-
Junior Member
- Вес репутации
- 53
Винлок
Симптомы: Окно с требованием отправить смс; хайджэк, AVZ, Cureit, AVP не работают. AVZ и Cureit после старта системы вызывают то самое окно (после загрузки экран чистый до запуска любой программы)с смс, после чего вырубаются. Хайджэк и AVP вызывают перезагрузку системы. В безопасном режиме ситуация аналогична. Диспетчер задач и редактор реестра заблокирован. DrWeb Live CD ничего не нашел, загрузка под Ubuntu и проверка AVASTом ничего не дает.
Генератор на сайте Вэба не спасает, сгенерированные коды не подходят.
По описаниям в интернетах очень похож на Trojan.Winlock.640
Подскажите в какую сторону копать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте этот способ:
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
-
-
Junior Member
- Вес репутации
- 53
AVPTool из под WinPE ничего на нашел, Vba32 Rescue аналогично. Сейчас Avira AntiVir Rescue System трудится.
-
Junior Member
- Вес репутации
- 53
Avira отработала. Стартуют AVZ и Хайджэк, логи прилагаю.
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\dfywov.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dfywov.dll','');
DeleteFile('C:\WINDOWS\system32\dfywov.dll');
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пофиксите в HiJack сделал.
По поводу остального, видимо Avira прибила файл, на него есть ссылка в реестре, самого файла нет. Авторан на флэшке неубиваемый (флэшка с загрузкой софта авторизации) но в карантин что-то упало.
-
Обновите базы AVZ
Сделайте новые логи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
