Показано с 1 по 16 из 16.

Неубиваемый порно информер (заявка № 62080)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30

    Exclamation Неубиваемый порно информер

    Добрый день,

    Решил поделиться с вами своей проблемой. С таким не убиваемым вирусом сталкиваюсь впервые...

    Проснувшись с утра и включив ноутбук, я обнаруживаю, что вместо нормально работающей винды у меня перед лицом огромный порно информер с просьбой отправить смс на короткий номер... Ну думаю, ничего страшного, сейчас включу (по-умолчанию постоянно отключен) каспера и все пройдет. Включаю, он скачивает новые базы и начинает проверять систему, естественно, что все это в безопасном режиме с поддержкой сетевых драйверов, в нормальном режиме система сразу виснет и ничего сделать нельзя - регэдит заблокирован, диспетчер заданий заблокирован. Запускаю каспера он ищет, находит кучу вирусов, особо отметился расплодившийся по всему компьютеру neshta.a, который каспер в большинстве случаев вылечить не смог, почитал в интернете - скачал CureIt, она вылечила некоторые файлы от нешты, нашла еще троян PWS.Panda, были еще другие разные тараканы... Но! Сам порно информер остался на месте, разблокировал реестр и диспетчер задач через AVZ, далее добавил в реестр, то что должно было по идеи помочь против нешты(нашел в интернете):
    REGEDIT4


    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command]
    @="\"%1\" %*"

    но при входе в винду в нормальном режиме все откатывается на прежние позиции, реестр и диспетчер снова блокируются... порно информер на том же месте где и был, Касперский беспомощно информируют об угрозе и предлагает ее нейтрализовать после чего сам нейтрализуется вирусом. Повозившись с AVZ удалось добиться того, что порно информер время от времени перестал появляться, но возникла другая проблема при попытке запустить касперского или AVZ в нормальном режиме компьютер просто отключался.

    Перепробовал вообще все, потратил двое суток, сканировал Касперским, CureIt, через AVZ запускал разные скрипты (в том числе те, что находил на этом форуме по схожим проблемам) - безрезультатно... Порно информер так и вылезает (уже даже независимо от запуска браузера), если не вылезает, то компьютер просто отключается, даже оперу удалил, не помогает, половина приложений не пашет...

    В винде под нормальным режимом, при попытке развернуть касперского из фонового режима - он закрывается, после чего снова открывается в виде порно информера (см. скриншоты), такая же ситуация с оперой и другими программами.


    Мысли сводятся к формату винчестера...
    Кто-нибудь с таким сталкивался?

    Ниже два скриншота с порно информером. Второе изображение это скриншот, сделаный во время нажатия Alt+F4...






    Alt+F4



    P.S.
    Работаю из под безопасного режима и режима восстановления службы каталогов.

    P.S.S.
    -------------------------------------
    Нашел svcnost.exe в HiJack логе, что с ним делать?
    Последний раз редактировалось Red19; 02.12.2009 в 22:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Доброго времени суток. Отключите восстановление системы!
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\internet explorer\svcnost.exe,
    O20 - AppInit_DLLs: C:\Windows\system32\KRkfW.dll
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\internet explorer\svcnost.exe','');
     QuarantineFile('C:\Windows\system32\KRkfW.dll','');
     QuarantineFile('C:\Windows.old\Windows\svchost.com','');
     DeleteFile('C:\Windows\system32\KRkfW.dll');
     DeleteFile('c:\program files\internet explorer\svcnost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    Не удалось отключить восстановление системы, у меня почему-то отсутствует нужная закладка... После выполнение выше изложенных инструкций вроде отпустило... AVZ скачал вчера, базы обновить сегодня не получилось, что-то с конектом, у меня вай фай, а он мне выбрасывает окно со звонилкой, видимо у меня что-то не так в настройках. Карантин закачал, сейчас делаю логи. Работаю в нормальном режиме, касперский и прочие приложения работают нормально.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    В карантине точно Neshta.a

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\Windows.old\Windows\svchost.com');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    На всякий случай пролечитесь от файловых вирусов http://virusinfo.info/showthread.php?t=15927

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам.
    Сделал, прилагаю.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Все на месте

    Выполняли?
    Цитата Сообщение от thyrex Посмотреть сообщение
    На всякий случай пролечитесь от файловых вирусов http://virusinfo.info/showthread.php?t=15927
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    begin
    DeleteFile('C:\Windows.old\Windows\svchost.com');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Micr osoft\Windows NT\SystemRestore','DisableSR',1);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Выполнил скрипт. Логи прилагаю.

    Полечиться по правилам не получается, на настольном компьютере вообще апокалипсис, ни одно приложение не запускается ни в каком виде, ошибка pump.exe. Видимо там точно надо форматировать. Поэтому сейчас нет здорового компьютера. Возможно позже получиться достать копию CureIt. Еще вроде kido бродит по всем моим компьютерам и флэшкам, но с ноута вроде я его убрал...

    Что-то с вирусами завал полный, видимо из локалки все прет

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    >> Заблокированы настройки системы System Restore
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Новый лог virusinfo_syscheck.zip подготовьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    Цитата Сообщение от thyrex Посмотреть сообщение
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Новый лог virusinfo_syscheck.zip подготовьте
    Сделал, прилагаю.

  11. #10
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    up

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Новый лог сделайте и сообщите, решена ли проблема
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    Делаю логи.
    Но после всех манипуляций со скриптами возникла проблема с Оперой и некоторыми другими программами, у меня ни один браузер кроме Firefox не работает, Опера пишет "Проблема сети" и не грузит ни одну страницу. UAC тоже ни в какую не хочет отключаться, не смотря на то, что галочка в панели управления снята, а она все равно продолжает работать. Что делать? Винда 32 битная


    Проблема с интернетом решена скриптом:
    begin
    ExecuteRepair(15);
    RebootWindows(true);
    end.

    Вот только как UAC выключить?
    Последний раз редактировалось Red19; 05.12.2009 в 22:52.

  14. #13
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    новые логи

  15. #14
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    9
    Вес репутации
    30
    up

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Плохого не увидел
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows.old\windows\svchost.com - Virus.Win32.Neshta.a ( DrWEB: Win32.HLLP.Neshta, BitDefender: Trojan.Generic.2618715, NOD32: Win32/Neshta.A virus, AVAST4: Win32:Neshta )
      2. c:\windows\system32\krkfw.dll - Trojan-Ransom.Win32.Agent.hz ( DrWEB: Trojan.BrowseBan.129 )


  • Уважаемый(ая) Red19, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ПОРНО ИНФОРМЕР
      От lavrov в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.07.2010, 17:23
    2. порно-информер
      От Таьяна в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.03.2010, 08:49
    3. порно-информер
      От Angelisk в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.01.2009, 21:56
    4. порно информер
      От pirog™ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2008, 17:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01661 seconds with 16 queries