-
Junior Member
- Вес репутации
- 53
Проблема с iLite Net Accelerator
Доброго всем дня. Недавно столкнулся с общеизвестной проблемой на компьютере знакомых. Вирус выдавал окно с просьбой отослать смс на номер. Интернет заблокирован, лицензионный NOD32 не работает, попытка зайти в папку с именем "антивирус" приводит к закрытию окна проводника, иногда компьютер вис. Окно занимает ~90% площади экрана по центру, поэтому не представляется возможным работать. Почитав ветки с похожими проблемами, пытался просканировать компьютер с помощью AVZ и HiJackthis, чтобы отправить логи сюда, но безуспешно - программы запускаются и тут же закрываются, компьютер виснет. Переименование запускного файла AVZ.exe в prov.cmd и HijackThis.exe в his.cmd проблемы не решает! Окно тут же закрывается! Загрузившись с mini Windows Xp, которая идет Hiren's BootCD и запустив CureIt, столкнулся с еще одной проблемой - дело в том, что проверка зараженного диска С: начинается, но длится недолго, обрывается и в статусе пишется, что "проверка выполнена", ничего не найдено! По ощущениям проверка не проводилась во многих местах, диск C проверялся ~минуты 2. В-общем, логов с зараженной машины я так и не смог снять. Не понимаю, как это делают другие люди с подобной проблемой, как у них вообще запускается и функционирует AVZ. Если можете - объясните, что я не так делал ?! С проблемой справился другим способом - снял HDD с зараженной машины, подцепил к другой, на которой стояла Avira Antivir 9 Free. Просканировал ею с настройками Эвристики, выставленными на High. Ею были найдены объекты в большом количестве (лог авиры прилагаю). После этого подцепил винт к родному компу, сразу заработал НОД32, интернет, окно не высвечивается. AVZ и Hijackthis запускаются и работают нормально. Логи прилагаю. Скажите, если можете, нужно ли продолжить лечение с помощью AVZ (скрипт) и более всего меня интересует, можно ли эту проблему решить, не снимая HDD и как можно снять логи с зараженной машины в будущем?!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
и еще - программы get.exe из архивов get.zip, get2.zip и get3.zip тоже не запускались! Все окна закрываются, происходит "сохранение данных" как при выходе пользователя из системы и компьютер виснет
-
Исправьте системную дату!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\ia.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ia.dll','');
DeleteFile('C:\WINDOWS\system32\ia.dll');
QuarantineFile('C:\WINDOWS\system32\drivers\mkkqu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mkkqu.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64247).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Добавлено через 2 минуты
Сообщение от
cruelman
можно ли эту проблему решить, не снимая HDD
Можно. Проще всего это сделать при помощи Win PE путем ковыряния в реестре больной системы, но надо представлять себе где и что примерно искать, а это в 2х словах не объяснить...
Последний раз редактировалось Bratez; 18.12.2009 в 18:23.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Архив с каратнином очень большой получается! 220 мбайт! Это нормально ? Я пока не рискнул закачать, но если нужно, то не поленюсь. Я вот тут пытаюсь вникнуть в скрипты, которые вы даете людям, кое-что понимаю, но в моем случае - зачем нужна строчка RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ?
И еще - что посоветовать людям на будущее ? Как обезопаситься от этих проблем в дальнейшем ? Кроме тех "10-ти заповедей", которые выложены на форуме. В системе был установлен NOD32, лицензия, базы обновлялись. Почему так происходит, что он пропускает вирус? (и уже не в первый раз) Может, изменить в нем какие-то настройки ? Дайте совет, пожалуйста.
-
-
