-
Junior Member
- Вес репутации
- 60
Подозрение на Trojan.Win32.Krotten.fq
при включении на экране приветствия вижу такое окно:
DANGER
Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию!
И с экономив деньги, пришли мне на e-mail [email protected] номер и код автроризации карты пополнения
счёта WebMoney номиналом в 10$ или 500 руб. Вот две ссылки(адреса ссылок). Там ты можешь найти
свой регион и город, где тебе удобнее купить карточку webmoney. В ответ в течении суток на свой
e-mail ты получишь файл для удаления этой программы.
ОК
На ноуте XP. в системном трее вместо часов - Б***Ь
В панель управления, в диспетчер задач, в реестр зайти немогу, пишет типа ограниченная версия или заблокировано администратором.
В безопастном режиме в XP тоже самое!
Подскажите что делать? Вот на Касперском нашел инфу...
_http://forum.kaspersky.com/lofiversion/index.php/t62160.html
Последний раз редактировалось Sky_Tech; 22.04.2008 в 00:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 60
Чето не выходит запустить авз.
Не с чего. Флешку не дает увидеть зараза.
-
Попробуйте переименовать AVZ в IEXPLORE.exe и запустить. Получилось?
-
-
Junior Member
- Вес репутации
- 60
Да дело в том что не могу на комп закинуть его. Флешки нельзя подключить.
-
А скачать на больном компьютере не получается?
-
-
Junior Member
- Вес репутации
- 60
Загружусь с диска. Windows PE Mini CD. И в этой оболочке запущу. Пойдет так?
Добавлено через 14 минут
lsass.exe вирус!!!
Последний раз редактировалось Sky_Tech; 22.04.2008 в 01:20.
Причина: Добавлено
-
В PE перекиньте AVZ с флэшки на винчестер. Перезагрузитесь в больную систему и делайте логи.
-
-
Junior Member
- Вес репутации
- 60
winivstr.exe Trojan.Fakealert.452
Добавлено через 1 минуту
Так и сделал. Но прежде в РЕ запустил CureIt. Cейчас пока проверяет. Логи дам.
Последний раз редактировалось Sky_Tech; 22.04.2008 в 01:34.
Причина: Добавлено
-
CureIt лучше тоже из-под больной системы запускать, чтобы реестр сразу выправлял.
-
-
Junior Member
- Вес репутации
- 60
CureIt не запускается из больной с-мы.
AVZ переименованный запустился. Логи скоро прикреплю.
-
Junior Member
- Вес репутации
- 60
HiJackThis не запускается никак. И как 1.bat не идет.
Логи АВЗ прилагаю.
Последний раз редактировалось Sky_Tech; 20.06.2008 в 14:37.
-
Junior Member
- Вес репутации
- 60
Ребята!!! И че делать?
Выполнить этот скрипт?
var
i : integer;
begin
for i := 1 to 8 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
DeleteDirectory('%SysDisk%\Windows 91');
DeleteDirectory('%SysDisk%\Windows 98');
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true);
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true);
RebootWindows(true);
end.
-
для начала выполните этот ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe','');
QuarantineFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe','');
DeleteFile('braviax.exe');
DeleteFile('cru629.dat');
DeleteFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe');
DeleteFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Винда запустилась нормально после скрипта но в карантине пусто. Прогоню теперь все с нуля заново и дам логи.
Добавлено через 1 минуту
Но в часах по прежнему висит слово БЛ--Ь. Могу его убрать в региональных настройках панели управления.
Последний раз редактировалось Sky_Tech; 22.04.2008 в 09:51.
Причина: Добавлено
-
выполните скрипт ...
Код:
begin
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
DeleteDirectory('%SysDisk%\Windows 91');
DeleteDirectory('%SysDisk%\Windows 98');
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true);
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
Выполнил все скрипты.
Прилагаю новые логи + HijackThis удалось запустить.
Из проблем осталось невозможность подключить флешку.
Последний раз редактировалось Sky_Tech; 20.06.2008 в 14:37.
-
Junior Member
- Вес репутации
- 60
Еще папка Documents and Settings скрыта.
Добавлено через 31 минуту
Вроде нашел файл который запустили и все это началось после этого. Прислать?
Последний раз редактировалось Sky_Tech; 22.04.2008 в 13:30.
Причина: Добавлено
-
Пришлите в архиве с паролем "virus"
-
-
выполните скрипт ...
Код:
begin
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Documents and Settings"', 0, 3000, true);
RebootWindows(true);
end.
для нормальной работы флешек необходимо переустановить драйвера на чипсет ...
-
