Принесли зловредную флэшку, после работы с ней винда грузится и появляется сообщения "центра безопасности Windows" с предложением получить код активации послав что то на указанный номер СМС
лог работы AVZ в безопасном режиме прилагается
СМС-Активация2
Принесли зловредную флэшку, после работы с ней винда грузится и появляется сообщения "центра безопасности Windows" с предложением получить код активации послав что то на указанный номер СМС
лог работы AVZ в безопасном режиме прилагается
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт:
Пришлите карантин и повторите логи...Код:begin QuarantineFile('C:\WINDOWS\ctfmon.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4739470513-3683759267-899510432-0746\dllrun32.exe ',' '); QuarantineFile('C:\WINDOWS\system32\Drivers\emtsohjw.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-4739470513-3683759267-899510432-0746\dllrun32.exe '); DeleteFile('C:\WINDOWS\ctfmon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
человек ушёл забрав нотбук, продолжу лечение в понедельник, спасибо
спасибо
карантин удалил: сделал проверку 4 скриптом, как указано в http://virusinfo.info/showthread.php?t=3519
логи повторяю
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\tmp.folder\restore.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\Drivers\emtsohjw.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\emtsohjw.sys'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\tmp.folder\restore.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56797).
Сделайте новые логи.
I am not young enough to know everything...
карантин выложил:
Файл сохранён как 091013_174723_virus_4ad484eb4c593.zip
Размер файла 63036
MD5 a280805404cab640dab66124541482e3
логи так же выкладываю
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
Логи чисты.Проблемы остались ?
видимых проблем нет, огромное спасибо
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- g:\autorun.inf - Worm.Win32.AutoRun.gwq
- g:\tmp.folder\restore.exe - P2P-Worm.Win32.Palevo.jvq ( DrWEB: Win32.HLLW.Lime.42, AVAST4: Win32:Palevo-D [Wrm] )
Уважаемый(ая) VK_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
