TR/Ransom.Agent.GC.1

[Leo7]

Логов AVZ и HJT нет по следующим причинам:
1. AVZ не мог запуститься до уничтожения вируса, даже если его переименовать (возможно, это совпадение).
2. HJT трояна не обнаружил, это было явно видно.
3. Вирь был на другом компьютере, интернета там не было, обращение сюда не планировалось.
4. Вирь обезврежен, поэтому тема создана только чтобы прислать карантин.

Внешний вид: в левом нижнем углу над часами выскакивало сообщение, занимающее немалую часть экрана, о том, что якобы пользователь нарушил лицензионное соглашение на использование какого-то менеджера закачек и должен немедленно его активировать, отправив SMS на короткий номер. Рядом шёл таймер обратного отсчёта, типа, когда время выйдет, произойдёт что-то нехорошее. На самом же деле ничего не происходило. Сообщение никак нельзя убрать или отодвинуть. Иногда оно отображалось с ошибкой (текст полностью или частично не было видно).

Фалы и записи реестра: троян состоит из двух компонентов: файла {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll и dmgr134.sys. Первый находился в C:\Windows\System32, второй (руткит) в C:\Windows. Файл {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll загружается руткитом при запуске системы и, возможно, маскируется им (на это внимание не обратил).
Руткит прописан в реестре по адресу HKLM\System\Services\dmgr134
DLL-файл, который загружается руткитом, вроде нигде не прописан (HJT его не обнаружил).

Обезвреживается очень просто: нужно отключить драйвер dmgr134 (Поставить значение 4 параметру Start), почему-то он позволяет это сделать.

Вирус не опознаётся AVZ. Avira определяет {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll как TR/Ransom.Agent.GC.1, второй файл не опознаёт. Вирус обезврежен вручную, оба файла я сохранил, чтобы отправить карантин.

Вопрос: как поместить файлы в карантин?

[Никита Соловьев]

http://virusinfo.info/showthread.php?t=1235