Показано с 1 по 5 из 5.

Помогите!! Трояны LockScreen + Internet security + что то еще (заявка № 68684)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    4
    Вес репутации
    30

    Exclamation Помогите!! Трояны LockScreen + Internet security + что то еще

    Здравствуйте! Помогите пожалуйста избавиться от вирусов и их последствий. У меня ноутбук ASUS A7J c Win XP Pro 32b.

    Сейчас опишу, что у меня было:

    ЧЕТВЕРГ
    Появился порнобаннер с требованием выкупа по смс. Долго думал, потом поставил Process Explorer, нашел его и грохнул(из запуска, с диска и запись в реестре стер одну). Вроде нормально все стало, НО - перезагрузившись первый раз у меня в FireFox 3.5.7. поехало изображение элементов некоторых сайтов, однако Опера и IE отображали нормально. Переустановил Firefox(при это бэкапил и восстанавливал профиль при помощи MozBackUp), далее перезагрузился и не смог войти в систему - писал "загрузка личных параметров", а потом сразу "завершение сеанса". Ладно - подгрузился как в интернете нашел с LiveCD, заменил userinit на рабочий и прописал соответственно в реестре. Вроде как заработало... Увел машину в спящий режим...

    З.Ы. файлы переносил с рабочей машины с помощью флешки

    ПЯТНИЦА
    Разбудил компьютер и проверил всеми мыслемыми и не мыслемыми средствами, из них CureIt ничего не нашел, через интернет проверка что то нашла и поудаляла. Firefox так же косячил с изображением, Опера и IE вообще отказались загружать страницы. Перезагрузился, и - не смог соединится с интернетом... вообще никак. Проверка на вирусы Web'ом ничего не дала Потом наступили выходные...

    ВЫХОДНЫЕ
    Был не дома и интернета не было. Забэкапил все нужное на второй(логический) диск, форматнул диск С и поставил винду заного -все нормально функционировало оба дня.

    ВОСКРЕСЕНЬЕ ВЕЧЕР
    Приехал домой и подключился к интернету. Начал восстанавливать программы(Ну там Опен Офис, Адоб Ридер, FireFox, почту)... и через полчаса у меня вылезает Internet Security с просьбой заплатить ему денег чтоб 132 файла вылечить, причем блокировал все - и восстановление и ком строку и запуск всего что можно, включая Process Explorer и антивирусы, а когда я открыл папку с AVZ - вообще удалил его исполняемый файл и перезагрузился. Злой он.
    Чего сделал - загрузился с LiveCD и почистил все Temp папки и еще что то, что показалось странным. Загрузился в нормальном режиме -его нету, и слава богу - лег спать...

    ПОНЕДЕЛЬНИК
    Включился - взял у брата программу Троян Ремувер от Касперского и проверелся -нашел кучу всего - черви, трояны и, даже какой то троян даунлоадер, почистил. Думал все - ага, конечно, после перезагрузке вылез опять, причем его появление сначала сопровождается отключение режимов смены раскладки клавиатуры. Опять почистился также и даже 2 раза перезагрузился, пока не вылазит, НО при запуске Firefox пишет что он уже запущен, хотя я его не запускал и в запущенных он не висит. Вот сейчас сделал логи и прикладываю их(virusinfo_cure.zip тоже есть, его не вкладываю пока), сижу боюсь перезагрузиться...

    Помогите пожалуйста - нервы уже на пределе... Спасибо заранее!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт:
    Код:
    Procedure DelAppInit_DLLsByFileName(Name : string);
    var 
      AppInit_DLLs: string;
      i, j, c, s: integer;
      endSearch, found: boolean;
    begin
      if Name = '' then
        exit;
      AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
      endSearch := false;
      while not endSearch do
        begin
          found := false;
          for i := 1 to length(AppInit_DLLs) do
            begin
    	  s := 0;
              c := i;
    	  for j := 1 to length(Name) do
    	    if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
    	      begin
    	        s := s + 1;
    		if s = length(Name) then
    		  begin
    	            if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
    	             or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) 
    	             or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
    	             or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
    	              begin
    		        found := true;
    		        Delete(AppInit_DLLs, i, length(Name));
    		      end;  
    	          end;
                    c := c + 1;
    	      end
    	    else 
    	      break;		  
              if found then
    	    break;
    	end;
          if not found then
            endSearch := true;
        end;
      i := 1;
      while i < length(AppInit_DLLs) do
        begin
          if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
            if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
              begin
                Delete(AppInit_DLLs, i, 1);
                i := i - 1;
              end;
          i := i + 1;
        end;
      if copy(AppInit_DLLs, 1, 1) = ',' then
        Delete(AppInit_DLLs, 1, 1);
      if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
        Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
      AppInit_DLLs := Trim(AppInit_DLLs);
      RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll','');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll');
     DelAppInit_DLLsByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean; 
     ExecuteRepair(16); {восстановление ключа запуска explorer}
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    4
    Вес репутации
    30
    Спасибо большое за отклик!!

    Сделал все как написали, карантин залил, а с этим письмом прикладываю новый лог. Единственное что, когда лез очищать в Firefox'е, он у меня не открылся, опять сказав, что "Firefox уже запущен"... а когда полез удалять вручную - там уже ничего не было, но точно помню, что было и я это еще с утра удалил.

    Firefox я так понимаю придется переустанавливать?
    И еще - в AVZ с карантинными файлами еще что нибудь делать надо? всмысле удалить или оставить?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логе ничего плохого ... карантин авз можно удалить ...

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) AARus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите! - Internet Security
      От Михаил1500 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 03.02.2010, 11:43
    2. Помогите - Internet Security
      От Михаил1500 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.02.2010, 15:40
    3. Помогите, Internet Security!!!!!!!!!!!!!!!!!!!
      От yashablack в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.01.2010, 08:04
    4. internet security помогите
      От 1Tseman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.01.2010, 23:49
    5. Помогите добить Internet Security
      От MSz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2010, 14:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01274 seconds with 17 queries