-
Junior Member
- Вес репутации
- 50
Самопроизвольное открытие каких то страниц в Internet Explorer
а так же в процессах когда IE даже ни разу не запускался висит уже несколько его процессов, вчера вечером было порядка сорока... при завершении процесса появляется надпись типа как пояснение в облачке: "Из-за сбоя страница была закрыта, но IE ее восстановил."
При запуске виндов появляется сообщение, что svchost обратился к недоступной памяти и будет зарыт, и следом Runtime rerror? и так дважды... IE запустить с ярлыка невозможно, только если кликнуть по ссылке где нибудь в аське или в каком нибудь приложении...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
TerminateProcessByName('c:\windows\system32\smphost.exe');
QuarantineFile('C:\WINDOWS\system32\smphost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\download2\svcnost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4510265.exe','');
QuarantineFile('c:\windows\system32\smphost.exe','');
QuarantineFile('c:\windows\system32\ctxfispi.exe','');
QuarantineFile('c:\windows\system32\ctxfihlp.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\4510265.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4510265.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\4510265.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\download2\svcnost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','download');
DeleteFile('C:\WINDOWS\system32\smphost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Сделал себе нового пользователя с ограничеными правами, переключение работало, пофиксил в MBAM перестало работать переключение, т.е. вообще ни каких действий не происходит. И при нажатии клавиш win+L пишет что компьютер заблокирован, и блокировку снимет только администртор, я ввожу пароль, он входит в систему, но все равно не меняет пользователей, можно только выход сделать и зайти под нужным пользователем
Последний раз редактировалось Annexy; 09.12.2010 в 17:51.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\download2\\svcnost.exe - Backdoor.Win32.Spammy.he ( DrWEB: Trojan.MulDrop1.56383, BitDefender: Gen:Trojan.Heur.KS.4, AVAST4: Win32:Crypt-HTD [Trj] )
- c:\\docume~1\\admin\\locals~1\\temp\\4510265.exe - Backdoor.Win32.Agent.bcrl ( DrWEB: Trojan.Proxy.18839, BitDefender: Backdoor.Generic.533754, AVAST4: Win32:BHO-ADC [Trj] )
- c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.bo ( DrWEB: Trojan.Click1.28241, BitDefender: Gen:Variant.Buzy.254, AVAST4: Win32:BHO-ADC [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-