-
Junior Member
- Вес репутации
- 55
Win32/Kryptik.AVJ
Здравствуйте,очень сильно тормозит комп,еще к тому же появилась прозрачная табличка с надписью-доступ в интернет заблокирован,пришлите смс,а НОД нашел это;Win32/Kryptik.AVJ. Помогите пожалуйста. Логи прилагаю.еще не открываются страницы в опере и в IE.
Последний раз редактировалось lavrov; 14.11.2009 в 17:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\Администратор\application data\seres.exe');
TerminateProcessByName('c:\documents and settings\Администратор\restorer64_a.exe');
TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
TerminateProcessByName('c:\windows\temp\wpv651255703227.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\svcst.exe');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\WINDOWS\system32\cpcp.cpo','');
QuarantineFile('c:\windows\temp\wpv651255703227.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\svcst.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\seres.exe','');
QuarantineFile('c:\documents and settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\system32\restorer64_a.exe','');
DeleteFile('c:\windows\system32\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\application data\seres.exe');
DeleteFile('c:\documents and settings\Администратор\application data\svcst.exe');
DeleteFile('c:\windows\temp\wpv651255703227.exe');
DeleteFile('C:\WINDOWS\system32\cpcp.cpo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 55
новые логи
карантин отправил,новые логи сделал. Прозрачная табличка выдает следующий текст-Доступ в интернет заблокирован,в связи с нарушением программы Get Acelerator. И просит прислать смс,как это убрать??? Спасибо.
Последний раз редактировалось lavrov; 14.11.2009 в 17:30.
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cpcp.cpo bef0regiiav
В логе нет информации об этой программе
-
-
Junior Member
- Вес репутации
- 55
ответ
а что это может быть??? спасибо
-
Похоже на СМС-вымогателя. Окно с надписью появляется при запуске браузера?
-
-
Junior Member
- Вес репутации
- 55
нет,сразу после загрузки системы,т.е. оно мешает что либо делать.
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Пришлите карантин по правилам.
-
-
Junior Member
- Вес репутации
- 55
сейча сделаю
Добавлено через 15 минут
Спасибо тебе большое за помощь,все заработало!!! Нашел коды чтобы убрать это сообщение,всё исчезло. Еще раз спасибо!!!!!!!!!!!!!!!!
Последний раз редактировалось lavrov; 18.10.2009 в 17:33.
Причина: Добавлено
-
карантин прислать не забудьте
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\restorer64_a.exe - Trojan-Downloader.Win32.Mutant.ftn ( DrWEB: Trojan.DownLoad.52152, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\администратор\главное меню\программы\автозагрузка\ikowin32.exe - Trojan.Win32.Inject.akpv ( DrWEB: Trojan.Botnetlog.11 )
- c:\windows\system32\cpcp.cpo - Backdoor.Win32.Bredavi.ana ( DrWEB: Trojan.Advload.6, BitDefender: Backdoor.Generic.220022, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\restorer64_a.exe - Trojan-Downloader.Win32.Mutant.ftn ( DrWEB: Trojan.DownLoad.52152, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
- c:\windows\temp\wpv651255703227.exe - Trojan-Proxy.Win32.Small.aeh ( DrWEB: Trojan.Proxy.6207, BitDefender: Trojan.Generic.2586459, AVAST4: Win32:Malware-gen )
-