СМС вымогатель - блокировка диспетчера
Снова день добрый, помощники
С Новым годом!!!
И снова проблемы с вирусами.
Итак! Ноут. Попался вирус СМС вымогатель - "Час бесплатного просмотра эротического видео" - на пол-экрана окошко, которое грузится и в безопасном режиме и под другой учеткой. Загрузился с ЛайфСД - проверил AVPTool'ом свежим - что-то убилось. Но строчка "Диспетчер задач" осталась неактивной.
Загрузился под нормальной учеткой - окошко пропало. Снял логи - проанализируйте, плз.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
С Новым годом!!!
Пофиксить в Hijack следующие строки:
Выполнить скриптКод:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Temp\kui7.tmp
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Temp\kui7.tmp',''); DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); QuarantineFile('C:\WINDOWS\system32\AESTFltr.exe',''); QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll',''); QuarantineFile('C:\Documents and Settings\Comp\Cookies\userlib.dll',''); DeleteFile('C:\Documents and Settings\Comp\Cookies\userlib.dll'); DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll'); DeleteFile('C:\Temp\kui7.tmp'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(11); Executerepair(14); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
1. ПофиксилСообщение от shapel
2. Скрипт выполнил, хотя этого файла не было в темповой директории
3. Закачал
Файл сохранён как 100104_140529_virus_4b41cb7976649.zip
Размер файла 738169
MD5 1da4ee431219697f0202b3c9f2b1e626
4. Новые логи создал при нормальной работе винды (не безопасный режим и не стал выгружать задачи)
Последний раз редактировалось Whale; 04.01.2010 в 14:15.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Temp\o3d10.tmp.cab',''); DeleteFile('C:\Temp\o3d10.tmp.cab'); DeleteFilemask('C:\Program Files\Ask.com','*.*', true); DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job'); DeleteDirectory('C:\Program Files\Ask.com'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
Закачал.
Файл сохранён как 100104_144916_virus_4b41d5bc22935.zip
Размер файла 738173
MD5 3fbf7992f3f7247070918fa5d0a8bb50
Новые логи в нормальном режиме работы винды
В логах ничего плохого.
Что с проблемами?
I am not young enough to know everything...
На первый и второй взгляды - все нормально. Диспетчер активен. Ничего подозрительного не обнаруживается.
Думаю, что проблема решена. Спасибо, парни!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\comp\cookies\userlib.dll - Trojan-Ransom.Win32.Dummy.b ( NOD32: Win32/LockScreen.DB trojan, AVAST4: Win32:Ransom-F [Trj] )
Уважаемый(ая) Whale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
