-
Junior Member
- Вес репутации
- 53
Windows blocker
С утра на домашней машине появился blocker, требующий 400 рублей на Билайн, и блокирующий все напрочь даже в safe mode. Загрузилась из-под второй системы, ubuntu, и попробовала его найти с помощью CureIt - ничего. Avz под wine вис, решила посмотреть реестр c помощью chntpw, выяснилось, что Userinit указывает на какой-то левый файл, созданный сегодня. Поменяла значение, но при перезагрузке восстанавливалось старое (возможно, из-за того, что восстановление системы не было отключено?) - так что просто убрала этот файл на убунтовский раздел (про запас), и положила на его место переименованый userinit. Теперь windows грузится и работает нормально, avz ничего не находит. Что интересно, онлайн-проверка на сайте Касперского (из ubuntu) утверждала, что тот файл вирусов не содержит.
Установила себе Avira, на будущее. Осталось два вопроса, во-первых, что еще предпринять, чтобы эта гадость больше не появлялась у меня на машине, а во-вторых, что теперь делать с запасенным файликом с живым блокером, может, сдать кому-нибудь на опыты?
Последний раз редактировалось Mithfin; 20.03.2011 в 16:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и сделайте полный комплект логов.
Сообщение от
Mithfin
сдать кому-нибудь на опыты?
Если есть желание, то пришлите файл согласно правилам.
-
-
Junior Member
- Вес репутации
- 53
-
А этот лог где потеряли?
Код:
virusinfo_syscure.zip
Его тоже приложите. (Находится в папке AVZ, подпапке LOG)
-
-
Junior Member
- Вес репутации
- 53
Прочитала инструкцию через слово, сорри Лог от второго (первый случайно прервала) запуска скрипта лечения.
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe
В остальном все чисто.
Кстати, блокер Вам попался свежий.
KIS 2011=Файл чистый; DrWEB 6.0=Файл чистый; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый
http://www.virustotal.com/file-scan/...dc9-1300632328
Сообщение от
Mithfin
чтобы эта гадость больше не появлялась у меня на машине
Теперь поговорим об этом.
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой необходимо выгрузить все программы) + обновления отсюда.
-Internet Explorer 8
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Также, можете почитать это.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\virus\\system32.exe - Trojan-Ransom.Win32.PornoBlocker.pwx ( DrWEB: Trojan.Inject.28181, BitDefender: Backdoor.Generic.619115 )
-