Показано с 1 по 18 из 18.

"Your system is infected" и "Click here to protect..." (заявка № 52307)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54

    Thumbs up "Your system is infected" и "Click here to protect..."

    Здравствуйте!

    Обращаюсь за помощью. Симптомы следующие.
    Антивирус AVG обнаружил Win32/Cryptor C:\WINDOWS\system32\logon.exe и через некоторое время закрыл его в хранилище.
    Затем из трея выскочило "Click here to protect your computer from spyware!" - Виндовс нашла скрытое шпионское ПО и т. п.", тут же открывается какая-то "антивирусная" прога, начинает сканирование, быстро "находит" кучу всего и просит скачать себе подкрепление с инета. Таблетка Др.Веба удалила трояна в C:\ProgramFiles\ в папке с именем этого объявившегося "антивируса". К сожалению, имени трояна не помню.
    После перегрузки из трея продожает выскакивать "Click here ..." и иногда окно виндовс "Warning! надо скачать защиту и т. п.", обои сменились на надпись "Your system is infected" (сменяются каждый раз при загрузке винды после прогрузки элементов автозапуска, после чего появляются и ярлыки рабоч. стола).
    Также выскакивало окно "Не удалось найти logon.exe", но после удаления из реестра при помощи AVZ ключей с параметром "logon.exe" выскакивать перестало.
    Не работает:
    - безопасный режим (перегружается);
    - диспетчер задач;
    - regedit и gpedit.msc;
    - TheBat!
    Проверка антивирусом AVG и с LiveCD DrWeb, как и таблеткой, ничего не дала (делалась несколько раз на каждый диск отдельно, так как в процессе несколько раз комп перегружался).
    WinRAR отказывался открывать архивы с AVZ и HijackThis, открылись WinZip'ом.

    Помогите, пожалуйста! Заранее спасибо.

    С уважением ...
    Вложения Вложения
    Последний раз редактировалось Oblom; 17.08.2009 в 21:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winupdate.exe','');
     QuarantineFile('digeste.dll','');
     DeleteService('hced467');
     QuarantineFile('C:\WINDOWS\\SystemRoot\System32\drivers\hced467.sys','');
     DeleteFile('C:\WINDOWS\\SystemRoot\System32\drivers\hced467.sys');
     DeleteFile('digeste.dll');
     DeleteFile('C:\WINDOWS\system32\winupdate.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    сделайте такой http://www.gmer.net/ лог

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Скрипт выполнил, карантин выслал.
    Изменения:
    - обои всё равно меняются на "Your system is ...", но из трея пропало всплывающее окно;
    - только после выполнения
    "REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f" заработал диспетчер задач; regedit тоже запускается;
    - заработал TheBat!;
    - смог обновить антивирус.

    С логом GMER'а, надеюсь, не напутал.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи авз повторите

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Готово.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\drivers\hced467.sys','');
    QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E9G5O78X\crypt_install[1].exe','');
    QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IVKR4BOP\exe[1].exe','');
    DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IVKR4BOP\exe[1].exe');
    DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E9G5O78X\crypt_install[1].exe');
    DeleteFile('C:\WINDOWS\System32\drivers\hced467.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('hced467');
    BC_DeleteSvc('c6c4a591.sys');
    BC_DeleteSvc('ati4svxx');
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи AVZ.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Доброго времени суток!

    Скрипт выполнил, карантин выслал.
    Изменения: теперь надпись на рабочем столе пропала, но смена обоев всё ещё недоступна.
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\drivers\hced467.sys','');
     DeleteService('hced467');
     DeleteFile('C:\WINDOWS\System32\drivers\hced467.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Смена обоев стала доступна.
    Карантин получен или следует повторить загрузку?
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\winlogon.exe - пришлите согласно приложения 2 правил

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Карантин отправлен.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл в карантине чистый.
    Какие проблемы остались?
    С regedit'ом знакомы?
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Всё вроде работает нормально, жаловаться пока не на что - тревожные симптомы исчезли. Огромное спасибо хелперам!
    Насчёт regeit: имею общее представление, без крайней необходимости и подсказки туда не лезу.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нужно удалить следующие ключи реестра:
    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\hced467
    HKEY_LOCAL_MACHINE \SYSTEM\ControlSet002\Services\hced467

    Если ключ не удаляется, щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его.

    После удаления перезагрузите компьютер и повторите п.2 Диагностики.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    HKEY_LOCAL_MACHINE \SYSTEM\ControlSet002\Services\hced467 - удалился без проблем.
    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\hced467 - "не удалось открыть раздел: ошибка при открытии раздела", а при попытке удалить - "не удалось удалить раздел: ошибка при удалении раздела".
    В разрешениях стоит полный доступ, в виндовс захожу как администратор.
    Кроме того, есть ещё раздел:
    HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\hced467, он открывается, видны ключи, но при удалении пишет ту же ошибку.
    Пробовал удалить ключи через "Поиск ключей реестра" в AVZ - тоже пишет об ошибке, если нужно - лог пришлю.
    Вложения Вложения
    Последний раз редактировалось Oblom; 19.08.2009 в 19:05.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте удалить с помощью Ice Sword.
    Ну если и так не получится - оставьте его, т.к. файла все равно уже нет, а ключ реестра сам по себе не опасен.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    9
    Вес репутации
    54
    Как выяснилось, файл был:
    C:\WINDOWS\System32\drivers\hced467.sys на 45 Кб.
    С помощью Ice Sword удалил из реестра всё, что нашлось по маске "hced467", после чего удалил сам hced467.sys.
    Ещё раз спасибо, сейчас пожаловаться вроде не на что.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\winupdate.exe - Trojan-Downloader.Win32.FraudLoad.fez ( DrWEB: Trojan.Fakealert.4742, BitDefender: Trojan.FakeAlert.BIM, AVAST4: Win32:Trojan-gen {Other} )


  • Уважаемый(ая) Oblom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 2
      Последнее сообщение: 03.12.2010, 10:09
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    4. "Critical system error, click here to fix" -- поп-ап из трея
      От Stormbird в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:31
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01273 seconds with 20 queries