Решена смс блокер

[abrakadabra]

14 числа появился смс блокер. избавились от него при помощи интернета. подошёл код. 17 числа появился снова. но выглядит по другому. получилось снять блокировку при помощи диспетчера задач. закрыл nvsvc32.exe или чтото в этом роде.. опасаюсь повторного появления. посмотрите пожалуйста.

 

[goredey]

abrakadabra, просматриваю логи. Скоро отвечу.

Добавлено через 30 минут 9 секунд
Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=EXPLORER.EXE %WINDIR%\RUNDLL.BAT

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT','');
 QuarantineFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT','');
 QuarantineFile('EAV-26037630NodEnabler.exe','');
 DeleteFile('EAV-26037630NodEnabler.exe');
 DeleteFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT');
 DeleteFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NodEnabler');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wininet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме. Результаты ответа, сообщите здесь, в теме.

Повторите логи.
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

http://webalta.ru сами устонавливали в качестве стартовых страниц?

 

[abrakadabra]

смс блокер.

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VMwareService (Backdoor.Bot) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражённые файлы:
c:\program files\DrUpdate\drupdate.exe (Malware.Packer) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.

 

[goredey]

abrakadabra, удалите эти строчки

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
Заражённые папки:
c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.

Если сами не устонавливали (http://webalta.ru, в качестве стартовых страниц, тогда тоже удалите и эти строчки
Объекты реестра заражены:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.

Повторите лог МВАМ

 

[abrakadabra]

.

 

[akok]

Что с проблемами?

.

Повторите лог МВАМ

Не вижу лог MBAM.

 

[abrakadabra]

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)

 

[akok]

Проблема решена?

 

[abrakadabra]

Проблема решена?

поживём увидим)) Большое спасибо за помощь.

 

[goredey]

abrakadabra, Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).