Показано с 1 по 8 из 8.

Самопроизвольное открытие каких то страниц в Internet Explorer (заявка № 93210)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2010
    Сообщений
    44
    Вес репутации
    50

    Question Самопроизвольное открытие каких то страниц в Internet Explorer

    а так же в процессах когда IE даже ни разу не запускался висит уже несколько его процессов, вчера вечером было порядка сорока... при завершении процесса появляется надпись типа как пояснение в облачке: "Из-за сбоя страница была закрыта, но IE ее восстановил."
    При запуске виндов появляется сообщение, что svchost обратился к недоступной памяти и будет зарыт, и следом Runtime rerror? и так дважды... IE запустить с ярлыка невозможно, только если кликнуть по ссылке где нибудь в аське или в каком нибудь приложении...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
      TerminateProcessByName('c:\windows\system32\smphost.exe');
     QuarantineFile('C:\WINDOWS\system32\smphost.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\download2\svcnost.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4510265.exe','');
     QuarantineFile('c:\windows\system32\smphost.exe','');
     QuarantineFile('c:\windows\system32\ctxfispi.exe','');
     QuarantineFile('c:\windows\system32\ctxfihlp.exe','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\4510265.exe','');
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4510265.exe');
     DeleteFile('c:\docume~1\admin\locals~1\temp\4510265.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\download2\svcnost.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','download');
     DeleteFile('C:\WINDOWS\system32\smphost.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    10.09.2010
    Сообщений
    44
    Вес репутации
    50
    Логи

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    
    Заражённые папки:
    c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Admin\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken.
    c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    - Сделайте повторный лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    10.09.2010
    Сообщений
    44
    Вес репутации
    50
    вот

  7. #6
    Junior Member Репутация
    Регистрация
    10.09.2010
    Сообщений
    44
    Вес репутации
    50
    Сделал себе нового пользователя с ограничеными правами, переключение работало, пофиксил в MBAM перестало работать переключение, т.е. вообще ни каких действий не происходит. И при нажатии клавиш win+L пишет что компьютер заблокирован, и блокировку снимет только администртор, я ввожу пароль, он входит в систему, но все равно не меняет пользователей, можно только выход сделать и зайти под нужным пользователем
    Последний раз редактировалось Annexy; 09.12.2010 в 17:51.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     RebootWindows(true);
    end.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\download2\\svcnost.exe - Backdoor.Win32.Spammy.he ( DrWEB: Trojan.MulDrop1.56383, BitDefender: Gen:Trojan.Heur.KS.4, AVAST4: Win32:Crypt-HTD [Trj] )
      2. c:\\docume~1\\admin\\locals~1\\temp\\4510265.exe - Backdoor.Win32.Agent.bcrl ( DrWEB: Trojan.Proxy.18839, BitDefender: Backdoor.Generic.533754, AVAST4: Win32:BHO-ADC [Trj] )
      3. c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.bo ( DrWEB: Trojan.Click1.28241, BitDefender: Gen:Variant.Buzy.254, AVAST4: Win32:BHO-ADC [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Annexy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Самопроизвольное открытие сайтов
      От Алексей274 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.10.2011, 15:22
    2. Ответов: 5
      Последнее сообщение: 13.05.2011, 22:46
    3. Ответов: 9
      Последнее сообщение: 21.08.2010, 16:57
    4. Самопроизвольное открытие папки при запуске ОС
      От Афанасий в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.11.2009, 02:34
    5. самопроизвольное открытие браузера
      От zamalexzam в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.10.2008, 14:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01424 seconds with 19 queries