-
Junior Member
- Вес репутации
- 53
Поймали вирус-вымогатель
Требует СМС с текстом М20920006 на номер 3649, показывает порнофото.
По описанию похож на http://virusinfo.info/showthread.php?t=60605.
Блокирует ВСЕ. Даже Пайнт'ом не могу принтскрин сделать.
Перезагружает комп при входе в безопасный режим.
Не дает обновить базы КАВ-2010 (лицензия на 2 компа, 2-ой к счастью здоров иначе меня порвали-бы), хотя и не мешает ему делать полную проверку. Но с базами от 17.11.09 (обновление с 10 до 11) ничего не находится, т.е. свежачок.
Вот лог АВЗ (запускался с флешки из-под Барт ПЕ):
Moderated: бесполезный лог вырезан
Есть предположение, что вирус должен самоудалиться через 3 часа работы...
Последний раз редактировалось pig; 18.11.2009 в 23:23.
Причина: убрал простыню
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Зачем нам лог с LiveCD?
В безопасном режиме информер есть? Если нет, выполните правила в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Зачем нам лог с LiveCD?
В безопасном режиме информер есть?
В безопасный режим НЕТ ВХОДА. Комп перезагружается...
Завтра попробую game/AVZ
-
Сообщение от
ЕвгенийЕмоЕ
В безопасный режим НЕТ ВХОДА
Простите, не заметил
Если не поможет полиморфный AVZ, продолжите так http://virusinfo.info/showthread.php?t=51777
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Добавлю инфу: установлена WinXP SP2.
СЛАВА полиморфному AVZ! Был обнаружен подозрительный кейлоггер.
Сохранить не удалось. УБИЛ ЕГО НАФИГ. Логи AVZ прилагаю.
Теперь все работает. KAV обновил базы, сейчас ищет вири. Позже отпишусь.
Остались проблемы: пропала вкладка "Восстановление системы" и нет хода в безопасный режим. Буду ставить SP3 с восстановлением системы.
Очень прошу посоветовать ПРАВИЛЬНЫЙ LiveCD с возможностью править реестр и архивировать обнаруженные вредоносы.
PS По логам - на флешке ничего вредного, только портативный офис.
Последний раз редактировалось ЕвгенийЕмоЕ; 19.11.2009 в 15:03.
-
Прочтите правила и предоставьте нормальные логи.
Прикрепите их на форуме через кнопку Расширенный режим
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
После запуска АВЗ появилась вкладка "Восстановление системы"! СПАСИБО!!!
Касперский сказал:
"19.11.2009 12:42:23 Удалено троянская программа Packed.Win32.TDSS.z C:\WINDOWS\system32\tdlcmd.dll Высокая "
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1\PROPET~1.EXE,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dOAuT.dll','');
QuarantineFile('C:\WINDOWS\system32\SupportAppXL\AutoDect.exe','');
QuarantineFile('C:\Program Files\Download Master\dmaster.exe','');
QuarantineFile('C:\PFO_2008\PFXML7.EXE','');
QuarantineFile('E:\StartPortableApps.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1\PROPET~1.EXE','');
DeleteFileMask('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1','*.*',true);
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteDirectory('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-