-
Junior Member
- Вес репутации
- 59
Помогите Trojan-Ransom.Win32.Dummy.a
Принесли комп с баннером, я его с лив сд снес, он в темпе был, а userlib.dll остался, на то момент ни вебер ни каспер его не видели.
Сейчас такая картина: http://virusscan.jotti.org/ru/scanre...62c4ceb4a34fe3
http://www.virustotal.com/analisis/0...54b-1262950411
Вебер прислал ответ 6 января:
drweb.com #1123605
Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
-----------------
Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах
http://updates.drweb.com[/url] и
http://live.drweb.com[/url]
Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".
Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.
-----------------
Угроза: Trojan.Siggen.32676
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Но он его в упор не видит, это скорее всего не Trojan.Siggen.32676.
Я им на форум написал:
http://forum.drweb.com/index.php?showtopic=287239
Вообщем симптомы как там написано:
После выполнения скриптов windows стал долго загружаться на моменте "Запуск Windows" до окна логина. При выключении на сохранении параметров подвисает...
Иконки как на рабочем столе, так и в папках, стало невозможно переместить (нет, автовыравнивание не включено), таким же образом невозможно скопировать и переместить файл. Так же в контекстном меню недоступны кнопки копировать, вставить и вставить ярлык...
На панели инструментов пропала панель задач.
Касательно сетевых подключений - пропала сетевая карта.
Логи сейчас попробую предоставить, если адекватной работы компьютера добьюсь.
Но думается мне, что нужна уже тяжелая артиллерия...
---
UPD
По причине отсутствия времени было решено начисто поставить систему.
Это будет быстрее, чем возиться с этим и восстанавливать нормальную работоспособность.
После удаления userlib.dll начались такие нездоровые вещи :
при удалении каспера начало ругаться на службу ВиндовсИнсталлер...
языковая панель разъехалась на всю ширину...
в проводнике в коньекстном меню не было активно "Вставить" после того как я что нибудь копировал...
и это после того как я в АВЗ делал восстановление и проводника и рабочего стола...
Я вобщем не выдержал и перебил систему...))
После удаления dll, и фикса SPI/LSP, винда печально подумирает, не работает копи-пэйст, драг энд дроп, панель задач полумертвая, тормоза жуткие, откат системы тоже не запускается. В безопасном режиме то-же самое...
Откатил систему ERD commander, dll восстановилось и все работает, но это не дело, как удаление длл убивает винду? Пробовал еще раз, та-же картина, приходилось откатывать.
Выкладываю логи после удаления dll, обычным и полиморфным АВЗ.
Надеюсь на помощь, спасибо!
Последний раз редактировалось Username; 08.01.2010 в 15:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Username; 08.01.2010 в 15:50.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\i386si.sys
Это оказалось мертвыми ссылками и естественно в карантин не попало. Авз с последним обновлением находит Trojan-Ransom.Win32.Dummy.a, и нашел его в архиве из коллекции, а также в ундо кэше ERD commander.
Вообщем глюки винды пофиксил в авз Файл, восстановление системы, отметил все! галки и выполнил отмеченные операции, после перезагрузки все восстановилось вроде.
-
-
-
Junior Member
- Вес репутации
- 59