-
Junior Member
- Вес репутации
- 58
Internet security с группой товарищей
Комп был практически заблокирован известным вымогателем (как выяснилось впоследствии, не им одним):
1) В safe mode не загружается (уходит на перезагрузку)
2) установленный антивирус не запускается "из-за политики ограничения применения тра-та-та"
3) естественно, вылезает окно вымогателя.
4) в папку \virusinfo заходить не желает
Сканирование Live Cd от DrWeb'а не дало ничего. Также не помогли попытки сканировать из-под Windows PE.
При подключении винчестера к другой системе и запуске сканеров от DrWeb и Кашперского было выявлено десятка два троянов 8 разных типов. Самый обильный - Winlock 938
После этого винчестер был возвращен на родной комп. пп 1) и 2) остались.
Результаты выполнения avz и hijack прилагаются.
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteWizard('TSW', 2, 2, true);
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
QuarantineFile('ovjp.fbo','');
DeleteFile('ovjp.fbo');
QuarantineFile('C:\WINDOWS\Fonts\MSMINCHO.TTF:RhVRIC','');
DeleteFile('C:\WINDOWS\Fonts\MSMINCHO.TTF:RhVRIC');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 58
Лечение явно улучшило ситуацию - запустился SEP, который раньше не стартовал.
Карантин прислать не могу, он пуст. Запрошенные файлы были удалены еще при сканировании CureIt'ом, без этого вообще не запускалось ничего. Файлы из карантина CureIt были, похоже, удалены при последующем скнировании Кашперским.
Хотя, в принципе, могу попробовать оба этих файла вытащить из другого места.
Удалось закачать только ovjp.fbo (100129_164026_virus_4b62e54abc336.zip). Второй файл AVZ помещать в карантин отказался. Сам файл у меня есть, но он под 9 мегабайт в исходном виде и под 4 - в сжатом, а извлечь из него названую часть я не умею.
Ох, я на том же компе открыл файл MSMINCHO.TTF, пытаясь его разархивировать. Теперь снова проверять - вдруг зараза опять села?
Сейчас сделаю новые логи.
-
Файл MSMINCHO.TTF не нужен. Делайте новые логи.
-
-
Junior Member
- Вес репутации
- 58
логи
Да, Safe mode тоже заработал.
Спасибо!
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
В логах нет ничего подозрительного.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
-
-
Junior Member
- Вес репутации
- 58
Спасибо, скриптик интереснейший. Как я понимаю, я могу его использовать и для других систем.
Что делать с обнаруженными уязвимостями я более-менее представляю, будем работать ))
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- f:\ovjp.fbo - Trojan.Win32.Agent2.cnil ( DrWEB: Trojan.Oficla.4, AVAST4: Win32:Oficla-G [Trj] )
-