-
Junior Member
- Вес репутации
- 53
Злой Вирус
Поймал вирус на новый нетбук выданный на работе.
Вероятно, после скачивания с бесплатного сайта Zip-архиватора.
Вирус блокирует запуск всех приложений (в т.ч. антивирусных).
Появлеяется окно порно-рекламы с просьбой отправить СМС на номер.
Я заходил на сайт доктор Веб, там такого номера нет в генераторе кода.
Пытался в БИОСЕ изменить дату на день впредед или назад (по совету с сайта) не помогло.
Пытался восстановить систему -функция не работает (заблокирована).
Комбинация Cntr-Alt-Del тоже блокирована, т.е. список процессов не показывает.
Скачал с сайта утилиты AVZ, Dr Web они не запускаются.
Запустилась утилита Hijack
Вот ее отчет
В прикрепленном файле.
Я пробывал запустить игры (встроенные на Пк) они запустились, так же как и Power Point.
Остальные файлы блокируется.
HELP!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
На нетбуки стоял обновленный антивирус Outpost (антивирус + firewall)
Я его пытался запустить в безопасном режиме не запускается.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\oKXMk.dll
Перезагрузите компьютер.
После этого дожна запуститься AVZ - сделайте все логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
Сделал, как Вы сказали.
Запустил AVZ. !!!!
Вот отчет прикрепленный
Файл virusinfo_syscure
Хотел прикрепить файл virusinfo_cure, но он большой 10 МБайт.
-
Хотел прикрепить файл virusinfo_cure, но он большой 10 МБайт.
Это карантин его прикреплять не нужно.
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Installer\20fd6e.msi','');
QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\5a9868361c9f620\fssclient_x86.msi','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\oKXMk.dll','');
DeleteFile('C:\WINDOWS\system32\oKXMk.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\5a9868361c9f620\fssclient_x86.msi');
DeleteFile('C:\WINDOWS\Installer\20fd6e.msi');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте все новые логи по правилам:
- virusinfo_syscure.zip
- virusinfo_syscheck.zip
- hijackthis.log
Последний раз редактировалось Ingener; 27.11.2009 в 11:55.
GHETTO/STREET WORKOUT
-
-
Junior Member
- Вес репутации
- 53
Файл отправил. Парол я не ставил!
Т.к. не стал архив распоковывать и заново паковать, на всякий случай.
Добавлено через 15 минут
Ingener Спасибо большое за помощь
Добавлено через 8 минут
Вот новые отчеты (логи)
Последний раз редактировалось Dim7777; 27.11.2009 в 12:43.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
-
Код:
Файл отправил. Парол я не ставил!
Т.к. не стал архив распоковывать и заново паковать, на всякий случай.
Карантин получили.
Сейчас посмотрю логи.
Добавлено через 6 минут
В логах чисто.
Проблема полностью решена?
Рекомендации:
1) Установите Internet Explorer 8.
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
Последний раз редактировалось Ingener; 27.11.2009 в 12:52.
Причина: Добавлено
GHETTO/STREET WORKOUT
-
-
Junior Member
- Вес репутации
- 53
Еще раз спасибо.
Насколько я понял из отчета ноутбук изличился успешно.
Вот только Файл virusinfo_syscheck я не нашел.
Добавлено через 1 час 2 минуты
Спасибо все работает.
Буду ставить другой антивирус. И воспользуюсь вашими советами.
Best regards
Последний раз редактировалось Dim7777; 27.11.2009 в 13:55.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.addj ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Backdoor.Bot.110588, AVAST4: Win32:Malware-gen )
- e:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-