-
Junior Member
- Вес репутации
- 53
SMS вымогатель eKAV Antivirus
Следующая проблема. Ноут словил SMS вымогатель. Вначале появляется баннер с псевдо антивирусной проверкой (фото 1) Затем не завимо от выбора варианта действия появляется баннер с СМС вымогательством. (фото 2) В обоих случаях блокирует Ctrl+Alt+Delete, блокирует запуск любых приложений. Блокирует связь с интернетом. При настойчивости пользователя - перезагружает компьютер. В безопасном режиме эта дрянь так же работает.
Антивирус на ноуте есть (NOD), но давно не работает по сроку давности лицензии (даже не запускается). Брендмаур был отключен (чес слово комп не мой )
Одно могу сказать, строка выполнить работает, блокнот пашет.
Попытка включится в сеть и выйти в нет, ни к чему не привела.
Ваши проги на ноут заливал с флешки. Соответственно, при проверки флешки после заливки касперычь (лицуха с вчерашним обновлением) нашел троян в автозапуске флехи (я к стати отключил автозапуски после того, как прочел ваши напутсвия в 10 правилах)
Загружался с liveCD от Dr Web. Сумел провести полную проверку системы, но почему то кроме двух тел вирусов, он больше ничего не нашел. Проблема осталась.
готов следовать инструкциям и предоставлят как фото, так и видео отчет. Есть скайп и ася (на другом компе, с которого щас и сижу), могу с хеллерами общатся в прямом эфире (если потребуется для вашего удобства)
Жду ответа.
Последний раз редактировалось Nik13NAG; 06.01.2010 в 14:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Nik13NAG
Загружался с liveCD от Dr Web.
Насколько свежими были базы?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Насколько свежими были базы?
Вчерашние или позавчерашние... Где можно посмотреть (на уже записанном диске?)
По крайней мере файл DrWebLiveCD-5.0.0.090217 так и называется (может ряд цифр вам скажет больше чем мне)
Я к стати с начало пытался лечить через строку выполнить... msconfig, в автозагрузке оставил лишь четыре протокола, два из которых для ноута - оптимизаторы тошиба, и два вроде как системных. Банер вроде как исчез, но попытка поставить касперского ни к чему не привели (начиналась загрузка предустановки, потом тишина). В общем я грузил Д.Веба в безопасном и прогнал весь диск. Кроме старых тел в архивах (о которых в принципе извстно, и они не опасны были [но я их все равно удалил]) только два явно новых тела. Удаление ничего не дало.
Вирус каким то образом перехватил на себя все запуски файлов (к стати, библиотека Dll полетела, пришлось грузить диск востановления ОС и выполнить chkdsk /r. ОС ожила, но банер остался)
-
Сообщение от
Nik13NAG
DrWebLiveCD-5.0.0.090217
Сдается мне он таки от 17 февраля прошлого года. Качали с FTP DrWeb'a?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Сдается мне он таки от 17 февраля прошлого года. Качали с FTP DrWeb'a?
Эм... ниЗнаю
Щас еще раз, с офа скачать попробую.
К стати. AVZ скачал и обнавил.
Вытащил через GMER 1.0.15 файлы систем, которые могут быть заражены.
Щас сделал проверку их на своем компе (здоровом)
Вот, что получил:
(чуть позже) - не, уже не найду, все удалил AVZ, а лог не догадался сохранить.
Но (см. ниже)
Последний раз редактировалось Nik13NAG; 07.01.2010 в 09:50.
-
Сообщение от
Nik13NAG
Вытащил через GMER 1.0.15 файлы систем, которые могут быть заражены.
Щас сделал проверку их на своем компе (здоровом)
Лучше сделайте лог gmer, раз уж он у вас работает.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Bratez
Лучше сделайте
лог gmer, раз уж он у вас работает.
Надеюсь это то, что вам нужно.
-
Что-то он куцый какой-то получился.
Вы по ссылке смотрели, как его правильно делать?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Bratez
Что-то он куцый какой-то получился.
Вы по ссылке смотрели, как его правильно делать?
... туплю
щас попробую (дело в том, что стал и ГМЕР перехватыватся)
правда получилось с загрузочного диска загрузится, и от туда через команду выполнить запустить с флехи AVZ.
Вроде проверка прошла успешно, нашел Trojan-Downloader.Win32.Agent.zje в Док и сетинг
Щас копирую папку винды и док и сетинга для проверки со здорового компа касперским с последними базами.
Если найдет косперыч, лог проверки присылать?
Лог ниже.
скачал свежего доктора веба на легкий диск.
Полная проверка показала наличие вируса в (лог прилогается)
В нормальном режиме работает без баннеров, но диспетчер заблокирован.
Последний раз редактировалось Nik13NAG; 08.01.2010 в 13:54.
-
Junior Member
- Вес репутации
- 53
Вроде вылечил
Доктор Вебер вылечил систему (лог удаления уже приложен выше)
После доктора поставил и запустил avira. Найдено ещё 10 тел. Все вылечено лог прилогаю.
Так же смог наконец сделать лог gmer (прилогаю)
Теперь я думаю можно сделать и остальные логи (по необходимости).
Мне очень помог пользователь uuu99950 (за что ему отдельная благодарность).
Благодарю и вас друзья. Без вашего ресурса, мы бы друг-друга навряд ли так скоро и споро нашли. Кроме того, многое из прочтенного здесь взято мною на вооружение.
Прошу просмотреть лог gmer и оценить степень остаточной угрозы. Если потребуется, сделаю и остальные логи.
-
C:\Install\Adobe Photoshop CS2\Rus\PhotoShop Rus.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Ldpinch.LK -- пароли меняйте на все.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
C:\Install\Adobe Photoshop CS2\Rus\PhotoShop Rus.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Ldpinch.LK -- пароли меняйте на все.
Была? Пароли сперла - это понятно, но щас то ноут чист? (пароли в автозагрузках не хранились )