MessageBox: Potential spyware operation...

**igorf4** · 04.01.2008, 23:09

Явным признаком вируса является MessageBox. Про этот вирус тут уже писали. Так же блокированы TaskManager и ControlPannel.

Проблема в том, что не могу по правилам приложить логи AVZ - они не создаются. Ошибка:
---------------------------
Антивирусная утилита AVZ.Идет проверка, 91%
---------------------------
Invalid variant type.
---------------------------
OK
---------------------------

При помощи HiJackThis нашел запуск некоей программы (их было 4 штуки - под разными именами одно и то же) и пофиксил эти запуски. Файлы эти cureit вирусами не считает, но проблема пропала... Если надо, могу эту программу аплоадить куда-нибудь.

Остались блокированы TaskManager и ControlPannel:
9. Мастер поиска и устранения проблем
>> Блокировка диспетчера задач
>> Блокировка панели управления
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Заблокированы настройки системы Windows Update

Можно их как-нибудь разблокировать, подскажите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 04.01.2008, 23:22

1 вариант - переименовать avz.exe в game.pif
2 вариант - сделать дополнительный лог

**AndreyKa** · 04.01.2008, 23:43

Если надо, могу эту программу аплоадить куда-нибудь.

По ссылке:
http://virusinfo.info/upload_virus.php?tid=15976
в архиве zip с паролем virus
Лог HiJackThis выкладывайте сюда. И все что AVZ пишет в своем логе тоже (если не получится сделать лог как rubin написал).

**igorf4** · 04.01.2008, 23:57

Я запускаю не в safe mode, а переименование в pif не помогло.

Выкладываю логи, скопированные непосредственно с консоли. К сожалению, логов первого лечения-то уже нет, message box больше не появляется после того как запуск файлов убрал.

Сейчас более всего волнует, как обратно task manager и control pannel вернуть.

**igorf4** · 05.01.2008, 00:01

Файл сохранён как 080104_150125_proper_477e9ea550e37.zip
Размер файла 6934
MD5 18843632aab9a9ae055fdd5c13a72b07

тот же файл был в разных местах под именами autos.exe, infos.exe, proper.exe, winter.exe

**AndreyKa** · 05.01.2008, 00:44

proper.exe

AntiVir - - TR/Crypt.ULPM.Gen
Authentium - - Possibly a new variant of W32/STZ_like!Generic
AVG - - Downloader.Small.60.B
BitDefender - - Trojan.Crypt.AB
eSafe - - suspicious Trojan/Worm
F-Prot - - W32/STZ_like!Generic
Ikarus - - Trojan.Peed.INM
Kaspersky - - Heur.Trojan.Generic
McAfee - - New Malware.bc
Microsoft - - Trojan:Win32/Wantvi.A
NOD32v2 - - Win32/Qhost.ZR
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File With Code Injection Technology
Sophos - - Mal/HckPk-A
Webwasher-Gateway - - Trojan.Crypt.ULPM.Gen

1. Базы AVZ нужно обновить.

2. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 ExecuteRepair(6);
 ExecuteRepair(11);
 QuarantineFile('F:\WINNT\system32\aspimgr.exe','');
 BC_DeleteSvc('aspimgr');
 BC_DeleteFile('F:\WINNT\system32\aspimgr.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(false);
end.

4. Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку.

5. Попробуйте сделайть все логи и приложите их к своей теме.

**igorf4** · 05.01.2008, 02:36

Базы обновил через Файл-Обновление

После выполнения скрипта пошла автоматическая перезагрузка, поэтому лог сохранить никак не смог.

Логи после перезагрузки прилагаются.

**igorf4** · 05.01.2008, 02:44

Файл сохранён как 080104_174432_virus_477ec4e0a274a.zip
Размер файла 37476
MD5 62bced5000d2195ef95ea9fdf4488901

**AndreyKa** · 05.01.2008, 03:17

F:\WINNT\system32\aspimgr.exe - Backdoor.Win32.Agent.dkh

Уже лучше. Проблемы еще остались?

Добавлено через 25 минут

Сообщение от igorf4

После выполнения скрипта пошла автоматическая перезагрузка

Раньше ее не было? Может и логи создались... В папке LOG посмотрите.

**igorf4** · 05.01.2008, 03:24

Спасибо. Надеюсь, что этим все закончилось. Правда в домашней сети есть еще второй компьютер... Но на него уже сил нету... Жаль, что cureit не находит этих вирусов. Еще раз спасибо!

Добавлено через 2 минуты

Сообщение от AndreyKa

Добавлено через 25 минут
Раньше ее не было? Может и логи создались... В папке LOG посмотрите.

Нет, я постоянно смотрел там. Иногда только создавался пустой zip файл и больше ничего.

**CyberHelper** · 22.02.2009, 03:18

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. f:\\winnt\\system32\\aspimgr.exe - Backdoor.Win32.Agent.dkh (DrWEB: Trojan.Three)
2. \\proper.exe - Hoax.Win32.Fera.bm (DrWEB: Trojan.Fakealert.365)

MessageBox: Potential spyware operation... (заявка № 15976)

Опции темы

MessageBox: Potential spyware operation...

Итог лечения

Похожие темы

Warning! Potential Spyware Operation! - 3й день

Warning! Potential Spyware Operation

warning!Potential Spyware Operation!

Warning! Potential Spyware Operation!2

Warning! Potential Spyware Operation!

Ваши права в разделе