 винлокер Билайн SpyVoltar RC=32, убить заразу на корню |
  |
  7.05.2012 14:30
Post
#1
|
|
|
Newbie  Group: Members Posts: 5 Joined: 7.05.2012  |
Добрый день! Поймала винлокер, который просил 1000 рублей на Билайн. Первый раз после перезагрузки с вирусом НОД32 успел оповестить о SpyVoltar, после чего появился блокиратор. В безопасном режиме удалось откатить систему назад. Вирус все равно остался, его видно при загрузке системы, но блокиратор не появляется, могу работать. Да, еще изменила системную дату на всякий случай, из-за этого все время говорит о просроченных лицензиях. AVZ и антивирусная утилита Касперского ничего не нашли. DrWeb CureIT тоже не нашел, но выдал подозрение на RC=32 (0x20). В реестре в Winlogon значения userinit и shell в норме. Где найти заразу?!
|
 |
 
|
|
7.05.2012 14:33
Post
#2
|
|
 Helper Group: Moderators Posts: 19886 Joined: 16.02.2008 From: Soligorsk, Belarus |
Выполните http://forum.kaspersky.com/index.php?showtopic=218224 и прикрепите лог в совей теме
-------------------- Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo) Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc Вирусы и решения - Утилиты для борьбы с вирусами  |
|
|
|
|
7.05.2012 15:16
Post
#3
|
|
|
Newbie Group: Members Posts: 5 Joined: 7.05.2012 |
QUOTE(thyrex @ 7.05.2012 13:33)  Выполните http://forum.kaspersky.com/index.php?showtopic=218224 и прикрепите лог в совей теме выкладываю
Attached File(s)
|
|
|
|
|
7.05.2012 17:56
Post
#4
|
|
|
Helper Group: Moderators Posts: 19886 Joined: 16.02.2008 From: Soligorsk, Belarus |
Сделайте логи RSIT
-------------------- Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo) Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc Вирусы и решения - Утилиты для борьбы с вирусами |
|
|
|
|
7.05.2012 20:46
Post
#5
|
|
|
Newbie Group: Members Posts: 5 Joined: 7.05.2012 |
|
|
|
|
|
7.05.2012 21:39
Post
#6
|
|
|
Helper Group: Moderators Posts: 19886 Joined: 16.02.2008 From: Soligorsk, Belarus |
CODE C:\windows\system32\5709.tmp Удалите вручнуюC:\plg.txt C:\4rFnR64Jl1SNyME Смените все пароли Больше ничего плохого -------------------- Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo) Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc Вирусы и решения - Утилиты для борьбы с вирусами |
|
|
|
|
8.05.2012 11:12
Post
#7
|
|
|
Newbie Group: Members Posts: 5 Joined: 7.05.2012 |
QUOTE(thyrex @ 7.05.2012 20:39) CODE C:\windows\system32\5709.tmp Удалите вручнуюC:\plg.txt C:\4rFnR64Jl1SNyME Смените все пароли Больше ничего плохого Спасибо огромное! Удалила вручную. Вроде ничего не беспокоит. Но при загрузке он все равно на темном экране пишет "неправильный файл BOOT..." (дальше не успеваю прочитать, всего 2 строчки). |
|
|
|
|
8.05.2012 14:00
Post
#8
|
|
|
Helper Group: Moderators Posts: 19886 Joined: 16.02.2008 From: Soligorsk, Belarus |
boot.ini похоже. Каким образом вы его повредили?
-------------------- Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo) Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc Вирусы и решения - Утилиты для борьбы с вирусами |
|
|
|
|
8.05.2012 16:09
Post
#9
|
|
|
Newbie Group: Members Posts: 5 Joined: 7.05.2012 |
QUOTE(thyrex @ 8.05.2012 13:00) boot.ini похоже. Каким образом вы его повредили? Понятия не имею. Эту строчку при загрузке компьютер выдает с тех пор, как подружился с винлокером. Но дальше грузится, и все работает нормально. |
|
|
|
|
| Lo-Fi Version | Time is now: 20.05.2013 10:37 |