-
Junior Member
- Вес репутации
- 52
Здравствуйте
Здравствуйте. Пожалуйста подскажите, как излечится после вируса (Flasch video Dekoder от Get Access soft tech Ltd) он просил отправить смс за то, что мне был предоставлен доступ к какому-то там порно и тд. Запустил DrWeb. он сказал "вирусов нет" попробовал обновиться, не обновляется, Зашел в сеть, увидел, что кто-то набрал 3097 и помогло... набрал, заставка исчезла, но Dr/Web не обновляется, AVZ4 не запускается. Что можно сделать? посоветуйте пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Переименуйте avz.exe в 111.pif Сделайте лог hijackthis.(тоже переименуйте , если не запустится)
-
-
Junior Member
- Вес репутации
- 52
Спасибо за совет, пробовал ранее, переименовывал AVZ4.exe в pipec.cmd, сейчас попробовал 111.pif, мелькнуло и исчезло окно и все. В остальном он (червяк) пока никак себя не проявляет, только не запускается AVZ4 и не обновляется DrWeb.
-
Пробуйте эту версию AVZ http://slil.ru/28669457
-
-
Junior Member
- Вес репутации
- 52
Спасибо за ответ, но не запускается. (AVZ http://slil.ru/28669457), пробовал тоже, переименовал в xxx.pif
-
HiJackThis тоже не запускается. Тогда пробуем другие утилиты.
Сделайте лог MBAM
сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 52
MBAM не хочет устанавливаться
Здравствуйте. Попробовал GMER. лог прикрепляю, может чего не так сделал? поставил галочку напротив system и C.
Вложение 219347
МВАМ не хочет устанавливаться, пишет "Access violation at adress 10003DEE. Write of adress 102F4511"
-
Junior Member
- Вес репутации
- 52
Во, проявился он (червяк) во всей красе. При попытке запуска обновления DR Web пропал его ярлык. При запуске GMER появилось окно с текстом "NT AUTHORITY SYSTEM" и отсчет времени остановки компьютера. После перезагрузки вроде-бы работает, но тормозит сильно. По прежнему не работают обновления и запуск AVZ. GMER запускается.
-
В gmer все галочки оставьте, снимите только с Sections, IAT/EAT, Show all и нажмите scan, лог сохраните. (проверяем только С диск)
-
-
Junior Member
- Вес репутации
- 52
Спасибо Миднайт, вот лог новый.Вложение 219431
-
Не видно ничего плохого.
Попробуем так. Сделайте лог ComboFix
-
-
Junior Member
- Вес репутации
- 52
Спасибо, Миднайт. Высылаю лог Комбо, посмотрите пожалуйста.Вложение 219704
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
KillAll::
File::
c:\docume~1\D322~1\LOCALS~1\Temp\nkp.tmp
NetSvcs::
rwtbli
hsywpf
Driver::
rwtbli
hsywpf
sozzw
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7415:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
=
Отдельное спасибо за помощь со скриптом to snifer67.
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте, Миднайт. Зделано, как вы сказали. Высылаю новый лог, посмотрите пожалуйста.Вложение 220018
-
Переименованный AVZ теперь запустить можете и сделать логи? Или попробуйте эту версию avz http://slil.ru/28669457
-
-
Junior Member
- Вес репутации
- 52
Не, не получилось. а что за процесс идет ?Вложение 220125
Еще есть лог Вложение 220287
Последний раз редактировалось Трактор; 27.02.2010 в 10:00.
Причина: Добавил
-
Junior Member
- Вес репутации
- 52
Еще есть лог hijackthis.rar, посмотрите пожалуйста.Вложение 220491
-
на скрине от принтера файл.
Пофиксите в hijackthis
Код:
O20 - AppInit_DLLs: winmm.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.1.iso)
или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/...escue_2008.iso).
Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы,
как описано здесь (http://virusinfo.info/showpost.php?p=557652&postcount=5), после чего образ записать на чистый диск,
а затем загрузиться с него на заражённой машине.
Далее пробуем запустить AVZ и сделать логи по правилам.
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте. Я наверное что-то не так делаю.
ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.1.iso
не работала, скачал
ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.2.iso
с сайта DrWeb. Записал надиск, получился один архив с папкой boot, вот ее содержимое
Вложение 223076
может не то или не все? Подскажите пожалуйста.
-
Каким способом записывали? Правильное действие - записать образ.
-