Вымогатель eKAV, логи

Printable View

03.01.2010, 16:46
BattleMyx

Вымогатель eKAV, логи

Подцепил этого зловреда на днях, симптомы как у всех: номер 4460,текст К205114100. Сразу хочу обрадовать всех кто подцепил его, KAV rescue с базами от 03.01.10 обезвреживает достаточно файлов, чтобы система смогла нормально загрузиться.
К сожалению удалось получить логи только от 2 и 3 пункта диагностики. При попытке прогнать первый скрипт вылетает бсод.
03.01.2010, 17:41
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
QuarantineFile('C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.

Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
03.01.2010, 18:40
BattleMyx

Скрипт выдал следующее:
[CODE]Удаление файла:C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk
>>>Для удаления файла C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk необходима перезагрузка
[микропрограмма лечения]> изменен параметр AppInit_DLLs ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Fonts\OLDTYPNI.TTF:eRq2Bijk)
Карантин с использованием прямого чтения - ошибка
Автоматическая чистка следов удаленных в ходе лечения программ[/CODE]Карантин соответственно пуст =\
03.01.2010, 18:56
snifer67

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
03.01.2010, 19:22
BattleMyx

Если имелся ввиду лог после установки сп3, то он пока ещё не докачался (сп3). На всякий случай выкладываю лог с текущей системы, после применения скрипта.
03.01.2010, 20:49
AndreyKa

Зловредов не видно.
03.01.2010, 23:19
BattleMyx

Поставил SP3, удалось провести первый пункт диагностики. Выкладываю логи с него, а так же syscheck с обновленной системы.
04.01.2010, 00:27
AndreyKa

Чисто.
04.01.2010, 00:39
BattleMyx

Большое спасибо за помощь, теперь буду спать спокойно. :)