-
Junior Member
- Вес репутации
- 62
Возможно новый блокиратор Винды.
Доброго времени суток, дамы и господа. Наткнулся вчера на вот такого зловреда.
При загрузке операционки вылетает скрин с просьбой отправить СМС. Естесственно, развод на деньги. (Скрин приложен). Попытку вызвать диспетчер задач он пресекает. Долго держал 3 заветных клавиши - узнал имя процесса - rasdf. В безопасном режиме все ОК. Файл с именем процесса на винтах не нашлось, нету такого. Пролечил свежескачанным CureIt, ничего особенного он не нашел (пару троянчиков). В автозагрузке все чисто, все временные папки зачистил, в службах тоже все чисто. В реестре посмотрел Shell и UserInit. Все в порядке. Сами файлы Эксплорера и Юзеринита на крайний случай заменил с чистой машины. Все эти телодвижения проделывал согласно нагугленной информации - не помогло. Калькулятор Доктора Веба также не помог. В основном режиме загрузки в поле ввода ввел рандомные буквы и цифры - у блокиратора поехала крыша и он выбросил ошибку. по альт-табу нажал с клавиатуры ОК - блокиратор пропал. Вызвал диспетчер задач, запуск Эксплорера проходит только вручную. В основном режиме тоже поискал, где этот зловред прячется - ничего подозрительного не нашел. может кто с такой фишкой встречался? Поделитесь информацией, как прибить этого зловреда, плиз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Раз уж есть возможность запускать программы, тогда Вам сюда
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 62
Извиняюсь, поторопился чуток. В соответствие с правилами сделал логи и прикрепил их.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
DeleteService('Kqw27');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw27.sys');
DeleteFile('C:\WINDOWS\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=57374
3. Повторите лог virusinfo_syscheck.
Последний раз редактировалось Aleksandra; 16.10.2009 в 11:16.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 62
Aleksandra, Карантин отправил, Большущее спасибо за помощь! Все заработало. К сожалению, лог повторить не смогу. Пациента по-быстрому забрали хозяева. Ждать не захотели.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.VB.bn ( DrWEB: Trojan.Fakealert.5475, AVAST4: Win32:Malware-gen )
-