Помогите устранить последствия смс вымогателей

**Артёмий** · 08.01.2010, 17:38

Убрал 2 смс баннера. Один про ПО File Downloader и порно баннер на розовом фоне. Первый убил с помощью Get3, а второй в безопасном режиме с помощью CureIt. В автозагрузке находятся непонятные svcnost.exe аж 3 штуки и ещё что-то типа msmsgs.exe/background. Были и другие, но после сканирования CureIt благополучно исчезли. Установленный NOD32 ничего из перечисленного не обнаружил. Думаю, что в системе не всё в порядке, хотя внешне вроде ничего. Да, ярлыки некоторые всё же не отображаются в Internet Explorer, в Mozilla и ещё некоторых программах. Посылаю логи и заархивированный drv, созданный Get3. Помогите, пожалуйста разобраться.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 08.01.2010, 18:09

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
 QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
 DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\ogvxzb');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\pdjtt');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\plwvtbrs');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\tgasa');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Переименуйте drv.sys в MRxSmb.sys и скопируйте в папку C:\WINDOWS\System32\Drivers, заменив имеющийся файл.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Артёмий** · 08.01.2010, 18:52

После выполнения скрипта компьютер стал перезагружаться, но завис и пришлось нажимать reset. Это не страшно?

**Артёмий** · 08.01.2010, 19:08

Сделал новый лог

**PavelA** · 08.01.2010, 19:09

Не страшно, такое возожно.

**AndreyKa** · 08.01.2010, 19:22

Не всё сработало.
Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb\Parameters');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ogvxzb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt\Parameters');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\pdjtt');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs\Parameters');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\plwvtbrs');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa\Parameters');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgasa');
end.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

**Артёмий** · 08.01.2010, 19:40

Новый лог

Прилагаю файл avz_log.txt

**AndreyKa** · 08.01.2010, 22:01

Новый лог virusinfo_syscheck.zip совсем не новый.
Загляните в avz_log.txt.

**Артёмий** · 08.01.2010, 23:02

Новый лог(точно новый)

**AndreyKa** · 08.01.2010, 23:06

Теперь чисто.

**Артёмий** · 08.01.2010, 23:08

Заглянул в avz_log.txt. Посоветуйте пожалуйста, что мне следует делать с теми уязвимостями, что там указаны?

**AndreyKa** · 08.01.2010, 23:12

Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Установите обновления безопасности на программы.

**Артёмий** · 08.01.2010, 23:39

А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?

Добавлено через 21 минуту

В автозагрузке по прежнему msmsgs. Что это за файл? Не опасный?

**Артёмий** · 09.01.2010, 12:06

не могу удалить Mozilla Firefox

**AndreyKa** · 09.01.2010, 12:14

Сообщение от Артёмий

В автозагрузке по прежнему msmsgs. Что это за файл?

Windows Messenger

Сообщение от Артёмий

А с чем связано наличие уязвимостей системы? Это последствия действия вирусов или просто устарело ПО и время пришло обновить?

Пришло время обновить.

Сообщение от Артёмий

не могу удалить Mozilla Firefox

Он, наверное, уже удалён, просто в реестре его записи остались.

**Артёмий** · 09.01.2010, 13:01

Немного расходуется траффик, хотя ничего не происходит, может обновления программ какие сами загружаются?

Добавлено через 36 минут

Ага. После перезагрузки выскочил баннер Adobe Flash Player. Предлагает обновить сейчас, напомнить позже или не устанавливать. Можно установить или опять вирус?

**AndreyKa** · 09.01.2010, 13:34

Вы теперь о каждом действии будете нас спрашивать?

**Артёмий** · 09.01.2010, 13:50

Огромное Вам спасибо!!! Буду Вас рекламировать друзьям и знакомым как единственных достойных специалистов.

**CyberHelper** · 10.01.2010, 13:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Piker.bja ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.IS.416765, AVAST4: Win32:Rootkit-gen [Rtk] )

Помогите устранить последствия смс вымогателей (заявка № 66378)

Опции темы

Помогите устранить последствия смс вымогателей

Итог лечения

Похожие темы

Помогите устранить последствия вируса.

Помогите, пожалуйста, устранить последствия лечения.

Помогите плз устранить последствия вируса..

Помогите устранить последствия

Помогите устранить последствия

Ваши права в разделе