-
Junior Member
- Вес репутации
- 53
eKAV "antivirus"
Здраствуйте.
Каким то образом неожиданно подцепил вечером, 6 числа эту дрянь.
Все стандартно - всплывающее и не убирающиеся окошко с "антивирусом", просьба отослать смс с текстом на номер 4460.
он заблокировал мне все защитные программы, в интернет с браузера пускал, но при попытке попасть на сайт со словами "вирус, антивирус", на сайты антивирусных компаний - браузер моментально вылетал и возникало окошко.
Я зашел сюда через программу для сайта вконтакте, он её за браузер не считает и не блокирует.
прочитал что мне нужно делать - в первую очередь я скачал Kaspersky rescue disk, записал на диск его.
Базы были от 5 января там.
Сделал полную проверку с этого диска, он нашел какие то трояны и грохнул их, но как оказалось это не то. Обновить его с его работающего режима я не имел возможности, тк там нет интернета.
После этого я перешел к скачке Kaspersky Virus Removal Tool, при нажатии на Скачать программа для контакта вылетала и вылазило старое окошко вируса.
Вчера я скачал последний Kaspersky Virus Removal Tool с другого компьютера, закинул на флешку, вставил ее в свой комп, скопировал на жесткий диск, попытался запустить и ничего...
Установить его мне не давал вирус, переименовка в game.pif тоже не дала результата - двойной шелчок по значку программы и больше ничего.
После этого я скачал DrWeb Life CD, сделал сканирование(7 часовое) и текстовом(безопасном) режиме ( графический почему то не запускался)
Он тоже ничего не выявил.
Я пытался вычислить и грохнуть процесс, запущенный вирусом, но диспетчер задач был заблокирован.
Подборка кода(на этом сайте варианты расчета кода смотрел), что я должен получить в ответ на смс не сработала, все неверно.
Подборщик на сайте Касперского в ответ на введенный мною номер и текст, что надо отослать, выдал мне код, но и он не подошел.
Восстановление системы у меня отключено было.
Я частично решил проблему, поставив в Биосе дату 5 января.
Назойливый баннер исчез, антивирусные сайты разблокировались.
В данный момент пишу с Оперы.
но система там и осталась частично заблокированна, диспетчер задач не работал, антивирус и другие программы не запускались.
я скачал и запустил AVZ, обновил его базы, сделал проверку системы.
Скачал Dr Web CureIT, в появившимся окне нажал на пуск.
и все это с датой 5 января, поскольку при возвращении к сегодняшней дате, ни одна из этих программ не запускалась, при моём заходе в папку с AVZ, компьютер уходил сразу в перезагрузку.
AVZ при проверке разблокировал мне диспетчер задач, теперь он работает.
Я сделал логи проверки ( при работе системы 5 января, при нормальной дате это все не запускается даже)
Скачал HijackThis, но при запуске выдает что приложению не удалось запуститься, тк MSVBVM60.DLL не был найден.
В скаченном архиве, где он переименован тоже самое.
не знаю что с ним делать, от него логов нет.
у меня есть вероятный выход из ситуации - вернуть обычную дату в биосе, отсоеденить жесткие диски,подсоеденить к чистому компьютеру и выполнить с него полную проверку и лечение.
Или можно как то иначе?
Помогите решить проблему с надоедливым вирусом, логи AVZ:
Последний раз редактировалось EMZ1T; 12.01.2010 в 16:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA','');
QuarantineFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ','');
DeleteFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ');
DeleteFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66532).
Отключите восстановление системы.
Сделайте новые логи + лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Все выполнил, выкладываю логи
Лог программы gmer занимает 1.14мб, странно, для текстового файла это невероятно много.
Заархивировал его, стал 26,9 кб, выкладываю в виде архива winrar
Последний раз редактировалось EMZ1T; 24.01.2010 в 22:48.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)
Код:
pj38jyii.exe -del service qxawsemb
pj38jyii.exe -del file "C:\WINDOWS\system32\uibudqew.dll"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qxawsemb"
pj38jyii.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
DeleteService('rnwctkuy');
DeleteFile('C:\WINDOWS\system32\020.tmp');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\cpanel.chq:W9DCWqJ', ''), ',,', ','));
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Новый лог virusinfo_syscheck.zip также сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
все выполнил
после выполнения скрипта в AVZ пришлось перезагружать самому, тк после окончания выполнения работы программа выдала мне какое то сообщение.
Последний раз редактировалось EMZ1T; 02.05.2010 в 22:53.
-
Скрипт для gmer почему не выполнили?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)
это?
