-
Junior Member
- Вес репутации
- 63
Вымогатель
Браузеры, антивирусы, проводник и диспетчер задач ессно заблокированы. Скрипты выполнить нет возможности, т.к. банер перекрывает собой AVZ и HijackThis (окна программ открываются за банером). Сделал скрипты в Safe Mode. Не знаю, уж насколько это поможет.
CureIt и утилита Касперского под сейфмодом ничего не находят. Винда - Win 7.
Зловредный банер вроде Get Access называется.
Последний раз редактировалось Scanalex; 07.01.2010 в 13:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Диспетчер задач и проводник запустились. С жуткими тормозами. При этом загрузка процессора всего 30%. В процессах висит странный xn6l44.exe Убить его не удается.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\usеrinit.exe','');
DeleteFile('C:\Windows\system32\usеrinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('userinit');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66199).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Из-под нормальной загрузки AVZ не запустить. Из-под сейфмода выполнение скрипта заканчивается "ошибка AVZ C000035F"
Добавлено через 14 минут
Сообщение от
Scanalex
Из-под нормальной загрузки AVZ не запустить.
Точнее он запускается, но окно "выполнить скрипт" открывается под этим банером и до него никак не добраться.
Добавлено через 7 минут
Вообще, AVZ под сейфмодом ведет себя очень странно, после окончания проверки папки он зависает и закрыть его можно только убив процесс через диспетчер задач. Версия свежая, качал сегодня.
Добавлено через 6 минут
Имеет смысл попробовать под сейфмодом удалить userinit.exe из system32 ? Или он все равно при загрузке восстановится? Их там, кстати, два таких файла. Один 26 Kb, а другой 128 Kb.
Последний раз редактировалось Scanalex; 07.01.2010 в 15:37.
Причина: Добавлено
-
Сообщение от
Scanalex
Их там, кстати, два таких файла. Один 26 Kb, а другой 128 Kb.
Воот! Именно!
Удалить надо плохой, а хороший оставить, иначе система не запустится.
У плохого третья буква в имени е - русская.
Попробуйте в безопасном режиме в AVZ вместо скрипта - отложенное удаление файла с копированием в карантин.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Чтоб не сидеть без дела, решил еще раз запустить утилиту Касперского и CureIt. Касперского сразу натравил на System32 и он быстренько нашел заразу и обезвредил. По крайней мере банер исчез. Остался вопрос, почему он его при первом прогоне игнорировал Сейчас сделаю новые логи. Большое спасибо за помощь!
Последний раз редактировалось Scanalex; 07.01.2010 в 16:06.
-
Junior Member
- Вес репутации
- 63
Карантин прислать не удастся, т.к. в AVZ он пуст, а утилита Касперского вроде его вообще не делает. По-крайней мере я не в курсе где он может быть.
Добавлено через 2 часа 1 минуту
Судя по названию банера и номеру телефона, у человека аналогичный со мной случай http://virusinfo.info/showthread.php?t=66214
Последний раз редактировалось Scanalex; 07.01.2010 в 18:07.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \install_flash_player.ex_ - Trojan-Dropper.Win32.Smiscer.ge ( BitDefender: Gen:Trojan.Heur.Hype.wqW@aOJe0Wic )
-