Подхватил вымагателя, вылетила табличка internet Security и блокировка системы. Подобрал код активации. Табличка перезтала вылазить, но спецэфекты остались. Пытался заниматься самолечением, результатов не принесло. Нашел siszyd32.
Симптомы: после загрузки недоступны диски не запускаются проги с рабочего стола, диспетчер задач недоступен, недоступна строка с кнопкой пуск. Примерно минут через 15 - 20 звучит звуковой сигнал системника и комп отвисает. Все становиться доступно.
Как с этим бороться?
Последний раз редактировалось Bratez; 16.01.2010 в 14:29.
Причина: убрал лишнее вложение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Основные симптомы остались без изменений. После загрузки Винды есть секунд 10 после чего активируется вирус и блокирует диспетчер задач, диски, строку с кнопкой "Пуск". В правом нижнем углу экрана появляется черная табличка (см. скрин)
Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
C:\RECYCLER\S-1-5-21-725345543-1454471165-682003330-1001\Dc9\Quarantine\2010-01-13\avz00013.dta (Worm.KoobFace) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP1\A0000001.exe (Malware.Packer.T) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP1\A0000003.dll (Malware.Packer.T) -> No action taken.
C:\Documents and Settings\Наташ\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Хозяин\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Хозяин\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP22\A0000738.dll (Malware.Packer.T) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP8\A0000284.dll (Malware.Packer.T) -> No action taken.
Повторите лог MBAM.
Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна показать такие строчки
Код:
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое 32 и 63 секторов в каком-нибудь каталоге.
Пришлите содержимое секторов по правилам. (если файл окажется пустой сообщите.)
Авот дальше начались сложности. При предварительном сканировании Gmer не выдает эти строки...
Код:
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
Зато появились новые спецэфекты. Если раньше через 10 -15 минут комп разблокировался, то теперь комп начал сильно тупить. Запустив Диспетчер задач (через msconfig) обнаружил два процесса которые грузят ЦП на 100%, по 50% каждый.
В первом варианте это были:
lsass и csrss
через несколько перезагрузок два других процесса
ashServ и winlogon
загрузка ЦП та же 100% по 50% на каждый
Пробывал выполнить полную проверку Gmer-ом. Процесс сканирования заканчивается на полуподвисшем компе. Тоесть уже практически ничего не работает кроме Gmer-а. Строки описанные выше вижу но при нажатии на них мышкой Gmer перестает откликаться. А через некоторое время перезагрузка через синий экран.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: