Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Ekav атакует (заявка № 66111)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32

    Thumbs up Ekav атакует

    вообщем проблема стандартная,
    вышеуказаная вещь что-то типа сканирует и просит смс за 10 руб.
    ЗЫ:чирика не жалко, только ведь знаю что не поможет , а сдесь помогут

    вообщем логи не могу сделать, даже в безопасном режиме эта фигня запускаеться....
    максим чего я добился, это то что на одном запуске в безопасном режиме смог установить утилиту авп-туул, но запустить ни какими способами через меню ран эта бяка не давала, а на второй загрузке она сама чтото начала делать(авп-туул), бяка заметила и выключила компьютер...

    дайте что можно для разогрева запустить чтоб хоть както логи сделать

    PS подбор кода не даёт результата, обмонные действия по запуску авз хайджека или авптуул приводят к выключению компьютера - попытка запуска в лоб приводит к повторному сканированию кампа ekav-ом, обманный = выключение

    ЗЫ:мне интернет эксплоер выдал окошко что сне сообщение от uuu9960 вроде так, это ктото помочь пытаеться или как??? у меня просто сработала блокировка всплывающих окон, или я уже и другую машину чемто заразил
    Последний раз редактировалось Kurk_SS; 06.01.2010 в 16:36.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Надо через LiveCd загружаться и AVPTool проверяться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    так это я делал, загружался с ливсд, где уже встроеный авп тул, друг админ подкинул.....

    да просканил он, нашл два файлика, сказал что там кидо, и на этом всё.

    несмотря на блокировку виндоус этим окном, можно всётаки както работать с программами, которые Екав разрешает к запуску.... утилиту от каспера против кидо брал, запускал, она полностью проводит скан ниначто не ругаеться.

    Екав вообще никак не реагирует на запуск даной утилитки - она ему пофигу.


    Счас качаю с дрвэб ливСиДи от 06/01/2010
    Последний раз редактировалось Kurk_SS; 06.01.2010 в 18:14.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте лог gmer.
    Только измените расширение файла с .exe на .pif, иначе скорее всего не запустится.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    Помогите.... я просто в шоке.

    вообщем скачаный и записанный на болванку образ liveCD DrWeb вообще ничего не нашол...

    Gmer скачанный по ссылке, и переименованный в *.pif не запускаеться....
    эта сволота его перехватывает......

    что делать, как быть ?

  7. #6
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    вообщем из ливсд удалось следующее - до этого внимания не обратил

    в реестре ......winlogon\userinit="...userinit.exe, ./sdra64.exe"
    вообщем изменил на норм....

    счас из пуск-выполнить смог запустить гмер, лог его прилагаю

    любые попцски запуска таскменеджера или ещо чего приводят к активации этой заразы.... снова блокирующее окно...
    зайти в папку где фар портабл тоже немогу... выключает explorer.exe сразу...

    ключи в реестре про отключение диспетчера задач, и редактора реестра удалял, но всё равно они отключены...

    файл sdra64.exe и рядом ещо файлы где начало имени такиеже я поместил в карантин (архив зиповский с паролем вирус)
    надо??? .....пришлю
    Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Присылайте через красную ссылку.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    прислал... а вообще антивир на другой машине его опознал

    Banker.Bancos.kdx

    детально
    Virus or unwanted program 'TR/Banker.Bancos.kdx [trojan]'
    detected in file 'C:\!my karantin\virus_sdra64.exe.virus.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Под LiveCD запустите AVZ и выполните такой скрипт:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
    DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
    QuarantineFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB','');
    DeleteFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB');
    QuarantineFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB','');
    DeleteFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB');
    end.
    (папка с AVZ должна находиться на жестком или флэшке, т.е. с возможностью записи).

    После этого запускайте зараженную систему и пробуйте работу AVZ в ней.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    вообщем сделал.... логи авз и хайджека и красной ссылкой шлю то что авз брал на карантин (загрузка с ливсд)
    Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Kurk_SS Посмотреть сообщение
    Banker.Bancos.kdx
    Злобный троян, ворующий пароли.
    После окончания лечения придется их все поменять.

    Добавлено через 5 минут

    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
    QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
    DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
    DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
     QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
     DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать логи заново.
    Прислать карантин по Правилам, как обычно.
    Диск "G" это что?
    Последний раз редактировалось PavelA; 08.01.2010 в 17:58. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    диск G - это флешка которой логи таскаю на рабочую машину с заражённой и обратно

    да кстате , а диспетчер задач то отключон администратором, хотя как на регедит ключа в реестре нету про дисэйбл... точнее он был, но я из ливсд удалил оба.....

    теперь ключа нету и всёравно не запускаеться диспетчер задач

    с РегЕдитом всё нормально.....
    Последний раз редактировалось Kurk_SS; 08.01.2010 в 18:17.

  14. #13
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    вот пожалуста......

    ещо разлочте плиз таскменеджер

    карантина нету.... файл из папки со шрифтами брался ведь на карантин до этого и удалялся....

    а из корзины... так корзину я чистил...
    Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\autorun.inf');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(11);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    >> Заблокированы настройки системы System Restore
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Обновите базы AVZ
    Сделайте новые логи + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    содержимое авторана
    [autorun]
    Open=Rundll32.exe .\RECYCLER\dbbyrd.dll,Setup

    мож сразу из корзины файл указанный... их там кстате 6 штук одинакового размера
    в карантин взять?????????????

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Да, можно, если дадутся.
    Только присылать через карантин AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    вообщем вот..... так дались лёгко......файлики из корзины
    Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
    Код:
    gmer.exe -del service ciigmusrv
    gmer.exe -del file "C:\WINDOWS\system32\phpfvs.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ciigmusrv"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ciigmusrv"
    gmer.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    108
    Вес репутации
    32
    а кто-то может помочь в такой ситуации....
    машина удалёна счас от меня... на пинги всё ещо отвечает, но РПЦ накрылся.... нужно както её перегрузить, тчобы сделать этот лог....

    Я лог делал удалённо радмином, потом радмин перестал отвечать... я с соседней машины штатными средствами ХР пытался чтото сделать.... случайно завалил работу РПЦ.... что-то можно сделать? или ждать пока люди прийдут и перегрузят

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Скорее всего, придется ждать пока придут люди.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Kurk_SS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Фистинг атакует
      От SDA в разделе Оффтоп
      Ответов: 0
      Последнее сообщение: 16.10.2009, 20:11
    2. Kate.c атакует.....
      От Horror в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2009, 11:51
    3. spoolvs АТАКУЕТ!
      От spools в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 08:04
    4. Murlo.nn атакует!!!
      От Petro8i4 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:12
    5. Троян Атакует.
      От kot707 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2008, 10:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00232 seconds with 21 queries