-
Junior Member
- Вес репутации
- 53
File Downloader
Добрый день. Ситуация следующая, столкнулся с этой бедой (Банер который просит денег) вчера на ноутбуке. До этого моммента утилита avz в связке с cureit творили чудеса и я тратил на лечение не более 30минут. Тут я потратил более 6 часов. Суть проблемы заключается в том, что я уже несколько раз полностью просканивал систему cureit и avz, разблокировал реестр, открыл скрытые папки, пофиксил вручную userinit. Эта гадость с рабочего стло исчезла и доступ в сеть открылся. Перезагружаю компьютер он снова тут как тут. Наткнулся потом на syszyd32 по аналогии удалил его с ноута и из автозапуска, но всё равно эта гадость в виде банера виисит и доступа к сети нет. Никак не могу понять где он находится и где находится резервная копия этого вируса, так как переодически во временных папках находится Trojan-Droper. Уже реально всё перепробовал. Помогите пожалуйста. Логи приклепляю.
Последний раз редактировалось Mangrove; 14.12.2009 в 12:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Решил попробовать get2 файл. Не помогло. Тогда решил искать альтернативные пути схожие скрипты.
Попробовал этот скрипт
После перезагрузки банер пропадает, но делаешь ещё перезагрузку и он тут как тут. Как от него можно избавиться? Реально уже нет никаких мыслей.
Есть методика борьбы с этой заразой?
Заранее спасибо. С уважением mangrove
Последний раз редактировалось Alex_Goodwin; 14.12.2009 в 18:56.
Причина: чужие скрипты выпонять нельзя
-
Junior Member
- Вес репутации
- 53
Выкладываю новые логи. Gmer нашёл руткит. Только не понятно как его убить.
-
Это после применения get2 делали?
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
За применение "чужих" скриптов Вам выговор.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Понял. Больше так делать не буду. Буду следовать инструкциям.
Делал get2 ничего не помогает. Система просто перегружается и всё. Банер как висел так и весит. Потом пробовал сделать через скрипт, пердворительно изменим там имя пользователя под себя. Это помогает на одну перезагрузку. Как раз в это время утилиты типа hijack и gmer молчат. Стоит только ещё раз перезагрузиться как опять появляется банер и блокируется доступ в сеть. Gmer тут же показывает и находит 70.103.101.103\aekgoprn.dll во многих файлах типа (explorer, svchost, winlogon и т.д.) При всём при этом показывает катергорию hiden. Очевидно у него где-то есть бэкап. Сейчас попробую ещё раз сделать get2 и удалить swenum.sys
-
AVZPM установите, перезагрузитесь и логи сделайте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Я ещё раз сделал всё выше сказанное и просканировав систему ещё раз систему утилитой avz всё же справился с заразой. Спасибо вам большое Павел. Тему можно закрывать. А как можно защиться от этого вируса? Есть для этого какае-то метолика?
Ещё раз спасибо за вашу помощь.
-
Методика простая: ставить во время обновления безопасности.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-