выполнил, возникло системное окошко, где то на секунду возникло синее окно и компьютер перезагрузился.
или лог не до конца собран?
еще раз сделал, лог собираю
вот новый лог
Последний раз редактировалось EMZ1T; 13.01.2010 в 00:18.
-
Junior Member
- Вес репутации
- 53
На моем компьютере настало 8 число(прошло 3 дня с моменты смены даты на 5), зашел на сайт, меня выкинуло с браузера, сразу понял что "пришло время" вируса, хотя окно не появилось
Зашел в папку с AVZ - перезагрузка.
снова вернул дату на 5 число, чтобы система могла нормально функционировать.
обновил базы AVZ, решил проблемы ( включил реестр например), сделал проверку.
но 8 числа блокировка системы вернется.
еще мне в лс пришло вот такое письмо:
клиент зацепил седня этот вирус, после нескольких вводов кодов окно исчезло, но ниодна прога не запускалась, AVZ удаляла с флешки и комп уходил в ребут
Решение:
1. из под ERD
http://torrents.ru/forum/viewtopic.php?t=367816
с помощью AVZ нашел 3 трояна, удалил
2. очистил папки Temp у всех юзеров в C:\Documents and Settings
3. в реестре очистил значение параметра AppInit_DLLs
в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
4. ребут, все программы запускаются, переустановка антивируса, установка Spybot S&D
ваше мнение - совет действенный?
я уже читал про AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, поэтому этот параметр я очистил. и через AVZ папку Temp
больше ничего из этого совета пока не предпринимал
Последний раз редактировалось EMZ1T; 12.01.2010 в 01:45.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('rnwctkuy');
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
DeleteFile('C:\WINDOWS\system32\020.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('rnwctkuy');
BC_Activate;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.zip и gmer.
-
-
Junior Member
- Вес репутации
- 53
от 5 января скачал демонстрационную версию Dr.Web 5.0, обновил базы, перешел через биос на сегодняшнюю дату, 12 января.
антивирус работал, вирус его не блокировал, выполнил быструю проверку, ничего не нашел он.
на этот сайт зайти не удалось - вылет браузера и появилось окно.
Все тоже самое, только вирус теперь именует себя Internet Security
Сейчас снова вернулся(дата 6 января) - антивирус недоумевает по поводу расхождения даты на компьютере и даты обновления баз, пишет что ключ еще не вступил в действие.
диспетчер задач, реестр, system restore вновь оказались заблокированны, вновь исправил эти проблемы через AVZ.
значение параметра AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion снова вернулось на старое, пока что не трогаю его, жду ваших указаний.
в данный момент выполняю полную проверку Доктором Вебом
P.S. пока печатал, вы уже ответили
Последний раз редактировалось EMZ1T; 12.01.2010 в 05:23.
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось EMZ1T; 02.05.2010 в 22:53.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
QuarantineFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA','');
QuarantineFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ','');
DeleteFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ');
DeleteFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\m3jpeg.ini:W9DCWqJ', ''), ',,', ','));
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Сделал, отослал, логи AVZ выполнил, прикрепил
лог gmer нужен?
Последний раз редактировалось EMZ1T; 02.05.2010 в 22:53.
-
Похоже что убили
Сделайте контрольный лог gmer на всякий случай.
-
-
Junior Member
- Вес репутации
- 53
вот лог
посмотрю что будет 8 числа, когда вирус должен заработать
Последний раз редактировалось EMZ1T; 23.01.2010 в 00:18.
-
Junior Member
- Вес репутации
- 53
По моей дате наступило 10 число - при заходе сюда выкинуло из браузера, при заходе в AVZ перезагрузка.
значит вирус еще не добит до конца.
окно не всплывало.
поставил 7 января сейчас
-
В последних логах было чисто.
Попробуйте поставить дату более позднюю, например март месяц, перезагрузиться и так сделать логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Ставил 16 марта, при заходе в Оперу вылезло "Internet Security"
более поздняя дата не помогает.
При возвращении к 7 числу системе вновь потребовалась разблокировка через AVZ
Добавлено через 48 минут
с 7 января скачал генератор паролей, 16 января вызвал окошко, подошел второй пароль - 5538247733 ( номер 4460, код к205814400), комп перезагрузился, все сразу заработало.
но думаю следы от вируса остались, надо дочищать
выкладывать логи с уже нормальной датой и работой системы?
Последний раз редактировалось EMZ1T; 16.01.2010 в 04:35.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось EMZ1T; 02.05.2010 в 22:53.