windows заблокирован (+info)

**valinor** · 13.04.2009, 16:35

здравствуйте. видел здесь на форуме, уже кто-то столкнулся с тем же вирусом (http://virusinfo.info/showthread.php?t=43425)
к сожалению, он активируется и в safe mode, и даже при заходе через RDP
причем только для аккаунтов с админскими правами
все действия пользователя блокируются, кроме ввода пресловутого кода и кнопки "активировать" в том же окне
через удаленное управление удалось найти в реестре команду запуска файла, которого быть не должно. удаление из реестра ничего не дает - даже после жесткого рестарта системы, запись появляется снова и все происходит по тому же сценарию. сам файл для удаления не доступен
c:\windows\services.exe (см. вложение)

возможности установить и запустить ваш пакет анализа, понятное дело, тоже нет

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**kps** · 13.04.2009, 16:48

Можете попробовать это: http://news.drweb.com/show/?i=304&c=5
Потом выполните правила, если все пройдет успешно.

**valinor** · 13.04.2009, 17:08

помогло, спасибо большое за ссылку
будем препарировать

**valinor** · 13.04.2009, 19:54

результаты диагностики
дисклеймер:
1. после шага 1 "правила.диагностика" файл c:\windows\services.exe остался, где и был, автозапуск его в реестре - тоже. убрал руками из автозапуска и с диска в safe mode
2. на шаге 2 вместо "2. скрипт сбора информации..." случайно запустил "4. скрипт сбора неопознанных и подозрительных файлов". этот скрипт скопировал (не удаляя) в карантин ряд файлов, которые мне известны и допущены мной к выполнению. старый карантин он удалил, сохранив, однако, в LOG/virusinfo_cure.zip (файл запаролен, но, судя по всему, там лежат c:\windows\services.exe и c:\windows\system32\iertutil.dll)

**AndreyKa** · 14.04.2009, 14:33

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat 9 или удалите старый.

**valinor** · 14.04.2009, 15:52

ок, все сделал. логи - во вложении, карантин загрузил

**AndreyKa** · 14.04.2009, 17:07

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SysCleanAddFile('digiwet.dll');
ExecuteSysClean;
end.

Проблем больше нет?

**valinor** · 15.04.2009, 02:11

нет, проблем нету
спасибо

**CyberHelper** · 16.04.2009, 02:11

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\digiwet.dll - Trojan-Downloader.Win32.Injecter.cqx

windows заблокирован (+info) (заявка № 43733)

Опции темы

windows заблокирован (+info)

Итог лечения

Похожие темы

windows не удалось найти...info[1].exe

Windows заблокирован

Заблокирован windows

Сайт virusinfo.info заблокирован

Windows заблокирован

Ваши права в разделе