-
Junior Member
- Вес репутации
- 53
Модификация вируса "СМС на номер 3649"
День добрый.
Сегодня на одной из машин появилось сообщение "Ошибка при инициализации приложения 0X000042" нажали Ок выскочило окно "Вы нарушили... Imax Dowbload Manager" отправьте смс на номер 3649.
При перезагрузке машины в безопасном режиме, в обычном, окно исчезает и появляется только при запуске любого исполняемого файла, буть то avz.exe или просто total. Если пользоваться только explorer или "мой компьютер" окно не выскакивает. После появления окошка не один exe файл больше запустить не удается. Соответственно диагностику сделать не могу.
Заранее признателен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
переименуйте исполняемые файлы в *.com или *.pif
Как сделать : http://virusinfo.info/showthread.php?t=61596
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Junior Member
- Вес репутации
- 53
Попытался зайти на эту страничку http://news.drweb.com/show/?i=304&c=5 сразу же выкидывает из експлорера, хотя на другие страницы заходит без проблем
Добавлено через 9 минут
Попытался ввести код активации, ничего не произошло, и еще одно дополнение: когда запускаешь любой исполняемый файл, то сначала идет изменение разрешений экрана, а потом выскакивает окно с "..Отправте смс на номер"
Добавлено через 30 минут
Еще дополнения к выше сказанному: Вирус блокирует диспечер задач, команду cmd и команду regedit
Последний раз редактировалось ebw; 08.12.2009 в 13:13.
Причина: Добавлено
-
В безопасном режиме ситуация та же и переименование не помогает?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Переименование не помогает, ехе, сом,pif файлы не запускаются, в редких случаях бывает что происходит запуск в безопасном режиме, но сразу же происходит перезагрузка машины
-
HiJack тоже не запускается даже переименованный?
Тогда нужен LiveCD с возможностью править реестр
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Удалось запустить HiJack, сохранить лог-файл!!!
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\tlvgf.dll
ПК перезагрузите.
Сделайте логи avz.
-
-
Junior Member
- Вес репутации
- 53
Профиксил эти два процесса, на месте О20 появляется следующая dll - ка и так до бесконечности. Авз запустить не дает.
Последний раз редактировалось ebw; 08.12.2009 в 17:34.
-
Сообщение от
thyrex
нужен LiveCD с возможностью править реестр
или из-под LiveCD удалять указанную на данный момент в О20 dll-ку
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-