Показано с 1 по 7 из 7.

Двойник Services.exe и всякая солянка (заявка № 27790)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    8
    Вес репутации
    36

    Двойник Services.exe и всякая солянка

    Здравствуйте.
    Поднакопилось всяких пиявок, которые avast отказывается видеть. Печально, потому обратился к вам. Солянка различная: бывает аваст кричит, что отправляется безумно много писем на какие-то японские адреса. Потом в IE была подмена ссылок. Т.е. в google нажимаешь ссылку, а она подменяется (!!!) на какую-то другую ссылку с кучей хеша (а-ля контекстная ссылка) через какой-то вебсайт poiskvru. net.
    Вообщем, помогите.
    Заранее спасибо!
    Вы лучшие
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('bolenjx.exe','');
     QuarantineFile('kus109.dat','');
     QuarantineFile('WinNt64.dll','');
     DeleteService('Hmq83');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Hmq83.sys','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\Documents and Settings\Neo\Application Data\Microsoft\Windows\lsass.exe','');
     QuarantineFile('d:\windows\services.exe','');
     QuarantineFile('d:\documents and settings\neo\application data\microsoft\windows\lsass.exe','');
     DeleteFile('d:\documents and settings\neo\application data\microsoft\windows\lsass.exe');
     DeleteFile('d:\windows\services.exe');
     DeleteFile('D:\Documents and Settings\Neo\Application Data\Microsoft\Windows\lsass.exe');
     DeleteFile('D:\WINDOWS\services.exe');
     DeleteFile('D:\WINDOWS\System32\Drivers\Hmq83.sys');
     DeleteFile('WinNt64.dll');
     DeleteFile('kus109.dat');
     DelWinlogonNotifyByFileName('kus109.dat');
     DeleteFile('bolenjx.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    8
    Вес репутации
    36
    Спасибо!
    Пока без проблем, система ещё не привыкла - как прошёл logon Windows-а не включился explorer.

    Файл сохранён как080809_085528_virus_489da1d0b3bd8.zipРазмер файла206533

    Плюс какой-то коник поставил мне ограничения на систему

    Вот копия экспорта реестра.

    Код:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ratings]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
    "InstallTheme"="D:\\WINDOWS\\Resources\\Themes\\Royale.theme"
    "InstallVisualStyle"="D:\\WINDOWS\\Resources\\Themes\\Royale\\Royale.msstyles"
    "dontdisplaylastusername"="0"
    "DisableRegistryTools"="1"
    "DisableTaskMgr"="1"
    "shutdownwithoutlogon"="1"
    "undockwithoutlogon"="1"
    "legalnoticecaption"=""
    "legalnoticetext"=""
    Однако, действуют они не полностью (к счастью) и я могу запускать диспетчер задач, панель управления и всё-всё, кроме настройки времени! (часов)
    "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети."
    Обычно, если я удаляю эти параметры, то они восстанавлива.тся снова. Сейчас ещё раз попробую удалить.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    отключите восстановление системы !!!
    пофиксите
    Код:
    O20 - Winlogon Notify: avicore - avicore.dll (file missing)
    O20 - Winlogon Notify: WinNt64 - D:\WINDOWS\
    O20 - Winlogon Notify: __c0024152 - D:\WINDOWS\SYSTEM32\__c0024152.jpg
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('__c0024152.jpg','');
     QuarantineFile('avicore.dll','');
     DeleteFile('avicore.dll');
     DeleteFile('__c0024152.jpg');
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteSysClean;
    BC_DeleteSvc('aspnet_stateSamSs');
     BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    8
    Вес репутации
    36
    Перезагрузился. Часы теперь работают, вроде бы никаких ограничений более нет.
    Однако, перед во время "запуска Windows" (ещё на голубом фоне и до выбора пользователя) появилось окошко, название и текст которого совпадали и содержали примерно следующее: "┐Ъ" и кнопка ОК. Я уж подумал, что всё, кранты. Но после нажатия ОК появилась обычная загрузка пользователя и всё без проблем.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    логи где ?

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\documents and settings\\neo\\application data\\microsoft\\windows\\lsass.exe - Trojan-Clicker.Win32.Agent.buo (DrWEB: Trojan.DownLoad.3444)
      2. d:\\system volume information\\_restore{dfb1e48a-3477-44db-96aa-6d23a0fbf2d9}\\rp69\\a0039703.sys - Rootkit.Win32.Agent.byw (DrWEB: Trojan.Spambot.2885)
      3. d:\\windows\\services.exe - Email-Worm.Win32.Joleee.b (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) Diskovod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. csrcs.exe и всякая бяка
      От cool-deX в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.07.2011, 18:55
    2. дисксканер и всякая бяка
      От Азиз в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:17
    3. Ntos.exe и всякая зараза ((
      От Luka_ в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.06.2008, 19:39
    4. Сборная мобильная солянка
      От SDA в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 29.04.2008, 19:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01403 seconds with 17 queries