-
Junior Member
- Вес репутации
- 54
Помогите!!! Вирус - вор
Пожалуйста, помогите.
Началось все с того, что по каким-то непонятным причинам с моего кошелька веб-моней был совершен обмен на счет яндекс-деньги. Но деньги я не переводила. Сам веб-моней почему-то виснет, когда нужно ввести код активации.
А в упавлении компьютером - Просмотр событий - Система:
"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"
И таких сообщений было то ли 5, то ли 6.
Только пользователи разные.
Сейчас поставила усиленную защиту браузера, вроде все нормально.
Только сама программа при активации виснет, и не могу никак внести цифры.
Пожалуйста, помогите, одна надежда на Вас.
Последний раз редактировалось konfetka_2007; 16.05.2010 в 20:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=55429).
Сделайте новые логи, все три по правилам (читайте внимательно, какие именно файлы следует прикреплять).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Пофиксите в HijackThis:
а как профиксить? Там все на английском?
Нашла как. Буду работать
Нет, ничего не помогло в HijackThis!! В чаво, не написано куда необходимо вставлять алгоритм!!!!!
Помогите, плиз, как профиксить в HijackThis!!!!!
Последний раз редактировалось konfetka_2007; 23.09.2009 в 16:01.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
http://virusinfo.info/showthread.php?t=4491
я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!!
-
Junior Member
- Вес репутации
- 54
Лечение
Выполнила скрипт в AVZ. Вот такие вот результаты.
Последний раз редактировалось konfetka_2007; 16.05.2010 в 20:34.
-
Сообщение от
konfetka_2007
я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!!
Какой метод? Какой код? Читаем:
Запустить файл
hijackthis.exe**) В главном окне программы нужно нажать кнопочку "
Do a system scan only"
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку
"Fix Checked". Затем следует перегрузить компьютер.
Всё! Что тут непонятного?
Вот такие вот результаты.
Результаты это хорошо, но в правилах конкретно сказано, какие именно файлы следует прикреплять. Тоже нужно цитировать или сами прочтете?
Логи сейчас посмотрю...
Добавлено через 7 минут
1. Повторяю: Отключите восстановление системы! (см. приложение 1 правил).
2. Пофиксите в HijackThis то, что осталось из списка в сообщении #2.
3. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
4. Пришлите новый карантин согласно приложению 3 правил.
5. Сделайте новые логи (все три в соответствии с п.1-3 раздела Диагностика).
Последний раз редактировалось Bratez; 23.09.2009 в 17:23.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Bratez, пожалуйста посмотрите еще раз.
hijackthis.exe - не нашла этого и поэтому решила что все нужно вставить одним целым, как в AVZ
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,C:\WINDOWS\system32\twext.exe ,C:\WINDOWS\system32\sdra64.exe,
Отключила восстановление системы
Пофиксила в HijackThis
Выполнила скрипт в AVZ
Пожалуйста, посмотрите.
Последний раз редактировалось konfetka_2007; 16.05.2010 в 20:34.
-
В логах больше ничего подозрительного.
Что с проблемой?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
урааааааааа!!!!!!! Спасибо-спасибо-спасибо!!!!!!!!!
Подскажите,
в упавлении компьютером - Просмотр событий - Система:
"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"
Это опасно или нет?
Восстановление системы можно включить?
УРА!!!!!! ВЕБ-МОНЕЙ ЗАРАБОТАЛ!!!!!!! Больше не выскакивает табличка - что он завершает работу.
Ребята, ВЫ ВСЕ ПРОСТО СУПЕР!!!!!!
Последний раз редактировалось konfetka_2007; 24.09.2009 в 10:47.
Причина: веб-моней
-
Вам лучше сменить все коды доступа Web Money, зверь который был у вас, крадет пароли...
-
-
Junior Member
- Вес репутации
- 54
Спасибо, Гриша.
Обязательно сегодня займусь этим.
можно закрывать. У меня все ок.
Последний раз редактировалось konfetka_2007; 24.09.2009 в 20:42.
Причина: закрытие темы
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{d1401922-cf20-4469-ad2f-3f725f972f7c}\rp73\a0030130.exe - Worm.Win32.Bezopi.fj ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Application.Generic.216493, AVAST4: Win32:MalOb-M [Cryp] )
- c:\windows\system32\msvcrt57.dll - Packed.Win32.Krap.x ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Dropper.Preald.B )
-