SMS вымогатель eKAV Antivirus

[Nik13NAG]

Следующая проблема. Ноут словил SMS вымогатель. Вначале появляется баннер с псевдо антивирусной проверкой (фото 1) Затем не завимо от выбора варианта действия появляется баннер с СМС вымогательством. (фото 2) В обоих случаях блокирует Ctrl+Alt+Delete, блокирует запуск любых приложений. Блокирует связь с интернетом. При настойчивости пользователя - перезагружает компьютер. В безопасном режиме эта дрянь так же работает.
Антивирус на ноуте есть (NOD), но давно не работает по сроку давности лицензии (даже не запускается). Брендмаур был отключен (чес слово комп не мой )

Одно могу сказать, строка выполнить работает, блокнот пашет.
Попытка включится в сеть и выйти в нет, ни к чему не привела.

Ваши проги на ноут заливал с флешки. Соответственно, при проверки флешки после заливки касперычь (лицуха с вчерашним обновлением) нашел троян в автозапуске флехи (я к стати отключил автозапуски после того, как прочел ваши напутсвия в 10 правилах)

Загружался с liveCD от Dr Web. Сумел провести полную проверку системы, но почему то кроме двух тел вирусов, он больше ничего не нашел. Проблема осталась.

готов следовать инструкциям и предоставлят как фото, так и видео отчет. Есть скайп и ася (на другом компе, с которого щас и сижу), могу с хеллерами общатся в прямом эфире (если потребуется для вашего удобства)

Жду ответа.

[thyrex]

Загружался с liveCD от Dr Web.

Насколько свежими были базы?

[Nik13NAG]

Насколько свежими были базы?

Вчерашние или позавчерашние... Где можно посмотреть (на уже записанном диске?)
По крайней мере файл DrWebLiveCD-5.0.0.090217 так и называется (может ряд цифр вам скажет больше чем мне)

Я к стати с начало пытался лечить через строку выполнить... msconfig, в автозагрузке оставил лишь четыре протокола, два из которых для ноута - оптимизаторы тошиба, и два вроде как системных. Банер вроде как исчез, но попытка поставить касперского ни к чему не привели (начиналась загрузка предустановки, потом тишина). В общем я грузил Д.Веба в безопасном и прогнал весь диск. Кроме старых тел в архивах (о которых в принципе извстно, и они не опасны были [но я их все равно удалил]) только два явно новых тела. Удаление ничего не дало.

Вирус каким то образом перехватил на себя все запуски файлов (к стати, библиотека Dll полетела, пришлось грузить диск востановления ОС и выполнить chkdsk /r. ОС ожила, но банер остался)

[thyrex]

DrWebLiveCD-5.0.0.090217

Сдается мне он таки от 17 февраля прошлого года. Качали с FTP DrWeb'a?

[Nik13NAG]

Сдается мне он таки от 17 февраля прошлого года. Качали с FTP DrWeb'a?

Эм... ниЗнаю
Щас еще раз, с офа скачать попробую.

К стати. AVZ скачал и обнавил.
Вытащил через GMER 1.0.15 файлы систем, которые могут быть заражены.
Щас сделал проверку их на своем компе (здоровом)
Вот, что получил:
(чуть позже) - не, уже не найду, все удалил AVZ, а лог не догадался сохранить.
Но (см. ниже)

[Bratez]

Вытащил через GMER 1.0.15 файлы систем, которые могут быть заражены.
Щас сделал проверку их на своем компе (здоровом)

Лучше сделайте лог gmer, раз уж он у вас работает.

[Nik13NAG]

Лучше сделайте лог gmer, раз уж он у вас работает.

Надеюсь это то, что вам нужно.

[Bratez]

Что-то он куцый какой-то получился.
Вы по ссылке смотрели, как его правильно делать?

[Nik13NAG]

Что-то он куцый какой-то получился.
Вы по ссылке смотрели, как его правильно делать?

... туплю

щас попробую (дело в том, что стал и ГМЕР перехватыватся)
правда получилось с загрузочного диска загрузится, и от туда через команду выполнить запустить с флехи AVZ.
Вроде проверка прошла успешно, нашел Trojan-Downloader.Win32.Agent.zje в Док и сетинг
Щас копирую папку винды и док и сетинга для проверки со здорового компа касперским с последними базами.

Если найдет косперыч, лог проверки присылать?
Лог ниже.

скачал свежего доктора веба на легкий диск.
Полная проверка показала наличие вируса в (лог прилогается)

В нормальном режиме работает без баннеров, но диспетчер заблокирован.

[Nik13NAG]

Доктор Вебер вылечил систему (лог удаления уже приложен выше)
После доктора поставил и запустил avira. Найдено ещё 10 тел. Все вылечено лог прилогаю.
Так же смог наконец сделать лог gmer (прилогаю)
Теперь я думаю можно сделать и остальные логи (по необходимости).

Мне очень помог пользователь uuu99950 (за что ему отдельная благодарность).
Благодарю и вас друзья. Без вашего ресурса, мы бы друг-друга навряд ли так скоро и споро нашли. Кроме того, многое из прочтенного здесь взято мною на вооружение.

Прошу просмотреть лог gmer и оценить степень остаточной угрозы. Если потребуется, сделаю и остальные логи.

[PavelA]

C:\Install\Adobe Photoshop CS2\Rus\PhotoShop Rus.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Ldpinch.LK -- пароли меняйте на все.

[Nik13NAG]

C:\Install\Adobe Photoshop CS2\Rus\PhotoShop Rus.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Ldpinch.LK -- пароли меняйте на все.

Была? Пароли сперла - это понятно, но щас то ноут чист? (пароли в автозагрузках не хранились )