Показано с 1 по 19 из 19.

Не могу избавится от вируса, которы постоянно предлагает закачать различное ПО (заявка № 20151)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59

    Question Не могу избавится от вируса, которы постоянно предлагает закачать различное ПО

    В системе появился вирус, и ни какими средствами не могу его побороть.
    Проявляется он следующим образом:
    • Невозможно запустить Диспетчер задач, т.к. на панели задач не открывается контекстное меню. (Запуск Диспетчера возможен только клавишами Alt-Ctrl-Del)
    • Иногда при закрытии Internet Explorer выдается сообщение: Инструкция по адресу 0х00117396а обратилась к памяти по адресу 0х0011b0e0c. Память не может быть «read». «OK» -- завершение приложения. После нажатия на «ОК», появляется окно: Runtime Error 216 at 00117396а
    • Иногда в трее появляется значок в виде желтого треугольника с восклицательным знаком: System Message, после нажатия на этот значок появляется модальное окно со следующим содержимым: «PrivacyConductor may find dangerous traces that need to be cleaned. …» и далее «OK» «Отмена», нажимаешь «Отмена», переходит на сайт www.privacyconductor.com и там предлагается загрузить программное обеспечение для очистки компьютера от всяких угроз. После закрытия этого окна, больше ничего не происходит, но через некоторое время опять в трее появляется значок в виде желтого треугольника с восклицательным знаком: System Message, но по вышеописанному сценарию предлагается перейти на www.advancedcleaner.com или www.drivedefender.com и.т.д., т.е. каждый раз переход на разные сайты с предложением: очистить компьютер от вирусов, оптимизировать работу системы, загрузить лучший Downloader и.т.д.
    Все это проявляется не часто, где то раза 3-4 за день, но все равно неприятно.
    Установленные антивирусные программы:
    • Касперский Антивирус 7.0
    • Agnitun Outpost Firewall 4.0
    Выполнил все действия, оговоренные в Правилах (в том числе и проверку системы CureIT в безопасном режиме), и прилагаю требуемые логи. Надеюсь на Вашу помощь, заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Работы для нас много накопили , но восст. системы надо было отключить.

    Ограничения на IE сами ставили?
    Отключить антивирус, фаервалл.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
     QuarantineFile('D:\Nutc\bin\ncoeenv.exe','');
     QuarantineFile('D:\Program Files\Office Mouse\moffice.exe','');
     QuarantineFile('D:\WINDOWS\alxvdvm.dll','');
     QuarantineFile('D:\WINDOWS\bvtqfvx.dll','');
    QuarantineFile('C:\Recycled\Q330995.exe','');
    QuarantineFile('D:\WINDOWS\system32\rsvp.exe','');
    DeleteFile('C:\Recycled\Q330995.exe');
    BC_DeleteSvc('reset5');
    BC_DeleteSvc('Maiptcwqwas');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20151

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F3 - REG:win.ini: run= 
    O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
    O20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dll
    Последний раз редактировалось PavelA; 20.03.2008 в 15:33.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Восстановление системы не отключил, каюсь, а вот про ограничения IE, я не понял, вроде я ничего такого не делал?
    Рекомендации выполнил, спасибо большое

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин прислал?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Карантин послал по ссылке:
    http://virusinfo.info/upload_virus.php?tid=20151
    Т.е. той которая была в Вашем первом ответе

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Еще логи нужно новые сделать.

    Вот этого не досталось, надо поискать через AVZ:
    QuarantineFile('D:\WINDOWS\alxvdvm.dll','');
    QuarantineFile('D:\WINDOWS\bvtqfvx.dll','');

    Найдутся прислать.


