-
Junior Member
- Вес репутации
- 53
вымогатель "антивирус eKAV"
Вчера неожиданно закрылся тотал командер, после чего уже не смог открыться. Это сподвигло меня запустить сканер Анти Малавар, который выявил около 13-ти огрехов, но смог удалить лишь около 5 и попросил перезагрузиться. После перезагрузки началась беда. Антивирусы, как оказалось, запрещены моей политикой, даже любое упоминание о них. Аваст никого незаметил и даже не загрузился, а потом и ехе-шники загружаться перестали, под предлогом заявления самозванного антивируса eKAV об их опасности.Ну и апогеем стало окошко самозванца с непристойными просьбами про всякие sms. AVZ вызывал перезагрузку.
После проверки AVZ-ом с загрузочной флешки (cureit не стал грузиться под ущербным portable win) под подозрение пал некий secdrv.inf/ Я его удалил вместе со всевозможными темпами, что позволило загрузиться в защищенном режиме без видимых проблем, но перегружаться в норм режим боюсь, ибо например Hijack так и запрещен политикой безопасности .... а посему шлю логи кот сумел сделать и с надеждой жду совета!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Кстати, пока ждал помощи, проверил Антималваром, и он нашел 5 гадостей ... на всякий шлю и их лог ... вдруг поможет ...
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\c813B.sys','');
QuarantineFile('C:\WINDOWS\Inf\secdrv.inf:QRNluSM','');
DeleteFile('C:\WINDOWS\Inf\secdrv.inf:QRNluSM');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=65798).
Сделайте новые логи в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
вот ... но что то мне кажется что то еще матерое там осталось
щас перегружусь и syscheck пришлю
а вот и он
Последний раз редактировалось Anton_P; 03.01.2010 в 16:38.
-
Выполните скрипт в avz
Код:
begin
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\Inf\secdrv.inf:QRNluSM
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Ну? скажете, если все ок ...
Кстати ... хочу себе win 7 поставить. Какую защиту порекомендуете с условно бесплатным обновлением, а то после сегодняшнего авасту доверия не осталось
Последний раз редактировалось Anton_P; 04.01.2010 в 01:55.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Большое человеческое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\inf\secdrv.inf:qrnlusm:$data - Trojan-Downloader.Win32.Piker.bae ( AVAST4: Win32:Rootkit-gen [Rtk] )
-