-
Junior Member
- Вес репутации
- 57
Последствия блокировки WINDOWS
Несколько дней назад винда была заблокирована (на экране окно с содержанием типа ОТПРАВТЕ 400р. на номер...).Разблокировал путём Правки Winlogon параметра SHELL и восстановления файла USERINIT.EXE. Вроде работает сейчас стабильно, но при выключении выскакивает сообщение об ошибке svchost.exe (инструкция по адресу 0x750d2a4c обратилась к памяти по адресу 0x750d2a4c память не может быть "READ"). Возможно это последствия вируса. Помогите разобраться где косяк. Логи согласно правилам прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Gorski, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Рекомендации выполнил. Лог MBAM...
-
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\microsoft shared\mp4v80a.uti) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Зараженные папки:
c:\documents and settings\Admin\application data\winzipsoft (Hoax.ArchSMS) -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\0.5247115804663784.exe (Backdoor.0Access) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9509663314843562.exe (Backdoor.0Access) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\_todel2.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\a.htm (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\bander.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\dir.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\dot.gif (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\logo.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\logo2.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\scroll.css (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\winzipvinfo (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\xsendexe.tmp (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Admin\application data\winzipsoft\_todel.png (Hoax.ArchSMS) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сообщения об ошибке при выключении компьютера нет. Только меня беспокоит строка в логе MBAM
"c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken." И в папке WINDOWS есть файл notepadorig.exe (в описании-БЛОКНОТ от корпорации MICROSOFT). Что бы это значило?