-
Junior Member
- Вес репутации
- 61
Вирус убивает настройки и отсылает почту
Доброго времени суток, уважаемые "вирусологи"!
Вот опять мой комп атаковали злые вири: avast сигнализирует о большом количестве исходящих идентичных писем. Вся информация, которая запоминается компьютером стирается (например, при попытке подключиться к internet просят заново настроить свойства TCP/IP, которые при следующем подключении опять пустые, при входе на форум, который я посещаю каждый день просят авторизоваться, хотя раньше функция "Запомнить" позволяла заходить без ежедневной авторизации и т.д.) Но самое "обидное": при входе в WM Keeper после ввода пароля начали запрашивать файл ключей, указываю путь к файлу, просят ввести код доступа к нему - ввожу код, а мне отвечают, что он не правильный, хотя в его правильности я уверен на 100%. Может были аналогичные случаи? Очень надеюсь на Вашу помощь.
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\86a9~1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
-
-
Junior Member
- Вес репутации
- 61
Карантин выслал, логи прикрепляю.
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Junior Member
- Вес репутации
- 61
-
Вылечили.
Очистите временные файлы IE через "Свойства обозревателя".
Выполните скрипт в AVZ:
Код:
begin
DeleteService('FCI');
ExecuteRepair(6);
RebootWindows(true);
end.
(Если ограничения в IE ставили сами, то красную строчку уберите).
Сделайте новый лог HijackThis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Все сделал, лог выкладываю
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
повторить скрипт Bratez. Сделать новый лог hijackthis.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
PavelA
Профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
повторить скрипт Bratez. Сделать новый лог hijackthis.
Сделал
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Junior Member
- Вес репутации
- 61
Все?
Добавлено через 36 минут
А может кто-нибудь что-то по поводу WM Keeper сказать. Я так понял, что код доступа хранился в каком-то файле. А файл этот убил вирус и теперь он не распознает код при вводе. Может кто встречался с такой проблемой, как её решить?
Последний раз редактировалось monia; 18.12.2007 в 22:08.
Причина: Добавлено
-
Опять все на месте. Кстати в логах из #3 ntos.exe не было! Возродился?
Выполните такой скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(16);
RebootWindows(true);
end.
После перезагрузки снова сделайте лог HijackThis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Bratez
Опять все на месте. Кстати в логах из #3 ntos.exe не было! Возродился?
Выполните такой скрипт в AVZ:
...
После перезагрузки снова сделайте лог HijackThis.
Сделал
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Проблемы решены? В логе чисто
-
-
Junior Member
- Вес репутации
- 61
Спасибо! Но с WM Keeper все по прежнему. А никто с таким не сталкивался? Может кто знает, что за файл, который хранит код доступа к ключу? А то ведь восстанавливать это целая ,мягко говоря, проблема.
Добавлено через 2 часа 0 минут
Может можно как-то сделать через "Восстановление системы"?
Последний раз редактировалось monia; 19.12.2007 в 21:11.
Причина: Добавлено
-
Не думаю... лучше обратиться в техподдержку Webmoney
-
-
Junior Member
- Вес репутации
- 61
Блин, опять этот ntos.exe вылез, откуда он берется. Вот лог... Я в интернет даже не заходил, заметил, что комп как-то не так себя ведет, сделал скан в HiJackThis и вот те на...
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
V_Bond
сделайте все логи ....
Выкладываю. Кстати, после выполнения скрипта, который дал Bratez, ntos.exe через некоторое время снова появляется
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Пофиксьте в HiJackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Карантин пришлите
-
-
Junior Member
- Вес репутации
- 61
-
Давайте повторные логи для проверки...
Последний раз редактировалось rubin; 21.12.2007 в 23:19.
-