Решена смс блокер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем abrakadabra, 18 янв 2011.

Статус темы:
Закрыта.
  1. abrakadabra
    Оффлайн

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    14 числа появился смс блокер. избавились от него при помощи интернета. подошёл код. 17 числа появился снова. но выглядит по другому. получилось снять блокировку при помощи диспетчера задач. закрыл nvsvc32.exe или чтото в этом роде.. опасаюсь повторного появления. посмотрите пожалуйста.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      24,6 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      26,7 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      44,4 КБ
      Просмотров:
      4
    • info.txt
      Размер файла:
      27,4 КБ
      Просмотров:
      1
  2. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, просматриваю логи. Скоро отвечу.

    Добавлено через 30 минут 9 секунд
    Пофиксить в HijackThis следующие строчки
    Код (Text):
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=EXPLORER.EXE %WINDIR%\RUNDLL.BAT
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT','');
     QuarantineFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT','');
     QuarantineFile('EAV-26037630NodEnabler.exe','');
     DeleteFile('EAV-26037630NodEnabler.exe');
     DeleteFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT');
     DeleteFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NodEnabler');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wininet');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме. Результаты ответа, сообщите здесь, в теме.

    Повторите логи.
    +


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    http://webalta.ru сами устонавливали в качестве стартовых страниц?
     
    Последнее редактирование: 18 янв 2011
  3. abrakadabra
    Оффлайн

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    смс блокер.

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VMwareService (Backdoor.Bot) -> No action taken.

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

    Заражённые папки:
    c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

    Заражённые файлы:
    c:\program files\DrUpdate\drupdate.exe (Malware.Packer) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
    c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      25,6 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      22 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      27,4 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      41,2 КБ
      Просмотров:
      3
  4. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, удалите эти строчки
    Код (Text):
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    Заражённые папки:
    c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
    c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
    Если сами не устонавливали (http://webalta.ru, в качестве стартовых страниц, тогда тоже удалите и эти строчки
    Объекты реестра заражены:
    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    Повторите лог МВАМ
     
    Последнее редактирование: 19 янв 2011
  5. abrakadabra
    Оффлайн

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    .
     
    Последнее редактирование: 19 янв 2011
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Что с проблемами?



    Не вижу лог MBAM.
     
    2 пользователям это понравилось.
  7. abrakadabra
    Оффлайн

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Заражённые процессы в памяти: 0
    Заражённые модули в памяти: 0
    Заражённые ключи в реестре: 0
    Заражённые параметры в реестре: 0
    Объекты реестра заражены: 0
    Заражённые папки: 0
    Заражённые файлы: 0

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    (Вредоносных программ не обнаружено)

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    (Вредоносных программ не обнаружено)

    Заражённые папки:
    (Вредоносных программ не обнаружено)

    Заражённые файлы:
    (Вредоносных программ не обнаружено)
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Проблема решена?
     
  9. abrakadabra
    Оффлайн

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    поживём увидим)) Большое спасибо за помощь.
     
  10. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, Создайте новую контрольную точку восстановления и удалите зараженную:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
    Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли
    если вы используете Opera, нажмите Opera - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли.

    Для предотвращения заражения рекомендую вам придерживаться этих правил:
    1.Всегда работайте только под обычным пользователем!
    2.Используйте браузер Firefox с дополнением NoScript
    Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
    3.Устанавливайте обновления и патчи Windows.
    4.Ежедневно обновляйте антивирусные базы.
    5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).
     
Статус темы:
Закрыта.

Поделиться этой страницей