-
Junior Member
- Вес репутации
- 49
Хакерские настройки, как нейтрализовать?
Всем привет. Как убрать перехватчиков? Комп стал жутко тормозить после того как я "поймала" недавно вирус троян, который заблокировал всю систему и просил отправить смс, я разблокировала его с помощью Dr Web и скачала CureIT, эта вещь вирус не нашла, Avast тоже ничего не выдал, скачала AVZ тоже ничего, Касперским поймала 8 вирусов, один из них троян Win32.GameLock.... что-то вроде этого, у меня постоянно проблемы с интернетом, локальная сеть то ограничена, то еще что, некоторые обычные папки не удаляются, мол заняты другим пользователем или приложением, при попытке перезагрузиться пишет что у меня "недостаточно прав для этого действия", системный блок иногда тихо и долго пищит (такого раньше небыло), Kaspersky Internet Security 2011 перестал включаться безопасный режим, ошибка A0000005.
Cегодня вечером браузер не открывал именно Virusinfo, есть в наличии svchost (в диспетчере их 5 штук, все стоят на карантине Касперским, один из них ест 40-50 ЦП, находится в папке system32, ничем не удаляется, во всем компьютере возможно он один), ест под 30 000 КБ, еще есть какая-то PnkBstrB.exe, в поиске и в диспетчере нашла у себя много explorer.exe, Webroot Spy Sweeper указывает на HackTool risk4 App/FKXp-A. AVZ указала что много перехватчиков, которые не определяются, в последнее время вот это:
Что посоветуете? Какие скрипты выполнить чтобы вытравить эту заразу?
Последний раз редактировалось миднайт; 04.02.2011 в 23:24.
Причина: лишнее
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 49
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 - насчет этого, забив в обычный поиск нашла у себя 19 штук, в т.ч ntkrnlpa.exe000 и ntkrnlpa.exe001 - все поставила на карантин. Еще меня вводит в заблуждение: Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ PROG RA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL ЭПС: подозрение на Файл с подозрительным именем (CH - CLSID)
>>> C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL ЭПС: подозрение на Файл с подозрительным именем (CH - CLSID) еще klif.sys - сидит в системной папке, в инфе указан как от ZAO Kaspersky Lab, но антивирусы показывают что это тоже клавиатурные перехватчики и хакерские настройки.
-
Начтите с выполнения правил и сделайте все, как полагается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Господи, наверно я неясно выразилась - я не могу скачать (даже переименнованный архив не открывается) и запустить HiJackThis пишет "отказано в доступе к устройству у вас недостаточно прав для установки приложения", я даже выключить компьютер не могу нормально, поскольку пишет тоже самое, CureIt не обновляется, Винду сносить чтоли?? Я единственный админ.
Последний раз редактировалось Olala; 04.02.2011 в 14:07.
-
Junior Member
- Вес репутации
- 49
Я не могу отключить восстановление системы, в меню "свойства" вкладка "восстановление системы" исчезла, появляется окно "Вы не имеете достаточно привилегий безопасности на восстановление этой системы
Обратитесь к системному администратору или войдите в систему как администратор и повторите попытку" - повторюсь что в системе я админ, учетная запись одна, моя. Кстати эти окна имеют оформление не стиль ХР, а как в безопасном режиме, скачала новую версию CureIt - единственное что открывается (в остальном - архивы тоже мне недоступны), программа ничего не нашла.
Последний раз редактировалось Olala; 04.02.2011 в 22:57.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL','');
DeleteService('MyWebSearchService');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe','');
QuarantineFile('c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\gm.dls','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL','');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL');
DeleteFile('c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar Search Scope Monitor');
DeleteFileMask('C:\Program Files\MyWebSearch', '*.*', true);
DeleteDirectory('C:\Program Files\MyWebSearch');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
+
В AVZ - Файл - Исследование системы - отметьте все галочки (список процессов+dll без повторов; все службы и драйверы). Нажмите Пуск, задайте сохранение протокола, дождитесь окончания иссследования и прикрепите полученный в результате исследования zip-архив .
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Первый скрипт выполнить не удалось, пишет: Failed to set data for "ImagePath" ошибка в работе антируткита, компьютер перезагружаться и выключаться не хотел, поэтому я вырубила его из сети, зашла снова - меню стало на вид как в безопасном режиме, снова вырубила и зашла, появилось "Boot menu" - там я ничего не меняла и нажала Exit (F4) - у меню опять нормальный вид. Что делать? Может быть удалить Касперский? В карантине есть системные файлы, добавленные вручную, может из-за этого скрипт не выполнен? Следующий скрипт выполнен без ошибок.
Добавлено через 7 минут
MD5 3c5d56d72d5ae21212b6bb2653c2ecfa
Последний раз редактировалось Olala; 05.02.2011 в 00:22.
Причина: Добавлено
-
Сообщение от
миднайт
В AVZ - Файл - Исследование системы - отметьте все галочки (список процессов+dll без повторов; все службы и драйверы). Нажмите Пуск, задайте сохранение протокола, дождитесь окончания иссследования и прикрепите полученный в результате исследования zip-архив .
Где собственно?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
миднайт
В AVZ - Файл - Исследование системы - отметьте все галочки (список процессов+dll без повторов; все службы и драйверы). Нажмите Пуск, задайте сохранение протокола, дождитесь окончания иссследования и прикрепите полученный в результате исследования zip-архив .
Где собственно?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Я нашла у себя EventLog, в папке администрирования была замечена подозрительная активность недоступного пользователя, в брандмауэре не могу "запретить исключения", в исключениях сидит C:\WINDOWS\Network Diagnostic\xpnetdiag.exe ( @xpsp3res.dll,-20000), еще благодаря EventLog я нашла папку C:\WINDOWS\system32\spool\prtprocs\w32x86 где: printfilterpipelinesvc.exe которая была детектирована на www.virustotal.com как Heuristic.BehavesLike.Win32.Suspicious.H - это по ходу и есть хакерские настройки или удаленный доступ, и есть еще одна гадость - SVCHOST.EXE-3530F672.pf. Как это все удалить?
Добавлено через 16 минут
Как очистить EventLog в администраторе? В записях atizmtag nvatabus tcpip Dhep. Антивирусы ничего не видят, касперского только что обновила, он выдает что базы устарели. wthostctl.dll и SMSvcHost.resources.dll - как убить вирусы? Вкладка восстановление системы отсутствует, базы Windows не обновляются. Чувствую моя машина подыхает...
Последний раз редактировалось Olala; 06.02.2011 в 18:53.
Причина: Добавлено
-
Здравствуйте! попробуйте сейчас выполнить скрипты (скрипт слегка изменил).
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SetAVZGuardStatus(True);
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL','');
DeleteService('MyWebSearchService');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe','');
QuarantineFile('c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\gm.dls','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL','');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL');
DeleteFile('c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar Search Scope Monitor');
DeleteFileMask('C:\Program Files\MyWebSearch', '*.*', true);
DeleteDirectory('C:\Program Files\MyWebSearch');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
подозрительные файлы тоже загрузите вместе с карантином.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-