-
Junior Member
- Вес репутации
- 53
Последствия вирусов.
Здравствуйте. В начале декабря подхватила вирус-требовал отправку смс и запускался отсчёт времени. Не запускались никакие *.exe-приложения и диспетчер задач. После установки второй винды избавилась от вируса. Через день появился баннер plagin.exe, удалила. Теперь загружается процесс svchost.exe, который занимает память процессора. Помогите, пожалуйста.
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('mssrvc');
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
QuarantineFile('CC:\WINDOWS\system32\uubai.dlls','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mssrvc');
SetAVZPMStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 17.12.2009 в 00:49.
-
-
Junior Member
- Вес репутации
- 53
Загрузите карантин согласно Правил (Приложение 3) - когда я запускаю AVZ, из меню "Файл" -> "Просмотр карантина", там пусто.
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uubai.dll','');
DeleteFile('C:\WINDOWS\system32\uubai.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
AVZ => Файл => Мастер поиска и устранения проблем. Категория - "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
-
Пофиксите в HijackThis:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\uubai.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Program Files\LeechLLC:mstorr.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64026).
Повторите лог syscure (п.1 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Карантин прислала.
Лог выполнила.
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
-
В логах чисто. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 53
Во вложении print screen диспетчера файлов. Проц загружен на 97%. Проблема та же.
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
-
-
-
Junior Member
- Вес репутации
- 53
Сделать лог не получается. При запуске вылетает ошибка.
gmer.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Сведения об ошибке:
AppName: gmer.exe
AppVer: 1.0.15.15281
ModName: gmer.exe
ModVer: 1.0.15.15281
Offset: 0005c887
-
Выгружайте все защитные приложения при запуске гмер! Если ошибка повториться, попробуйте сделать лог из безопасного режима.
-
-
Junior Member
- Вес репутации
- 53
Извините, но ничего не получилось...
Выгрузила все защитные приложения, та же ошибка. В безопасном режиме тоже ошибка.
-
Попробуем так. Временно деинсталлируйте DAEMON Tools. Сделайте лог гмер, скачав с сайта http://www.gmer.net/ утилиту со случайным именем.
-
-
Junior Member
- Вес репутации
- 53
Получилось. Спасибо за совет. Лог с помощью gmer во вложении
Последний раз редактировалось ma-goo; 08.11.2010 в 19:03.
*<C>*
-
В логе ничего вредоносного не обнаружено.
-
-
Junior Member
- Вес репутации
- 53
gjf, snifer67, Bratez, миднайт, спасибо Вам!
Думаю, тему можно закрыть
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-