Показано с 1 по 19 из 19.

Помогите устранить последствия смс вымогателей (заявка № 66378)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29

    Thumbs up Помогите устранить последствия смс вымогателей

    Убрал 2 смс баннера. Один про ПО File Downloader и порно баннер на розовом фоне. Первый убил с помощью Get3, а второй в безопасном режиме с помощью CureIt. В автозагрузке находятся непонятные svcnost.exe аж 3 штуки и ещё что-то типа msmsgs.exe/background. Были и другие, но после сканирования CureIt благополучно исчезли. Установленный NOD32 ничего из перечисленного не обнаружил. Думаю, что в системе не всё в порядке, хотя внешне вроде ничего. Да, ярлыки некоторые всё же не отображаются в Internet Explorer, в Mozilla и ещё некоторых программах. Посылаю логи и заархивированный drv, созданный Get3. Помогите, пожалуйста разобраться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ogvxzb');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\pdjtt');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\plwvtbrs');
     BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\tgasa');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.


    Переименуйте drv.sys в MRxSmb.sys и скопируйте в папку C:\WINDOWS\System32\Drivers, заменив имеющийся файл.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    После выполнения скрипта компьютер стал перезагружаться, но завис и пришлось нажимать reset. Это не страшно?

  5. #4
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Сделал новый лог
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не страшно, такое возожно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Не всё сработало.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
    end.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Новый лог

    Прилагаю файл avz_log.txt
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 08.01.2010 в 21:58.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Новый лог virusinfo_syscheck.zip совсем не новый.
    Загляните в avz_log.txt.

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Новый лог(точно новый)
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Теперь чисто.

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Заглянул в avz_log.txt. Посоветуйте пожалуйста, что мне следует делать с теми уязвимостями, что там указаны?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
    Установите обновления безопасности на программы.

  14. #13
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?

    Добавлено через 21 минуту

    В автозагрузке по прежнему msmsgs. Что это за файл? Не опасный?
    Последний раз редактировалось Артёмий; 08.01.2010 в 23:39. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    не могу удалить Mozilla Firefox

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Артёмий Посмотреть сообщение
    В автозагрузке по прежнему msmsgs. Что это за файл?
    Windows Messenger

    Цитата Сообщение от Артёмий Посмотреть сообщение
    А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?
    Пришло время обновить.

    Цитата Сообщение от Артёмий Посмотреть сообщение
    не могу удалить Mozilla Firefox
    Он, наверное, уже удалён, просто в реестре его записи остались.

  17. #16
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Немного расходуется траффик, хотя ничего не происходит, может обновления программ какие сами загружаются?

    Добавлено через 36 минут

    Ага. После перезагрузки выскочил баннер Adobe Flash Player. Предлагает обновить сейчас, напомнить позже или не устанавливать. Можно установить или опять вирус?
    Последний раз редактировалось Артёмий; 09.01.2010 в 13:01. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вы теперь о каждом действии будете нас спрашивать?

  19. #18
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    29
    Огромное Вам спасибо!!! Буду Вас рекламировать друзьям и знакомым как единственных достойных специалистов.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Piker.bja ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.IS.416765, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Артёмий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите устранить последствия вируса.
      От holoc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.02.2012, 21:19
    2. Ответов: 0
      Последнее сообщение: 28.03.2011, 21:16
    3. Ответов: 3
      Последнее сообщение: 02.06.2010, 20:43
    4. Помогите устранить последствия
      От hotwhitewind в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.06.2009, 13:15
    5. Помогите устранить последствия
      От ZYY в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2008, 00:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01394 seconds with 17 queries