Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

AutoRun.FakeAlert.M (заявка № 60682)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30

    Thumbs down AutoRun.FakeAlert.M

    Вообщем сегодня утром,нод выдал сообщение о данном черве,после чего был автоматически перезагружен ПК.После загрузки вылетело окно "вы используете нелицензионную версию виндовс,отправьте смс на номер ..." ,после чего закрылся експлорер.ехе (насколько я понял просто запустилось окошко со спамом,и заблокировался експлорер.ехе , тк использую только лицензионную продукцию)
    Просканил всё что можно НОД'ом и др вебом Cure It! , вроде как удалось всё исправить(был вылечен файл в svhost.exe в папке Program Files/Microsoft Common,и удалены все файлы содержащие данный червь)
    Но всё бы хорошо,но ПК при открытии любого приложения/простой папки загружается на 100% и очень сильно "тормозит",что я подозреваю обозначает то,что червь удалён не до конца. Логи AVZ/HijackThis приложил.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите службу восстановления системы (см. Приложение 1 Правил).
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
    QuarantineFile('cru629.dat','');
    DeleteFile('cru629.dat');
     QuarantineFile('braviax.exe','');
     DeleteFile('braviax.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteService('GarenaPEngine');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DHDC4B.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\hmonitor.sys','');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DHDC4B.tmp');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    Карантин вроде переслал... лог приложил
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\SeekappSrch\seekapp.dll');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пофиксте в HijackThis строку:
    O20 - AppInit_DLLs: cru629.dat
    После перезагрузки сделайте новый лог HijackThis.

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    Готово..

  7. #6
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    ПК стал тормозить всё больше...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
    Отключите службу Dr.Web ® Scanning Engine.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Предварительно отключив самозащиту антивируса. Иначе не получится.

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    до сп3 обновился...а Dr.Web ® Scanning Engine удалить не представляется возможным,т.к при удалении самого антивируса(самозащита была выключена),файл дрвтсн32.длл остался и не удаляется(висит в сис. процессах как dwengine.exe , на попытки доступа пишет отказ)

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,567
    Вес репутации
    3022
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Службу остановите - Мой компьютер - Управление - Службы и приложения - Службы - Dr.Web ® Scanning Engine

    Если удаляете антивирусные продукты, есть полезная ссылка -
    http://virusinfo.info/showthread.php?t=16646
    thyrex, собственно уже дал ссылку

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от миднайт Посмотреть сообщение
    Службу остановите - Мой компьютер - Управление - Службы и приложения - Службы - Dr.Web ® Scanning Engine
    Она не останавливается. Только тип запуска поменять на "Отключено" и перезагрузиться.

  14. #13
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    Готово,скан движок выключил до сп3 обновился,но лаги так и не пропали

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Обновите базы AVZ. Сделайте новые логи и приложите к этой теме.

  16. #15
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    Вот..

  17. #16
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    актуально,лаги снизились на 30-40%...проблемы в пк нету,просканил хдд / проверил сам пк,не перегревается,всё нормально..по прежнему ощущение что червь оставил корни в какихто файлах

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll','');
     QuarantineFile('C:\System Volume Information\_restore{7930C26E-8B1D-45B2-B24D-651A56F25DF5}\RP50\A0045030.dll','');
     QuarantineFile('C:\ACP\acpng.dll','');
     DeleteFile('C:\System Volume Information\_restore{7930C26E-8B1D-45B2-B24D-651A56F25DF5}\RP50\A0045030.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Удалите бунжур http://virusinfo.info/showthread.php...hlight=bonjour
    Spyware Doctor - бесполезна, тоже можно удалить.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте новые логи.
    зы. Кстати это ваше? C:\Documents and Settings\Admin\Мои документы\STEAM\Powerful GeneratoR.exe

  19. #18
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    Карантин отправил чуть раньше(делал логи),логи прикладываю.
    Насчёт зы. да моё,если не ошибаюсь это было в папке со стар стимом в которой все .ехе файлы были изолированы НОДом сразу после распаковки(начало июля) (виндовс после этого не переустанавливал)

  20. #19
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    13
    Вес репутации
    30
    проблема актуальна..

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Dr.Web - не удали,
    Бонжур не удалили(нужен?),
    Spyware Doctor тоже оставили,
    Восстановление системы включено.
    ??
    Такой лог сделайте http://virusinfo.info/showthread.php?t=40118

  • Уважаемый(ая) FAERTRANCE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Червь Autorun.FAKEALERT.AF
      От FOXX в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 14.08.2009, 22:30
    2. Autorun.Fakealert.M и еще хз что
      От khelaar в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.08.2009, 17:50
    3. Обнаружен Autorun.FakeAlert.M
      От SlavikS70 в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 13.08.2009, 09:33
    4. Неистребимый AutoRun.FakeAlert.M
      От Vitorio в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.05.2009, 18:02
    5. AutoRun.FakeAlert.M
      От KpaH4iTo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.04.2009, 13:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01114 seconds with 17 queries