Показано с 1 по 6 из 6.

Последствия "СМСбаннера"? Несколько вирусов, не запускается Аваст и т.п. (заявка № 68871)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    4
    Вес репутации
    52

    Question Последствия "СМСбаннера"? Несколько вирусов, не запускается Аваст и т.п.

    Здравствуйте.
    Проблем несколько. Я не знаю, существует ли причинно-следственная связь между описанными ниже событиями, но раз в правилах говорится, что надо описать ситуацию подробно, начну с того момента, когда началась эта череда несчастий:
    Несколько дней назад был подхвачен баннер, блокирующий windows с требованием отправить СМС. В безопасном режиме CureIt (на тот момент не самая новая, так как доступа в инет не было) обнаружила несколько объектов (точные названия привести сейчас не могу), которые были вылечены или удалены. После этого комп стал очень долго загружаться, баннер при этом не исчез.
    Пришлось звать системщика, в результате манипуляций которого баннера не стало. Был установлен SP4, драйвер SoundMAX (ибо пропал звук) и программка Panda Research USB Vaccine.
    Спустя пару часов я заметил новые проблемы. Аваст стал периодически обнаруживать вирусы (одни и те же, но несколько разных), удалял - через некоторое время происходило тоже самое. Также появлялись сообщения: «Generic Host Process for Win32 Services – обнаружена ошибка. Приложение будет закрыто». CureIt также обнаруживала объекты, лечила/удаляла и снова обнаруживала. Все это происходит в течение четырех дней, более-менее нормальная работа чередуется с такими проблемами как:
    - непонятные звуки (периодическое «попикивание»),
    - невозможность переключить раскладку клавиатуры,
    - случается торможение
    - ноль реакции на любые действия, в том числе на вызов диспетчера задач
    - появление сообщения «Generic Host Process for Win32 Services – обнаружена ошибка»
    - вчера перестал запускаться Аваст, хотя, судя по сообщениям файервола, программа проявляет активность. (файервол Outpost был установлен в процессе борьбы с вирусами)

    Аваст и CureIt обнаруживали следующие объекты: WinLock, Win32.HLLM.Autorunner.5555 (объект x), Troyan.Oficla.4, Troyan.PWS.Webmonier.198. Были и другие, но их названия сейчас не вспомнить.

    P.S.
    1. Следуя инструкциям, изложенным в правилах, не обнаружил вкладки «Восстановление системы» (XP, есть вкладки: общие, имя компьютера, оборудование, дополнительно, автоматическое обновление, удаленные сеансы) и соответственно отключить не мог.

    2. От имени администратора программы не запускаются с той же аргументацией, что и при попытке запустить Аваст.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(17);
    ExecuteRepair(11);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.
    Сообщите, что изменилось.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    4
    Вес репутации
    52
    Вкладка "восстановление системы" появилась. Аваст запустился, обновился и через пять минут нашел 2 объекта Win32:Confi[Wrm]
    x в WINDOWS\System32 и
    myhqkamt[1].jpg в ...TemporaryInternetFiles\Content.IES\WD2Z0LIB
    Удалил
    После перезагрузки запустил CureIt, которая обнаружила три объекта также со случайными именами и графическими расширениями, квалифицировав все как Win32.HLLM.Autorunner.5555.
    1 файл в папке в ...TemporaryInternetFiles\Content.IES\WD2Z0LIB
    еще 2 файла в ...TemporaryInternetFiles\Content.IES\K5EFK1IN

    Снова сделал логи. Комп завис, а после перезагрузки я не мог попасть на ваш сайт (как и на другие, антивирусные). После того, как KidoKiller убил один файл, проблема вроде решилась.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    BC_ServiceKill('esohch');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог syscheck (только п.2 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    4
    Вес репутации
    52
    сделал

  7. #6
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    4
    Вес репутации
    52
    напоминаю о себе (так как прошло более одного дня)

  • Уважаемый(ая) igor b, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 6
      Последнее сообщение: 06.01.2012, 11:46
    3. Ответов: 10
      Последнее сообщение: 25.12.2009, 00:57
    4. Ответов: 15
      Последнее сообщение: 08.10.2009, 16:38
    5. Ответов: 5
      Последнее сообщение: 02.09.2009, 21:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01580 seconds with 19 queries