ПО File Downloader

[dalmat1972]

Сделал все пункты

1. запустить программку, что в аттаче. ПК будет перезагружен.

2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

3.Сделайте новые логи.

Прикрепленные файлы

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Восстановление системы отключить.

 

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\TNvzcy.ExE','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\kabauth.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\TNvzcy.ExE');
DeleteFile('E:\TNVzcY.exE');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\TNvzcy.ExE');
DeleteFile('F:\TNVzcY.exE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[dalmat1972]

Вот ответ

 

avz00001.dta,

avz00005.dta - Packed.Win32.Krap.l

 

Эти файлы определяются антивирусом. Обновите антивирусные базы.

 

avz00001.ini,

avz00002.ini,

avz00003.dta,

avz00003.ini,

avz00004.ini,

avz00005.ini

 

Вредоносный код в файлах не обнаружен.

 

avz00002.dta,

avz00004.dta - Trojan.Win32.AutoRun.sv

 

Детектирование файлов будет добавлено в следующее обновление.

[snifer67]

Сделайте новые логи.

[dalmat1972]

Комп пришлось отдать.Знакомые принесли комп домой кого то зарегистрировали ВКонтакте и теперь появилось Вы нарушили лицензионное соглашение программы Download Master,ниже вышлите СМС с кодом на номер и получите код активации.

Какова методика лечения?Как для ПО File Downloader&

[apq]

dalmat1972 можно сделать так: генерируете код разблокировки тут, обновляете антивирус, проверяете комп и удаляете трояна. если не стоит антивируса то можно использовать одну из бесплатных антивирусных утилит (AVPTool или CureIt)

[dalmat1972]

dalmat1972 можно сделать так: генерируете код разблокировки тут, обновляете антивирус, проверяете комп и удаляете трояна. если не стоит антивируса то можно использовать одну из бесплатных антивирусных утилит (AVPTool или CureIt)

Не получается.Троян вот такой Troajn-Downloader.Win32.Piker.avd, Troajn.Win32.Autorun.sv и Troajn.Win32.Autorun.oc. 3 штуки касперский определяет на флешке после того как флешка побывала на зараженном компе.

[apq]

Не получается.

конкретно что не получается? подобрать код разблокировки?

[dalmat1972]

конкретно что не получается? подобрать код разблокировки?

да

[apq]

dalmat1972 а что требует указать в тексте смс и на какой номер отправить?

[dalmat1972]

dalmat1972 а что требует указать в тексте смс и на какой номер отправить?

Отправте СМС с кодом K704813000 на номер 4460.Причем код активации должны быть цифры,символы не вводятся.

[apq]

dalmat1972

Попробуйте код 334510 или 7930030

[dalmat1972]

dalmat1972

Попробуйте код 334510 или 7930030

пробовал.не подошли

[apq]

пробовал.не подошли

попробуйте еще эти: 7951983 или 108718

если не подойдут, тогда делайте логи по правилам (если еще не делали) и ждите подхода спецов

Изменено 26 декабря, 2009 пользователем apq

[dalmat1972]

Сработало вот это :

 

Для iLite сработала следущая закономерность -

 

«0» в тексте – «8» в коде

«1» в тексте – «9» в коде

«2» в тексте – «1» в коде

«3» в тексте -«2»

«4» в тексте – «3»

«М»в тексте – «3»

«5» в тексте – «4»

«6» в тексте – «5»

«7» в тексте – «6»

«8» в тексте – «7»

«9» в тексте – «8»

«К» в тексте – «1″

 

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

Этот способ работает только при переведенном времени на 15.12.09