Перейти к содержанию
Правила раздела

ПО File Downloader

dalmat1972

Автор dalmat1972,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

dalmat1972

dalmat1972 0

Опубликовано
Опубликовано

Сделал все пункты

1. запустить программку, что в аттаче. ПК будет перезагружен.

2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

3.Сделайте новые логи.

Прикрепленные файлы

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты
snifer67

snifer67 120

Опубликовано
Опубликовано

Восстановление системы отключить.

 

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\TNvzcy.ExE','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\kabauth.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\TNvzcy.ExE');
DeleteFile('E:\TNVzcY.exE');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\TNvzcy.ExE');
DeleteFile('F:\TNVzcY.exE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты
dalmat1972

dalmat1972 0

Опубликовано
  • Автор
Опубликовано

Вот ответ

 

avz00001.dta,

avz00005.dta - Packed.Win32.Krap.l

 

Эти файлы определяются антивирусом. Обновите антивирусные базы.

 

avz00001.ini,

avz00002.ini,

avz00003.dta,

avz00003.ini,

avz00004.ini,

avz00005.ini

 

Вредоносный код в файлах не обнаружен.

 

avz00002.dta,

avz00004.dta - Trojan.Win32.AutoRun.sv

 

Детектирование файлов будет добавлено в следующее обновление.

Ссылка на сообщение
Поделиться на другие сайты
dalmat1972

dalmat1972 0

Опубликовано
  • Автор
Опубликовано

Комп пришлось отдать.Знакомые принесли комп домой кого то зарегистрировали ВКонтакте и теперь появилось Вы нарушили лицензионное соглашение программы Download Master,ниже вышлите СМС с кодом на номер и получите код активации.

Какова методика лечения?Как для ПО File Downloader&

Ссылка на сообщение
Поделиться на другие сайты
apq

apq 361

Опубликовано
Опубликовано

dalmat1972 можно сделать так: генерируете код разблокировки тут, обновляете антивирус, проверяете комп и удаляете трояна. если не стоит антивируса то можно использовать одну из бесплатных антивирусных утилит (AVPTool или CureIt)

Ссылка на сообщение
Поделиться на другие сайты
dalmat1972

dalmat1972 0

Опубликовано
  • Автор
Опубликовано
dalmat1972 можно сделать так: генерируете код разблокировки тут, обновляете антивирус, проверяете комп и удаляете трояна. если не стоит антивируса то можно использовать одну из бесплатных антивирусных утилит (AVPTool или CureIt)

Не получается.Троян вот такой Troajn-Downloader.Win32.Piker.avd, Troajn.Win32.Autorun.sv и Troajn.Win32.Autorun.oc. 3 штуки касперский определяет на флешке после того как флешка побывала на зараженном компе.

Ссылка на сообщение
Поделиться на другие сайты
dalmat1972

dalmat1972 0

Опубликовано
  • Автор
Опубликовано
dalmat1972 а что требует указать в тексте смс и на какой номер отправить?

Отправте СМС с кодом K704813000 на номер 4460.Причем код активации должны быть цифры,символы не вводятся.

Ссылка на сообщение
Поделиться на другие сайты
apq

apq 361

Опубликовано
Опубликовано (изменено)
пробовал.не подошли

попробуйте еще эти: 7951983 или 108718

если не подойдут, тогда делайте логи по правилам (если еще не делали) и ждите подхода спецов

Изменено пользователем apq
Ссылка на сообщение
Поделиться на другие сайты
dalmat1972

dalmat1972 0

Опубликовано
  • Автор
Опубликовано

Сработало вот это :

 

Для iLite сработала следущая закономерность -

 

«0» в тексте – «8» в коде

«1» в тексте – «9» в коде

«2» в тексте – «1» в коде

«3» в тексте -«2»

«4» в тексте – «3»

«М»в тексте – «3»

«5» в тексте – «4»

«6» в тексте – «5»

«7» в тексте – «6»

«8» в тексте – «7»

«9» в тексте – «8»

«К» в тексте – «1″

 

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

Этот способ работает только при переведенном времени на 15.12.09

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...