• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена смс блокер

Статус
В этой теме нельзя размещать новые ответы.

abrakadabra

Активный пользователь
Сообщения
5
Симпатии
0
#1
14 числа появился смс блокер. избавились от него при помощи интернета. подошёл код. 17 числа появился снова. но выглядит по другому. получилось снять блокировку при помощи диспетчера задач. закрыл nvsvc32.exe или чтото в этом роде.. опасаюсь повторного появления. посмотрите пожалуйста.
 

Вложения

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
#2
abrakadabra, просматриваю логи. Скоро отвечу.

Добавлено через 30 минут 9 секунд
Пофиксить в HijackThis следующие строчки
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=EXPLORER.EXE %WINDIR%\RUNDLL.BAT
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT','');
 QuarantineFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT','');
 QuarantineFile('EAV-26037630NodEnabler.exe','');
 DeleteFile('EAV-26037630NodEnabler.exe');
 DeleteFile('EXPLORER.EXE %WINDIR%\RUNDLL.BAT');
 DeleteFile('EXPLORER.EXE C:\WINDOWS\RUNDLL.BAT');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NodEnabler');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wininet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме. Результаты ответа, сообщите здесь, в теме.

Повторите логи.
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

http://webalta.ru сами устонавливали в качестве стартовых страниц?
 
Последнее редактирование:

abrakadabra

Активный пользователь
Сообщения
5
Симпатии
0
#3
смс блокер.

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VMwareService (Backdoor.Bot) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражённые файлы:
c:\program files\DrUpdate\drupdate.exe (Malware.Packer) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
 

Вложения

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
#4
abrakadabra, удалите эти строчки
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.FFValidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
Заражённые папки:
c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399915.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399911.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399912.dll (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399913.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399914.exe (Adware.TMAagent) -> No action taken.
c:\system volume information\_restore{5742e9fe-2ebc-484c-aa57-f5591cbed431}\RP741\A0399917.exe (Adware.TMAagent) -> No action taken.
c:\documents and settings\Мифодий\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.
Если сами не устонавливали (http://webalta.ru, в качестве стартовых страниц, тогда тоже удалите и эти строчки
Объекты реестра заражены:
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
Повторите лог МВАМ
 
Последнее редактирование:

abrakadabra

Активный пользователь
Сообщения
5
Симпатии
0
#7
Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)
 

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
#10
abrakadabra, Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).
 
Статус
В этой теме нельзя размещать новые ответы.