-
Junior Member
- Вес репутации
- 59
Ekav атакует
вообщем проблема стандартная,
вышеуказаная вещь что-то типа сканирует и просит смс за 10 руб.
ЗЫ:чирика не жалко, только ведь знаю что не поможет , а сдесь помогут
вообщем логи не могу сделать, даже в безопасном режиме эта фигня запускаеться....
максим чего я добился, это то что на одном запуске в безопасном режиме смог установить утилиту авп-туул, но запустить ни какими способами через меню ран эта бяка не давала, а на второй загрузке она сама чтото начала делать(авп-туул), бяка заметила и выключила компьютер...
дайте что можно для разогрева запустить чтоб хоть както логи сделать
PS подбор кода не даёт результата, обмонные действия по запуску авз хайджека или авптуул приводят к выключению компьютера - попытка запуска в лоб приводит к повторному сканированию кампа ekav-ом, обманный = выключение
ЗЫ:мне интернет эксплоер выдал окошко что сне сообщение от uuu9960 вроде так, это ктото помочь пытаеться или как??? у меня просто сработала блокировка всплывающих окон, или я уже и другую машину чемто заразил
Последний раз редактировалось Kurk_SS; 06.01.2010 в 16:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Надо через LiveCd загружаться и AVPTool проверяться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
так это я делал, загружался с ливсд, где уже встроеный авп тул, друг админ подкинул.....
да просканил он, нашл два файлика, сказал что там кидо, и на этом всё.
несмотря на блокировку виндоус этим окном, можно всётаки както работать с программами, которые Екав разрешает к запуску.... утилиту от каспера против кидо брал, запускал, она полностью проводит скан ниначто не ругаеться.
Екав вообще никак не реагирует на запуск даной утилитки - она ему пофигу.
Счас качаю с дрвэб ливСиДи от 06/01/2010
Последний раз редактировалось Kurk_SS; 06.01.2010 в 18:14.
-
Сделайте лог gmer.
Только измените расширение файла с .exe на .pif, иначе скорее всего не запустится.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Помогите.... я просто в шоке.
вообщем скачаный и записанный на болванку образ liveCD DrWeb вообще ничего не нашол...
Gmer скачанный по ссылке, и переименованный в *.pif не запускаеться....
эта сволота его перехватывает......
что делать, как быть ?
-
Junior Member
- Вес репутации
- 59
вообщем из ливсд удалось следующее - до этого внимания не обратил
в реестре ......winlogon\userinit="...userinit.exe, ./sdra64.exe"
вообщем изменил на норм....
счас из пуск-выполнить смог запустить гмер, лог его прилагаю
любые попцски запуска таскменеджера или ещо чего приводят к активации этой заразы.... снова блокирующее окно...
зайти в папку где фар портабл тоже немогу... выключает explorer.exe сразу...
ключи в реестре про отключение диспетчера задач, и редактора реестра удалял, но всё равно они отключены...
файл sdra64.exe и рядом ещо файлы где начало имени такиеже я поместил в карантин (архив зиповский с паролем вирус)
надо??? .....пришлю
Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.
-
Присылайте через красную ссылку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
прислал... а вообще антивир на другой машине его опознал
Banker.Bancos.kdx
детально
Virus or unwanted program 'TR/Banker.Bancos.kdx [trojan]'
detected in file 'C:\!my karantin\virus_sdra64.exe.virus.
-
Под LiveCD запустите AVZ и выполните такой скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\MAGNETOB.TTF:XVxSU3OPGB');
QuarantineFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\system32\dllcache\keyboard.drv:XVxSU3OPGB');
end.
(папка с AVZ должна находиться на жестком или флэшке, т.е. с возможностью записи).
После этого запускайте зараженную систему и пробуйте работу AVZ в ней.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
вообщем сделал.... логи авз и хайджека и красной ссылкой шлю то что авз брал на карантин (загрузка с ливсд)
Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.
-
Сообщение от
Kurk_SS
Banker.Bancos.kdx
Злобный троян, ворующий пароли.
После окончания лечения придется их все поменять.
Добавлено через 5 минут
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB','');
DeleteFile('C:\WINDOWS\Fonts\DejaVuSansBoldOblique.ttf:XVxSU3OPGB');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать логи заново.
Прислать карантин по Правилам, как обычно.
Диск "G" это что?
Последний раз редактировалось PavelA; 08.01.2010 в 17:58.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
диск G - это флешка которой логи таскаю на рабочую машину с заражённой и обратно
да кстате , а диспетчер задач то отключон администратором, хотя как на регедит ключа в реестре нету про дисэйбл... точнее он был, но я из ливсд удалил оба.....
теперь ключа нету и всёравно не запускаеться диспетчер задач
с РегЕдитом всё нормально.....
Последний раз редактировалось Kurk_SS; 08.01.2010 в 18:17.
-
Junior Member
- Вес репутации
- 59
вот пожалуста......
ещо разлочте плиз таскменеджер
карантина нету.... файл из папки со шрифтами брался ведь на карантин до этого и удалялся....
а из корзины... так корзину я чистил...
Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Обновите базы AVZ
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
содержимое авторана
[autorun]
Open=Rundll32.exe .\RECYCLER\dbbyrd.dll,Setup
мож сразу из корзины файл указанный... их там кстате 6 штук одинакового размера
в карантин взять?????????????
-
Да, можно, если дадутся.
Только присылать через карантин AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
вообщем вот..... так дались лёгко......файлики из корзины
Последний раз редактировалось Kurk_SS; 11.03.2011 в 22:46.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service ciigmusrv
gmer.exe -del file "C:\WINDOWS\system32\phpfvs.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ciigmusrv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ciigmusrv"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
а кто-то может помочь в такой ситуации....
машина удалёна счас от меня... на пинги всё ещо отвечает, но РПЦ накрылся.... нужно както её перегрузить, тчобы сделать этот лог....
Я лог делал удалённо радмином, потом радмин перестал отвечать... я с соседней машины штатными средствами ХР пытался чтото сделать.... случайно завалил работу РПЦ.... что-то можно сделать? или ждать пока люди прийдут и перегрузят
-
Скорее всего, придется ждать пока придут люди.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-