-
Junior Member
- Вес репутации
- 53
Download Master
Здравствуйте.
Первое, что хотелось бы сделать, это извиниться за то, что запрос не будет оформлен по правилам. Поверьте, я внимательно их изучил, но увы, следовать им не имею возможности.
Проблема заключается в том, что, вероятно, то, с чем я столкнулся является некой модификацией вируса iMax Download Manager. Эта модификация имеет немного иное название - "Download Master", другой короткий номер 4460 и код K704113300, в остальном же вирус похож на тот, что изображен на этой http://virusinfo.info/showthread.php?t=62966 картинке.
Так вот эта модификация вируса не позволяет запускать ни AVZ, ни AVPTool, ни HiJack как в обычном, так и в режиме защиты от сбоев. Попытка запуска заканчивается выключением рабочей станции. При этом LiveCD от DrWeb не находит никаких вредных программ ни на одном диске.
Уважаемые эксперты, как быть? Я уже морально готов к переустановке системы, но это все равно, что послать смс-ку талантливым создателям этой чудо-программы. К тому же нет никакой гарантии, что завтра история не повторится. В конце концов уже просто появился некий азарт.
Заранее благодарен за помощь
Предпринимал попытку переименования исполняемых файлов утилит (somth.pif), и папок их содержащих, результат один - выключение рабочей станции.
В сервисном центре оператора, обслуживающего данный короткий номер мне было предложено подождать три часа, не давая рабочей станции уходить в спящий режим, после чего программа по их словам должна самоликвидироваться
Последний раз редактировалось apostle; 25.12.2009 в 19:18.
Причина: Добавление информации
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать такой лог:
Скачайте эту программу: http://www.online-solutions.ru/files...0_portable.rar
- Переименовать папку с программой, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
- Переименовать исполняемый файл программы в что-то типа game.pif, program.com
Попробуйте сделать лог:
1) Запустите OSAM и дождитесь окончания сканирования.
2) Нажмите на кнопку "Save Log"
3) Запакуйте лог в архив и прикрепите к своему следующему сообщению.
Cкачайте RSIT.
Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить.
-
-
Junior Member
- Вес репутации
- 53
Печально, но обе предложенные утилиты не могут запуститься даже в режиме защиты от сбоев. В момент запуска появляется уже ставшее привычным окно. Запуск утилиты при этом блокируется. Ехе-файлы предварительно переименовал. Эффект нулевой. Забавно, что поведение вируса изменилось. Теперь, даже если пытаюсь запустить AVZ, рабочая станция не перегружается, как это было раньше, вместо этого, появляется окно вирусной программы с предложением поделиться денежными ресурсами. У меня идеи кончились. Может быть у кого-то еще есть предложения, как можно попробовать изничтожить эту чудесную программу? Готов к любым экспериментам. Уже не знаю как, но мне удалось запустить утилиту AVPTool, загрузившись с ERD. Может быть будет какой толк.
Добавлено через 1 час 21 минуту
Предварительные результаты: удалено 87 тел различных вирусов. В основном из папки %SYSTEM_ROOT%/System32/ и %SYSTEM_ROOT%/Temp
После этого появился доступ к комманднострочным программам (доступа к которым тоже не было), менеджеру задач, редактору реестра. Также удалось запустить AVPTool в обычном режиме работы ОС. После очередного сканирования, создам логи по правилам форума и выложу. Надеюсь, на этот раз получится. Спасибо за помощь
Последний раз редактировалось apostle; 25.12.2009 в 23:38.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Удалось провести необходимую диагностику. На счет разблокированных менеджера задач и редактора реестр я поторопился. Видимо, после перезагрузки системы доступ к ним снова был потерян. К сообщению приложены результаты сканирования hijack и avz утилитами.
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing)
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nbnlml.dll','');
DeleteFile('C:\WINDOWS\system32\nbnlml.dll');
QuarantineFile('JVMOD32.DLL','');
DeleteFile('JVMOD32.DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Hijack сделал необходимые изменения. avz ругается на файл jvmod32.dll говорит о том, что для его удаления необходима перезагузка. Соббщает о том, что скрипт выполнен успешно, но после загрузки в карантине нет ни одного файла. При повторном запуске картина повторяется. Как быть? Спасибо.
-
-
-
Junior Member
- Вес репутации
- 53
-
Чисто
Установите Internet Explorer 8
-
-
Junior Member
- Вес репутации
- 53