-
Junior Member
- Вес репутации
- 55
вирус маскирующийся под антивирусник
Сегодня словил непонятный вирус. Он выдал сразу себя за некий Advanced Antivirus Remover и сообщил что обнаружена куча вирусов в компе по тиипу соопщений системы безопасности windows (даже на панели справа значок похожий - крестик на красном фоне. Он предлагал купить лицензию к нему. Был блокирован диспетчер задач также. Я первым делом проверил папку Windows\System32\ - там обнаружил 3 подозрительных файла когда отсортировал по дате:
41.exe - 0 bytes,
critical_warning.html - 831 bytes
winupdate.exe - 43520 bytes
Я их закинул в карантин др.веба.
Вобщем я сканировал cure it! - он его не обнаружил. Загрузился с диска KAV Rescue Live CD - не нашел ничего. Сканировал через AVZ, нашел только файлы в карантине dr.web'а, в корзине файлы удаленные ну какой-то файл zlib.dll, по всей видимости имеющий отношение к десктоп-приложению VirtualGirlHD. Вот лог сканирования:
http://slil.ru/28002259
Система установлена на диске Е. Сканировал папки Documents and Settings, Windows, Program Files.
Последний раз редактировалось webdesigner; 21.09.2009 в 18:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылку с непонятным содержимым я удаляю, так как у нас есть правила оформления запроса. Сделайте логи как положено.
-
-
Junior Member
- Вес репутации
- 55
Сделал все как написано в правилах.
Вот три лога:
1) virusinfo_syscure.zip
http://ifolder.ru/14113358
2) virusinfo_syscheck.zip
http://ifolder.ru/14113726
3) hijackthis.log
http://ifolder.ru/14113320
Последний раз редактировалось webdesigner; 21.09.2009 в 20:45.
Причина: обновление ссылок
-
Загрузите логи на форум, ссылки не работают.
-
-
Junior Member
- Вес репутации
- 55
-
А почему нельзя выложить на форуме?
Добавлено через 2 минуты
Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519
Этот архив выкладывать на файлообменник не надо!!!
Последний раз редактировалось Макcим; 21.09.2009 в 20:54.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
Я просто не знал как.
Уф!Еле терпения хватило дождаться пока загрузится!
Файл сохранён как 090921_214328_virusinfo_files_RAY_4ab7bb4012677.zip
Размер файла 57467721
MD5 2b6261f6f0f73498e5dc26efb973ab44
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт. После этого комп пошел в ребут. после ребута винда также долго грузилась как и до этого, ярлыки на рабочем столе появлялись с большим опозданием. Но все же диспетчер задач стал запускаться! Когда зашел в браузер (Maxthon) и попробовал зайти на этот форум то увидел что cookie сбросились.
Повторил лог virusinfo_syscheck.zip (на форум не смог загрузить, выдает ошибку, говорит файл не является архивом карантина AVZ):
http://ifolder.ru/14127471
-
-
-
Junior Member
- Вес репутации
- 55
Ну главное что все работает. Каков диагноз будет доктор, кто тот гад что вывел систему из строя ?
-
Диагноз самый распространенный в медицине АХЕЗ (А Х&* Его Знает)
-
-
Junior Member
- Вес репутации
- 55
Мдааа...и вся медицина такова!
-
Хотел лог посмотреть, а там расширение htm вместо zip
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-
-
Вот эту парочку на проверку пришлите после выполнения скрипта:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\drivers\ethwpnob.sys','');
QuarantineFile('E:\Program Files\AMC2000\ATV2000\ATV2000.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
ethwpnob.sys и ATV2000.exe ?