-
Junior Member
- Вес репутации
- 53
eKAV antivirus
Здравствуйте, подцепил вирус eKAV antivirus - на вид обыкновенный блокиратор винды, требует отослать код K205114600 на 4460. Большей информации предоставить не могу т.к. не возможно установить ни хайджек, ни авз. Также нельзя запуститься с безопасном, с лайв сиди или запустить проверку с сиди диска...Прошу пожалуйста помогите!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте код 4298\n5739 .Если получиться разблокировать, приступайте к выполнению правил.
-
-
Junior Member
- Вес репутации
- 53
Простите, код не подходит, символ \ вообще нельзя ввести в окно кода.
-
Попробуйте сначало этот код 4298 , потом этот n5739(коды без проделов и точек) .
-
-
Junior Member
- Вес репутации
- 53
Пробовал, окно воспринимает только цифры.
-
Первый код попробывали ?
Добавлено через 1 минуту
Попробуйте этот способ:
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
Последний раз редактировалось snifer67; 01.01.2010 в 01:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Методом проб и ошибок я смог найти следующие закономерности: если запускать какое-либо приложение в режиме совместимости виндоус-95, оно выполняется (если не "заблокированное" (например, др.веб-сканнер) и не требует связи с интернетом (например, патчер). Также запускается через командную строку мсконфиг, где я в объектах автозапуска нашел подозрительный мне файл NWZ.EXE, когда я его отключил, при следующем запуске в автозапуске кажется появился файл nvcpl.dll из папки систем 32. К сожалению, я не имею опыта борьбы с вирусами, но надеюсь эта информация как-нибудь поможет.
Добавлено через 2 минуты
Вирус действительно "крепкий орешек". Лайв-сиди невозможно загрузить, я пробовал лайвы касперского, доктора веба и белорусской команды...название забыл, но этот дистрибутив я скачал в теме на вашем форуме. А АВП сразу же крашится при запуске.
Последний раз редактировалось mind_flay; 01.01.2010 в 01:56.
Причина: Добавлено
-
Сообщение от
mind_flay
Лайв-сиди невозможно загрузить
Возможность загрузки компьютера с CD никак не зависит и не может зависеть от вируса в вашей операционной системе, и вообще от наличия этой системы. Так что видимо вы что-то делаете неправильно.
Распространенная ошибка - когда iso записывают как файл, а не как образ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте! Еле еле смог сделать лог с ComboFix! Пожалуйста помогите! что делать дальше? Зараннее спасибо! Простите, что долго не отвечал - вирус заблокировал все намертво! Методом тыка удалил нужный файл...Пока запускается браузер, некоторые приложения, но антивирусное ПО блочится намертво.
-
Junior Member
- Вес репутации
- 53
Простите, не знаю как сохранять логи в GMER'e, но он выявляет заражёнными процессы SYSTEM и Бездействие системы. До этого я с его помощью установил, что в папке windows\cursors\ был зараженный файл.
Далее я запустил проверку AVZ, но она повисла. Не знаю, помогло ли это...Логов для этих действий я сделать не мог, но подробно описал все шаги. Надеюсь, эта информация окажется полезной.
Добавлено через 4 часа 38 минут
Пожалуйста, помогите!
Добавлено через 8 часов 40 минут
Хотя бы отпишитесь, что мне нужно делать...
Последний раз редактировалось mind_flay; 03.01.2010 в 13:35.
Причина: Добавлено
-
Попробуйте это http://virusinfo.info/showpost.php?p...8&postcount=13
Добавлено через 5 минут
Попробуйте переименовать папку HiJackThis в любое другое имя, с exe файлом сделайте также.Попробуйте запустить HiJackThis.Если запустите:Посмотрите в HiJackThis Open the Misc Tools -> Ignore List. Есть там какой-нибудь dll файл?Если есть удалите этот файл и сделайте лог HiJackThis.
Последний раз редактировалось snifer67; 03.01.2010 в 14:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Смог запустить проверку АВЗ. Вот получившиеся логи.
-
Внимание !!!
База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
...
Восстановление системы:
включено.
Отключите восстановление системы, обновите базы AVZ и сделайте логи заново.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Скажите пожалуйста, как выключить восстановление системы? Обновить АВЗ я не могу. Есть подозрение, что вирус блокирует обновления.
-
Скажите пожалуйста, как выключить восстановление системы?
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('fgnyqpog');
DeleteFile('C:\DOCUME~1\Dimon\LOCALS~1\Temp\fgnyqpog.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Больше плохого невидно.
Установите SP3(может потребоваться активация)+все последующие обновления
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, но кажется зараза еще осталась (проблемы с интернетом, невозможно установить доктор веб, при попытке запуска некоторых приложений очень сильно грузится ЦП, что приводит к зависанию системы)
GMER по-прежнему ругается на процессы SYSTEM и Бездействие системы. Мне кажется вирус маскируется под какой-то системный файл, который АВЗ не проверяет, считая его безопасным по определению.
Посмотрите пожалуйста обновленный лог.