Порно окно на рабочем столе [LOG+]

[JIABP]

Логи готовы = )

 

logs.rar

[Apollon]

JIABP Что так долго?

[JIABP]

Логи снимались с чужого компа, и человек не успел их мне отослать. Всё из-за ПЫШ - она снимала показания более 30 минут, хотя признаков зависания не было. Поэтому ни одного лога я получить не успел. Завтра будут.

[Pipkin]

Ещё картинок!

[ТроПа]

Всё из-за ПЫШ -

Из-за чего?

[Falcon]

ПЫШ = GSI

[JIABP]

Да, ПЫШ это GSI = ) Всё великий и ужастный пунто измордовал = ) Логи в 1-ом посте = )

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys','');
DeleteService('ati8ggxx');
DeleteService('ati7ctxx');
DeleteService('ati4jtxx');
DeleteService('ati3ytxx');
DeleteService('ati2uxxx');
TerminateProcessByName('c:\documents and settings\ЮГЛ\application data\popup.exe');
QuarantineFile('c:\documents and settings\ЮГЛ\application data\popup.exe','');
DeleteFile('c:\documents and settings\ЮГЛ\application data\popup.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati8ggxx');
BC_DeleteSvc('ati7ctxx');
BC_DeleteSvc('ati4jtxx');
BC_DeleteSvc('ati3ytxx');
BC_DeleteSvc('ati2uxxx');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

 

Сделайте новые логи

[JIABP]

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Вот тут поподробнее. Что это за нововедение такое? = )

 

З.Ы. Кто переименовал тред?

[thyrex]

Это было в логах.

Некоторые зловреды так портят запуск служб, связанных с автоматическим обновлением

[Ummitium]

popup.exe он же Trojan-Ransom.Win32.AdFake.e - тот самый вредонос, из-за которого я продолжительно осаждал вирлаб и он уже давно в базах.

 

Он не устанавливает драйверы, он только сохраняет свою копию в %USERPROFILE%\application data и прописывает ее в автозапуск.