня что-то не так в настройках. Карантин закачал, сейчас делаю логи. Работаю в нормальном режиме, касперский и прочие приложения работают нормально.
-
В карантине точно Neshta.a
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Windows.old\Windows\svchost.com');
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
На всякий случай пролечитесь от файловых вирусов http://virusinfo.info/showthread.php?t=15927
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам.
Сделал, прилагаю.
-
Все на месте
Выполняли?
Сообщение от
thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
begin
DeleteFile('C:\Windows.old\Windows\svchost.com');
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Micr osoft\Windows NT\SystemRestore','DisableSR',1);
ExecuteSysClean;
RebootWindows(true);
end.
Выполнил скрипт. Логи прилагаю.
Полечиться по правилам не получается, на настольном компьютере вообще апокалипсис, ни одно приложение не запускается ни в каком виде, ошибка pump.exe. Видимо там точно надо форматировать. Поэтому сейчас нет здорового компьютера. Возможно позже получиться достать копию CureIt. Еще вроде kido бродит по всем моим компьютерам и флэшкам, но с ноута вроде я его убрал...
Что-то с вирусами завал полный, видимо из локалки все прет
-
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Новый лог virusinfo_syscheck.zip подготовьте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Новый лог virusinfo_syscheck.zip подготовьте
Сделал, прилагаю.
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
Компьютер перезагрузится.
Новый лог сделайте и сообщите, решена ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Делаю логи.
Но после всех манипуляций со скриптами возникла проблема с Оперой и некоторыми другими программами, у меня ни один браузер кроме Firefox не работает, Опера пишет "Проблема сети" и не грузит ни одну страницу. UAC тоже ни в какую не хочет отключаться, не смотря на то, что галочка в панели управления снята, а она все равно продолжает работать. Что делать? Винда 32 битная
Проблема с интернетом решена скриптом:
begin
ExecuteRepair(15);
RebootWindows(true);
end.
Вот только как UAC выключить?
Последний раз редактировалось Red19; 05.12.2009 в 22:52.
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\windows.old\windows\svchost.com - Virus.Win32.Neshta.a ( DrWEB: Win32.HLLP.Neshta, BitDefender: Trojan.Generic.2618715, NOD32: Win32/Neshta.A virus, AVAST4: Win32:Neshta )
- c:\windows\system32\krkfw.dll - Trojan-Ransom.Win32.Agent.hz ( DrWEB: Trojan.BrowseBan.129 )
-