Сегодня на работе столкнулся у юзверя с такой гадостью. Почти на весь рабочй стол окно (по верх всех окон) на котором текст почти всем знакомого уже сообщения что надо отправить смс чтобы убрать это окно, однако место привычного "Нелечензионной ОС и Виндоус заблокирован" он пишет мол, что был предоставлен доступ к порно ресурсу на 1н ч. и теперь надо отправить смс. На сайте Др. Веба не нашол ключа под это окошко. Каспер фактически не работате постоянно орет о том что у него сбоят службы.
OS: Win XP SP2 + KAV 6.0
Действия:
Полез в журналы каспера,поглядел что последнего было добавлено в реестр и оказалось что эта пакость прописала себя в Winlogon, а сама она лежит на user\locall setings\temp\cfn65.tmp, при удалении ключа из реестно через несколько секунд он обратно вписывается, удалть сам файл естественно так просто не получилось + диспетчер заблокирован. Через альтернативный диспечер удалось заблокировать процес и закинуть его в карантин, после чего отредактировал реестр и перезагрузился, псоле перзагрузки спокойно файл удалился. Проверил Вебом и Каспером в безопасном режиме ничег оен обнаружил!Казалась бы все, но выяснилось что пропал доступ инет, ни 1н броузер ни одна програма не может обновиться хотя через пинг тот же самый гугл пингуется и по локалке внутреенней я хожу спокойно, а во внешний мир нет. Есть большое подозрение что от зараза позакрывала тупо почти все порты + каспер так же сбоит и при попытке перустановить выдает ошибку и откатыват установку.
Последний раз редактировалось skimenok; 14.01.2010 в 10:52.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Народ помогите плиз, откатить ось не возможно новая поставка машин (ОЕМ) ешо не глядел в настройки Оказалось что отключена система востановления. Винт не разбить, Ось переставлять совсем не хочеться... ДА и не решение это.
Сижу в данный момент в инете под Win PE сканю каспером, просканил авз вообше тишина в эфире!
Добавлено через 1 час 55 минут
У меня что то такое сложное или некогда?
Последний раз редактировалось skimenok; 14.01.2010 в 12:54.
Причина: Добавлено
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\user\Cookies\userlib.dll','');
DeleteFile('C:\Documents and Settings\user\Cookies\userlib.dll');
ExecuteWizard('SCU', 2, 2, true);
AutoFixSPI;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите их в теме. (и при этом проверьте в блокноте, чтобы лог HijackThis нормальный получился).
каспер(вернее его остататки т.к. из всего набора работает только файловый ав и проактивная защита) недал выполнить норм скрипт, пришлось потушить его остатки,
запустил скрит, на данный момент он капитпльно весит вместь с половиной ос диспетчер не вызываеться.. висит уже мин 15... как быть?
Висит на работе с акронивом, или покраней мере в стороке сотояния АВЗ было так написано.
Добавлено через 23 минуты
Забираю свои слова назад, ешо через 10 минут скрипт выполнился, файл карантин.зип пустой, однако после перезагрузки все заработал, на данный момент пишу с этой машины на всякий случай прелагаю логи. Мало ли что. Огромное спасибо за помошь!!!!
Последний раз редактировалось skimenok; 14.01.2010 в 14:10.
Причина: Добавлено
Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer и Adobe Reader до актуальных версий.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: