Internet security снова

Printable View

21.01.2010, 10:08
HE_XAKEP

Internet security снова

Этот экземпляр просит смс с кодом K207815900 на номер 4460. :(
Собственно сабж недает ничего запустить из опасного и безопасного режима. А именно ни один антивирус, выход на сайты антивируса GMER AVZ AVPtool cureit gmer hackjits. Могу загрузиться с Live CD. Но немогу найти вирус. Какие логи вам сделать? Это уже третий вирус который я встретил за 2 дня и генераторы кодов к новым версиям неподходят.
Спасибо!
Хочу добавить что имена вируса найденные в соседних темах тоже не существуют у меня на ПК. Видимо вирус каждый раз переименовывается и храниться разних каталогах папки Windows и найти его самостоятельно невижу никакой возможности.
[SIZE="3"][SIZE="3"][COLOR="Silver"][SIZE="1"]Реклама "Книга кодов. Тайная история кодов и их взлома" на этом сайте вообще в тему :D[/SIZE][/COLOR][/SIZE][/SIZE]
21.01.2010, 10:25
PavelA

Скачать:
[url]http://download.bleepingcomputer.com/Merijn/adsspy.zip[/url]
Загрузиться с LiveCD Запустить утилиту.
Если она что-то найдет, то скопировать с другим именем, а затем удалить.

Попробовать сделать лог на зараженной системе при помощи GetSystemInfo с сайта
Касперского.
21.01.2010, 11:27
HE_XAKEP

Вложений: 1

Программа ADS нашла следующие 2 строки:
C:\Program Files\ATI Technologies\ATI.ACE\skins\CATALYST_Quicksilver\CATALYST_Quicksilver.uis_Scrollbar : Smaller.WB4 (2416 bytes)
C:\WINDOWS\system32\perfci.ini : chxPpiVrk9D61rO (136704 bytes)
Последнюю я удалил. Перезагрузился. Вируса как будто нет. Наделал логов на радостях. Уверен гад все еще гдето прописан в реесте.
Еще был найден файл c:\TEMP\rmqfpd.dll подозрительного вида. что с ним сделать?
И Аваст установился но незапускается из за политики ограничения прав пользователя. Хотя у пользователя права админа.
21.01.2010, 12:19
PavelA

Platform: Windows XP SP2 (WinNT 5.01.2600) -- после окончания лечения обновить.
профиксить:
[CODe]
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfci.ini:chxPpiVrk9D61rO
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\[/CODe]
выполнить скрипт:
[CODe]
begin
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODe]
В AVZ Файл -- мастер устранения проблем -- Все проблемы -- Восстановить [b]Заблокированы настройки системы System Restore[/b]

Про Аваст напишу чуть позже.
21.01.2010, 14:46
HE_XAKEP

Щас проверил все работает. Только аваст так и не запускается. А все сам додумался поставить пункт 6 в востановления системы - удалить все ограничения для пользователя. перезагрузился и аваст ожил. крутиться вроде как живой там в трее. Спасибо! Тему можно закрывать.