Неопознаваемый вирус(?)

[AzzHell]

Перед загрузкой вылетает окошко с кнопкой ОК и в нём написано по русски, мол если хотите сохранить все данные на компике и обеспечить нормальную работу компа в дальнейшем - Пришлите на мыло номер карты Веб Мани или Яндэкс деньги номиналом в 10$ или 5кать и в течение суток какой - то ушлёпок Хакер отошлёт мне прогу которая уберёт Троянскую прогу с моего компа.... На компе ничего не открывается, всё блокировано "Администратором сети" мать его.. В ПУСКе лиш ячейка "ВСЕ программы" и то не все ... На рабочем столе Пустотаааа,Открываю Эксплорер, На стартовой странице фотка с трупом какого - то мужыка +((( И потом эксплорер уже нельзя закрыть... надо комп выключать.. Пишет ошибку " Операция отменена в связи с установлеными на компьютере ограничениями. Обратитесь к Администратору сети" на панели задачь там где должны быть часы надпись "очень нехорошее слово" ))))) и в строке состояния ЭКСПЛОРЕРА тоже мат всякий...

Антивирусные программы с последними обновлениями ни чего не видят! Хорошо хоть есть 2 винда, целая пока.... Проводил ПОЛНЕЙШИЙ анализ раздела заражённой винды - ноль.

Что делать? Удалить винду что ли? Есть ли возможность всё энто убрать?

[den]

Возможно это программа-шутка. есть возможность отправить файл на исследование в ЛК?

[akoK]

Это не шутка, а программа "вымогатель"...

 

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[AzzHell]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Прочитал инструкцию. Есть вопрос - С другой операционки это подействует?

Так полетела у меня ХР. В Viste 64 стоит Symantec с последними базами (10.03.08) - Сканил раздел ХР 4 раза по полной - ничегошеньки! В ХР , которая заблокирована таким образом, невозможно запустить даже калькулятор! Не говоря про антивирусник, кстати там он стоя, но промолчал....

[SLASH_id]

Встречал эту байду пару лет назад. Пришлось систему сносить так как ничто эту заразу не брало(

[Kapral]

Т.е. антивирус, который пропустил пакость - Симантек?

[AzzHell]

Да. Но тут неразбериха полная. Возможно я сам прогнал.(( При загрузке винды XP,( а ей я собственно раз в месяц, так, поиграть), мне выдавались сообщения на буржуйском что-то связанные с Symantec (предлогалось обратится к ним за справкой вродебы) я энти просьбы проигнорировал, а зря походу. Щас я потехоньку въезжаю что это скорее всего (а сообщений было штук 5) были сообщения о том что службы Symantec не были запущены(?) Возможно ли такое? (У меня тут хватает "домашних хакеров" которые лазют куда не над ) Есть у меня архив, типа фотки, непомню где скачал именно, но в Viste 64 он не хавался. Решил я его проверить на открываемость в xp, пользуясь случаем. А так как службы не работали Symantec эт дело и провтыкал, по понятной причине. Ну по крайней мере я так думаю.

[Kapral]

В общем есть большой (вернее громадный) шанс - что все сделано своими ручками - плёхо

 

Если запускаются часть программ - то может воспользоваться бесплатным сканером от ЛК AVPTool

[AzzHell]

В этом то и весь фокус покус - что НИЧЕГО не даёт запустить! Перехватывает эта зараза все WinApi функции, и БАНИТ всё что только пытается запустится. Предполагаю что эта гадина прописалась в реестре и после своего запуска, пользуясь всей красой WinApi функций, режит виндавос направо и на лево. Только с другой операционки я не могу найти эту гадину, как не искал. Возможно ли если убрать эту гадину с загрузки, всё вернуть? Есть ли такая возможность с другой операционки открыть для редактирования файл реестра той винды и поиспровлять записи? Есть ли эта идея шанс на жизнь?

[akoK]

Обычно не выключаеться расширение *pif, так, что попытайтесь переименовать avz.exe в spambot.pif или 1111.cmd или fignya.bat. Если не дает в обычном режиме, то пробуйте запустить через IE. Если работает безопасный режим, то вообще красота.

 

 

 

 

Командная строка работает?

пуск-выполнить-msconfig-диагностический запуск(безопасный режим из обычного)

Изменено 11 марта, 2008 пользователем akoK

[AzzHell]

Удалить и переустановить винду - не проблема. Дело принципа.

Щас выяснил что при загрузке в безопасном режиме есть возможность зайти как Администратор. Причём на этот профайл не распространятся БЛОКИРОВКА приложений!!!! ?? Правда один минус - НЕВИДНО НИ ОДНОГО РАЗДЕЛА! Акромя рабочего стола. Щас закину пару софтеса,(на этот рабочий стол) в т.ч. антивирус Каспера, и буду чонить творить. У кого есть ещё какие предложения пишите. Стало до боли интересно это всё развентить. )))

[SLASH_id]

Для начала попытаться выполнить правила оформления запроса. Если получиться, то развинтим уж как-нибудь ))

[AzzHell]

Кароче дело обстоит так. В защещённом режиме можно запустить только приложение TaskMgr (ито под админом). Пошол на хитрость - поместил AVZ в System 32 - переименовал в TaskMgr (это в раб. винде). Перезапустил - СРАБОТАЛО! Мало того я походу выловил эту сущность ))

Это - Trojan.Win32.Krotten.fa (тут белиберда ещё в скобках тиап ASXDFD234-GFDGFJKK-.......) пишет подозрение, но я думаю эт наш клиент.

Все правила там пока выполнить не могу, т.к. не могу запустить скрипты, их невидно. Да хрень такая что жесткий не видно. Из нитки только Пустой рабочий стол, Сеть и ещё что т не важное и пустое. Поэтому в поике скриптов в AVZ для их выполнения пока глухо. Сделал ПОЛНЫЙ ЭВРО анализ после которого надо перезагрузится. ДА ещё AVZ выдал мне инфо (эт я конечно и него знал) что у меня закрыт доступ к редактору реестра(правда я его запустил как и AVZ), запущены потенциально опасные службы, заблокирован жёсткий, рабочий стол в общем всё это класс. ТОЛЬКО МОЖЕТ ОН ЭТО НЕ ТОЛЬКО МНЕ ОБ ЭТОМ СКАЗАТЬ НО И ИСПРАВИТЬ?

[akoK]

Что в avz нет возможности найти?

В avz пуск-выполнить скрипт-скопировать и нажать запустить

begin
ExecuteStdScr(3);
end.

[AzzHell]

Кстати насчёт расширений пробовал их все pif bat cmd com - фиг вам сказали мне там.

 

Код

begin

ExecuteStdScr(3);

end.

 

Этого хватит? Просто я в AVZ со скриптами не разу не сталкивался