Здравствуйте.У моего знакомого проблема....(он человек совсем далекий от компов,я тоже звезд с неба не хватаю комп слабый и старый, офисный вариант,сеть из 2 машин,интернет только на этой)
Стоял лицензионный NOD32(обновление каждый день) +Comodo firewall.Вообщем он схватил вирус,который требовал отправку СМС.Блокировал Винду...Когда я пришел к нему,то даже не смог зайти из под учетной записи.Когда входишь,на 1 секунду появляется рабочий стол и сразу идет сохранение параметров и выкидывает опять на выбор учетной записи.Учетная запись одна.Любые сочитания клавиш не работают(CTRL+ALT+DEL ALT+F4 5SHIFT).В безопастном режиме тоже самое.Ни один не работает.С поддержкой командной строки тоже....Опять точно так же выкидывает во вход.DR.WEB Live CD зависает после 5 часов проверки.ОСтавили на ночь,тоже завис.(зависает на файле из папки Nero). Самого сообщения об отправке СМС я не видел и вируса тоже,но вроде по описанию на Жопаринезу похож не был.Переустановка Windows нежелательна,так как много важных документов.
И вопрос если винт вынуть и подключить к дрогуму компьютеру(там лицензионный NOD32),то вирус не перекинется на тот компьютер?Компьютер вообще запустится ?
Вообщем жду,советов,указаний,помощи.Очень надеюсь на вашу помощь.Буду благодарен за любые идеи.
Последний раз редактировалось Hollow; 08.07.2009 в 15:24.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
запустился с ALkid Live CD.Запустил HIjack сделал fix Windows/help/hlp.exe или hld.exe непомню... После этого запустился windows в обычном режиме,вот логи.
- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
O18 - Filter hijack: text/html - (no CLSID) - (no file)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\a\Рабочий стол\game\game.exe');
QuarantineFile('c:\documents and settings\a\Рабочий стол\game\game.exe','');
DeleteFile('c:\documents and settings\a\Рабочий стол\game\game.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика) virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
да не знаю просто я брал из дома на флешке со свежими базами.А дома у меня такое стоит ,после некоторых проблем в прошлом.Да не сейчас переименовал ,всё норм,запустилось.
- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика) virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Да галочки ставил конечно
К моему сожелению доступа к этому компьютеру у меня не будет до пятницы......Так что логи сделаю только в пятницу.Прошу прошения за беспокойство.
И ещё я так понимаю троян самоуничтожился?!Так как ни KAV ни NOD ни CureIT его не нашли....А ceйчас мы боремся только с остатками или просто подозрительными ?
У вас появились зловредные драйвера и файлы во временной папке. Вполне возможно, что новые, которые не внесены в базу сигнатур антивирусов. Я попытался закарантинить эти драйвера, а потом удалить. Они удалились, но не факт, что физически. Карантин пустой. Поэтому я и попросил Вас поискать файлы и прислать их нам.
Возможно, что зараза прячется достаточно искусно, потому и необходимо подстраховаться GMER'ом.
Ждём пятницы
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: