1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена смс блокер

Тема в разделе "Удаление компьютерных вирусов", создана пользователем abrakadabra, 18 янв 2011.

Статус темы:
Закрыта.
  1. abrakadabra

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    14 числа появился смс блокер. избавились от него при помощи интернета. подошёл код. 17 числа появился снова. но выглядит по другому. получилось снять блокировку при помощи диспетчера задач. закрыл nvsvc32.exe или чтото в этом роде.. опасаюсь повторного появления. посмотрите пожалуйста.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      24,6 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      26,7 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      44,4 КБ
      Просмотров:
      4
    • info.txt
      Размер файла:
      27,4 КБ
      Просмотров:
      1
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. goredey

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, просматриваю логи. Скоро отвечу.

    Добавлено через 30 минут 9 секунд
    Пофиксить в HijackThis следующие строчки
    Код (Text):
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=EXPLORER.EXE %WINDIR%\RUNDLL.BAT
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT','');
     QuarantineFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT','');
     QuarantineFile('EAV-26037630NodEnabler.exe','');
     DeleteFile('EAV-26037630NodEnabler.exe');
     DeleteFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT');
     DeleteFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NodEnabler');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wininet');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме. Результаты ответа, сообщите здесь, в теме.

    Повторите логи.
    +


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    http://webalta.ru сами устонавливали в качестве стартовых страниц?
     
    Последнее редактирование: 18 янв 2011
  4. abrakadabra

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    смс блокер.

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VMwareService (Backdoor.Bot) -> No action taken.

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

    Заражённые папки:
    c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

    Заражённые файлы:
    c:\program files\DrUpdate\drupdate.exe (Malware.Packer) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
    c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      25,6 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      22 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      27,4 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      41,2 КБ
      Просмотров:
      3
  5. goredey

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, удалите эти строчки
    Код (Text):
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
    HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    Заражённые папки:
    c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
    c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
    c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
    c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
    Если сами не устонавливали (http://webalta.ru, в качестве стартовых страниц, тогда тоже удалите и эти строчки
    Объекты реестра заражены:
    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    Повторите лог МВАМ
     
    Последнее редактирование: 19 янв 2011
  6. abrakadabra

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    .
     
    Последнее редактирование: 19 янв 2011
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.792
    Симпатии:
    14.814
    Что с проблемами?



    Не вижу лог MBAM.
     
    2 пользователям это понравилось.
  8. abrakadabra

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Заражённые процессы в памяти: 0
    Заражённые модули в памяти: 0
    Заражённые ключи в реестре: 0
    Заражённые параметры в реестре: 0
    Объекты реестра заражены: 0
    Заражённые папки: 0
    Заражённые файлы: 0

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    (Вредоносных программ не обнаружено)

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    (Вредоносных программ не обнаружено)

    Заражённые папки:
    (Вредоносных программ не обнаружено)

    Заражённые файлы:
    (Вредоносных программ не обнаружено)
     
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.792
    Симпатии:
    14.814
    Проблема решена?
     
  10. abrakadabra

    abrakadabra Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    поживём увидим)) Большое спасибо за помощь.
     
  11. goredey

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    abrakadabra, Создайте новую контрольную точку восстановления и удалите зараженную:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
    Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли
    если вы используете Opera, нажмите Opera - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли.

    Для предотвращения заражения рекомендую вам придерживаться этих правил:
    1.Всегда работайте только под обычным пользователем!
    2.Используйте браузер Firefox с дополнением NoScript
    Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
    3.Устанавливайте обновления и патчи Windows.
    4.Ежедневно обновляйте антивирусные базы.
    5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).
     
Статус темы:
Закрыта.

Поделиться этой страницей