-
Junior Member
- Вес репутации
- 53
Непонятный вирус Hidden object
Отключает отображение языковой панели на рабочем столе и восстановление системы. При включении отображения панели и перезагрузке ПК запускается попеременно от 10 до 30 процессов msnwm.exe (наблюдается в диспетчере задачь). Данные процессы нельзя отключить. (загрузка ЦП 100% комп еле тепердвигается. Но можно в Безопасном режиме снова скрыть язык панель, и все восстановится. Касперский int sec 2010 находит файл hidden object msnwm.exe в с:\Temp, c:\windows\system 32. но при удалении пишет что файл не нашел, и физически его там нет.
Помогите пожалуйста: третий день не могу с ним справится. Не один антивирус не вычещает.
Вот результаты тестирования avz^
Вложение 187849
Вложение 187850
Вложение 187851
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O2 - BHO: (no name) - {E707216F-6AFF-4BD4-962D-EC5CDBA812A1} - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - AppInit_DLLs: в
O20 - Winlogon Notify: ddcCtQjg - ddcCtQjg.dll (file missing)
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{7352D456-85B4-4187-80EA-E5E6283BCEFF}\RP192\A0050193.sys','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('msnwm.exe','');
DeleteFile('msnwm.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{7352D456-85B4-4187-80EA-E5E6283BCEFF}\RP192\A0050193.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Карантин отправил.
Языковая панель восстановилась, но восстановление системы заблокировано. К окне "Свойства системы" невозможно установить восстановление системы.
Вот логи после выполнения скрипта:
Вложение 187891
Вложение 187892
Вложение 187893
-
-
-
Junior Member
- Вес репутации
- 53
Cделать лог с помощью антируткита Gmer:
Вложение 187945
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\wsldso.dll','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
7013zxjy.exe -del service SRTime
7013zxjy.exe -del file "C:\WINDOWS\system32\wsldso.dll"
7013zxjy.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SRTime"
7013zxjy.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SRTime"
7013zxjy.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SRTime"
7013zxjy.exe -reboot
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт AVZ:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\wsldso.dll','' );
end.
Скрипт выполнен без ошибок - в каркнтине пусто.
Удаление файла:C:\Documents and Settings\User\Рабочий стол\for virusinfo\avz4\Quarantine\ *.*
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wsldso.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wsldso.dll)
Карантин с использованием прямого чтения - ошибка
Сейсас делаю лог gmer
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Скажите вирус остался на ПК? И чтото можно сделать с "восстановлением системы" или нужно windows переустановить. (резервной копии нет).
-
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Junior Member
- Вес репутации
- 53
-
Спасибо не пишется, а нажимается.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Sasfis.wzk ( DrWEB: Trojan.Spambot.6760, AVAST4: Win32:FakeAlert-FD [Trj] )
-