    D:\Nutc\bin\ncoeenv.exe -чистый

    Добавлено через 6 минут

    'D:\Program Files\Office Mouse\moffice.exe' - чистый
    Последний раз редактировалось PavelA; 20.03.2008 в 19:49. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Проблема осталась
    Файлы:
    QuarantineFile('D:\WINDOWS\alxvdvm.dll','');
    QuarantineFile('D:\WINDOWS\bvtqfvx.dll','');
    программой AVZ найти не могу
    По поводу логов, если я правильно Вас понял надо выполнить еще раз пункты 8-10 правил?
    Выполнил все в соответстии с правилами
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{29F022D8-F5E4-4DCB-B1FC-CBCBB3392501}');
     QuarantineFile('D:\WINDOWS\system32\clusap.dll','');
    QuarantineFile('D:\WINDOWS\System32\msdtc.exe','');
     QuarantineFile('D:\WINDOWS\system32\rsvp.exe','');
     DeleteFile('D:\WINDOWS\system32\clusap.dll');
     BC_DeleteSvc('Crypkey License');
     BC_DeleteSvc('Reset 5');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O21 - SSODL: bvtqfvx - {7E9E26CC-BCFB-4013-BB97-005A0D84539D} - D:\WINDOWS\bvtqfvx.dll (file missing)
    O21 - SSODL: alxvdvm - {93DFC463-6346-4031-B708-E48FA003DB2F} - D:\WINDOWS\alxvdvm.dll (file missing)
    Сделать еще раз все логи.

    У Вас Касперский лицензионный, базы обновляются? Надо бы им полную проверку компьютера сделать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    1.Скрипт выполнил
    2.Карантин выслал по ссылке
    3.Пофиксил в HijackThis рекомендованные строки
    4.Касперским полную проверку компьютера делал, базы обновленные, т.е. обновляются ежедневно.
    Новые логи сделал:
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    'D:\WINDOWS\system32\clusap.dll' - TrojanHorse (по Симантеку), Касперский ее должен знать. В его настройках должна стоять галочка про расшаренные базы.

    D:\DOCUME~1\MV\LOCALS~1\Temp\sp.dll - поискать через AVZ
    Если найдется, то прислать.

    Попробуйте провериться при помощи sfc /scannow. Может потребоваться диск с дистрибутивом Виндовс. Мне не нравиться, что отсутствует 'D:\WINDOWS\system32\rsvp.exe'
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
    QuarantineFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20151 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Спасибо Вам, уважаемые PavelA и kps!
    Сегодня вроде не появлялось сообщение System Message и
    перестало при закрытии Internet Explorer выдаваться сообщение: Инструкция по адресу 0х00117396а обратилась к памяти по адресу 0х0011b0e0c., похоже что вылечелось, но диспетчер задач все-равно не запускается, но скорее всего необходимо выполнить sfc/ scannow, т.е.что то в Windows порушилось.

    2 kps:
    Скрипт выполнил, карантин выслал, но вроде бы пока все нормально.
    Еще раз большое спасибо

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Скрипт выполнил, спасибо большое!

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Какие-то проблемы остались?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Вроде все основные проблемы исчезли, но не могу запустить: sfc /scannow
    Пишет: Защита файлов Windows не смогла запустить сканирование защищенных системных файлов.
    Код ошибки:0x000006ba [Сервер RPC не доступен]
    Вот здесь:
    http://support.microsoft.com/kb/296241/ru
    уже побывал не помогло.
    Это вроде впрямую не относится к сути проблемы, т.к. проблема вроде как разрешилась, но если что посоветуете, буду очень признателен.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    М.б. это не та версия Виндов, не тот диск. Кстати, это делать надо не в защищенном режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    14
    Вес репутации
    59
    Я делал это не в защищенном режиме и еще до установки диска. На другом компьютере попробовал запустить: sfc /scannow
    Там все прошло гладко, Windows выставил окошко, что то типа: Сейчас будет выполнено сканирование системы, вставте диск с дистрибутивом. На моем компьютере почему то такой фокус не получается.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\system volume information\\_restore{399bdd40-055f-4172-8799-c6adbfff3a25}\\rp599\\a0139424.dll - Rootkit.Win32.Podnuha.ba (DrWEB: Trojan.DownLoader.56883)
      2. d:\\windows\\system32\\clusap.dll - Rootkit.Win32.Podnuha.ax (DrWEB: Trojan.DownLoader.56883)


  • Уважаемый(ая) Hugo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу избавится от вируса win32/injector
      От Алекс Л в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.11.2010, 15:08
    2. Ответов: 2
      Последнее сообщение: 11.02.2010, 12:00
    3. Ответов: 8
      Последнее сообщение: 14.12.2009, 16:02
    4. Не могу избавится от вируса
      От Vitalina21 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.10.2009, 11:31
    5. Ответов: 8
      Последнее сообщение: 01.11.2008, 17:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00688 seconds with 20 queries