IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> винлокер Билайн SpyVoltar RC=32, убить заразу на корню
camille00100
post 7.05.2012 14:30
Post #1


Newbie
*

Group: Members
Posts: 5
Joined: 7.05.2012




Добрый день! Поймала винлокер, который просил 1000 рублей на Билайн. Первый раз после перезагрузки с вирусом НОД32 успел оповестить о SpyVoltar, после чего появился блокиратор. В безопасном режиме удалось откатить систему назад. Вирус все равно остался, его видно при загрузке системы, но блокиратор не появляется, могу работать. Да, еще изменила системную дату на всякий случай, из-за этого все время говорит о просроченных лицензиях. AVZ и антивирусная утилита Касперского ничего не нашли. DrWeb CureIT тоже не нашел, но выдал подозрение на RC=32 (0x20). В реестре в Winlogon значения userinit и shell в норме. Где найти заразу?!
Go to the top of the page
 
+Quote Post
thyrex
post 7.05.2012 14:33
Post #2


Helper
***************

Group: Moderators
Posts: 23779
Joined: 16.02.2008
From: Soligorsk, Belarus




Выполните http://forum.kaspersky.com/index.php?showtopic=218224 и прикрепите лог в совей теме


--------------------
Go to the top of the page
 
+Quote Post
camille00100
post 7.05.2012 15:16
Post #3


Newbie
*

Group: Members
Posts: 5
Joined: 7.05.2012




QUOTE(thyrex @ 7.05.2012 13:33) *
Выполните http://forum.kaspersky.com/index.php?showtopic=218224 и прикрепите лог в совей теме


выкладываю
Attached File(s)
Attached File  KL_syscure.zip ( 28,27K ) Number of downloads: 1
 
Go to the top of the page
 
+Quote Post
thyrex
post 7.05.2012 17:56
Post #4


Helper
***************

Group: Moderators
Posts: 23779
Joined: 16.02.2008
From: Soligorsk, Belarus




Сделайте логи RSIT


--------------------
Go to the top of the page
 
+Quote Post
camille00100
post 7.05.2012 20:46
Post #5


Newbie
*

Group: Members
Posts: 5
Joined: 7.05.2012




QUOTE(thyrex @ 7.05.2012 16:56) *
Сделайте логи RSIT


вот они
Attached File(s)
Attached File  info.txt ( 44,51K ) Number of downloads: 2
Attached File  log.txt ( 46,33K ) Number of downloads: 3
 
Go to the top of the page
 
+Quote Post
thyrex
post 7.05.2012 21:39
Post #6


Helper
***************

Group: Moderators
Posts: 23779
Joined: 16.02.2008
From: Soligorsk, Belarus




CODE
C:\windows\system32\5709.tmp
C:\plg.txt
C:\4rFnR64Jl1SNyME
Удалите вручную

Смените все пароли

Больше ничего плохого


--------------------
Go to the top of the page
 
+Quote Post
camille00100
post 8.05.2012 11:12
Post #7


Newbie
*

Group: Members
Posts: 5
Joined: 7.05.2012




QUOTE(thyrex @ 7.05.2012 20:39) *
CODE
C:\windows\system32\5709.tmp
C:\plg.txt
C:\4rFnR64Jl1SNyME
Удалите вручную

Смените все пароли

Больше ничего плохого


Спасибо огромное! Удалила вручную. Вроде ничего не беспокоит. Но при загрузке он все равно на темном экране пишет "неправильный файл BOOT..." (дальше не успеваю прочитать, всего 2 строчки).
Go to the top of the page
 
+Quote Post
thyrex
post 8.05.2012 14:00
Post #8


Helper
***************

Group: Moderators
Posts: 23779
Joined: 16.02.2008
From: Soligorsk, Belarus




boot.ini похоже. Каким образом вы его повредили?


--------------------
Go to the top of the page
 
+Quote Post
camille00100
post 8.05.2012 16:09
Post #9


Newbie
*

Group: Members
Posts: 5
Joined: 7.05.2012




QUOTE(thyrex @ 8.05.2012 13:00) *
boot.ini похоже. Каким образом вы его повредили?


Понятия не имею. Эту строчку при загрузке компьютер выдает с тех пор, как подружился с винлокером. Но дальше грузится, и все работает нормально.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 28.08.2014 07:05