-
Junior Member
- Вес репутации
- 51
Типа антивирус, требует смс
После загрузки компьютера появляются окна windows secutity centr и threat found, оповещающие об угрозах вирусов, при нажатии "лечить" появляется окно с требованием прислать смс. При убирании этого окна тут же вылетает браузер с ошибкой (скриншот ошибки http://s02.radikal.ru/i175/1008/ec/5a43378217b3.jpg ).
В трее постоянно мигает значок PC defender с сообщением о найденных угрозах и время от времени предлагающий обновить базу данных (тоже за смс, конечно). И так повторяется и повторяется...
После нескольких таких сообщений и отказов от предлагаемого ими выскакивает сообщение об ошибки в NT AUTHORITY\SYSTEM и предупреждение что через минуту компьютер перегрузится... ну и перезагружается, да.
Никаких антивирусов перед этим не ставил, да и вообще ничего не ставил... Логи в таких условиях провести невозможно, попробую зайти и сделать их в безопасном режиме.
Слава богу в этот раз хоть без всяких порнобаннеров...
Ну вот, едва успел создать тему, как вылезла ещё куча ошибок и появился синий экран.
Пишу уже с безопасного режима, тут никаких проблем не наблюдается, сейчас займусь логами.
Последний раз редактировалось bam24; 13.08.2010 в 19:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
Сделал логи, прикреплены к сообщению. Перед ними так же делал проверку dr. web cureit, был вроде как найден один вирус.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\d9b57950.exe','');
QuarantineFile('C:\WINDOWS\system32\44d06860.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Def Group\PC Defender\pcdef.exe','');
DeleteFile('C:\Program Files\Def Group\PC Defender\pcdef.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Defender');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\44d06860.exe');
DeleteFile('C:\WINDOWS\system32\d9b57950.exe');
DeleteFileMask('C:\Program Files\Def Group', '*.*', true);
DeleteDirectory('C:\Program Files\Def Group');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в нормальном режиме без запущенного CureIt
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в нормальном режиме + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09} (Trojan.Ransom) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\БАМ\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\БАМ\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи AVZ и МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
м, а если я уже закрыл МВАМ, для удаления теперь нужно заново проводить полное сканирование? В закладке "карантин" почему-то только прошлогодние, со старой проверки, файлы.
-
Да, сканировать придется заново
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал всё. Логов с МВАМ тут 2, более ранний это тот что дался после удаления, по ссылке в вашем посте сказано что он нужен, поздний лог - данный после очередного сканирования.
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\бам\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.Refroso.brlv ( DrWEB: Trojan.Botnetlog.126, BitDefender: Trojan.Generic.4775866, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\program files\\def group\\pc defender\\pcdef.exe - Trojan.Win32.FakeAV.cki ( DrWEB: Trojan.Fakealert.18672, BitDefender: Trojan.Generic.4592656, NOD32: Win32/Adware.PCDefender.AC application, AVAST4: Win32:Adware-gen [Adw] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\d9b57950.exe - Trojan.Win32.Inject.atkb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.419900, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\44d06860.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
-