-
Junior Member
- Вес репутации
- 55
"ЭМО" попрошайка (Internet Security)
Предыстория. Полез куда-то без OutPosta
цепанул вирусню
Как-то раз комп даже сам перезагрузился и видимо ДО этого уже сумел грохнуть NOD32
СИМПТОМЫ:
- При запуске любого .exe и любого браузера делает "сканирование" ПК и выдаёт "отчёт об ошибках" затем "Розовый эмо экран" просит денег через СМС на номер 4460 с кодом K204114700
- НОД убит
- OutPost - не запускается , отправляет к Администратору
- HijackThis - не запускается , отправляет к Администратору. В безопасном запускается, начинает сбор инфы , но вырубает комп. Что удалось собрать выкладываю.
- AVZ - при открытии папки с утилитой комп перезагружается. Пробовал обмануть через полиморфный AVZ; загружается, но потом понимает что его обманули и снова перезагружает комп. Пробовал обмануть как в соседней ветке через смену даты - не помогло.
- AVPTool тупо не запускается в обоих режимах
- Dr. Web CureIt в безопасном режиме запускается, как моментально находит RS=3221225477 и на этом всё. (в обычном режиме тупо не запускается)
Сейчас попробую найти live CD
Читал что некоторый ифегд дает ввод кода с генератора, ткните носом где он.
Последний раз редактировалось helpzconnet; 23.01.2011 в 10:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
генратор нашёл тут http://av.demozone.ru/
avz заработал , собираю инфу
Последний раз редактировалось helpzconnet; 16.01.2010 в 09:58.
-
Junior Member
- Вес репутации
- 55
посмотрите, пожалуйста, что насобирал
Спасибо
Последний раз редактировалось helpzconnet; 23.01.2011 в 10:14.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\TEMP\cie.dll','');
DeleteFile('C:\WINDOWS\TEMP\cie.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('F:\autorun.inf');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\TEMP\cie.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67438
4. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
сори карантин закачал без пароля
Последний раз редактировалось helpzconnet; 23.01.2011 в 10:14.
-
Ничего зловредного в логах не увидела. Что с проблемой?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Пока отклонений не заметил
кроме того что не могу запустить фаервол и антивир
ругается:
.
но это уже не вирус я так понимаю , а отсутствие админских прав?
подскажите как побороть ?
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
PS AVZ обновляться в инет не лезет
ошибку выдаёт. (обновлял на другом компе)
Последний раз редактировалось helpzconnet; 23.01.2011 в 10:14.
-
Удалите в реестре.
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f7e06e70-a32a-4daa-8b5e-94e721756bfa}
C:\Program Files\Agnitum
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{592c74ce-e26f-4732-b6d0-144059321ed1}
C:\Program Files\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{b4c7554d-7c12-4f62-80df-7455f695030a}
C:\Program Files\Trend Micro
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
!
выздоровел
Благодарю!
Как Вам спасибо сказать?
-
Кнопочку "Спасибо" нажать или "весы".
Добавлено через 4 часа 29 минут
http://virusinfo.info/showthread.php?t=17130 - Если не ушли
Последний раз редактировалось PavelA; 16.01.2010 в 17:48.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adtt ( BitDefender: Trojan.Spy.Zbot.EKY, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\temp\cie.dll - Trojan-Ransom.Win32.SMSer.uk
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-