Вобщем плохо, определенно надеялся что ЭКРАН ПОВЕДЕНИЯ не пропустит ScreenLocker
который сигнатурно не детектируется (отослал на всякий случай)

локер спокойно прописался в автозагрузку С:\users\system.exe

HKCU:Run

раньше экран поведения спрашивал если кто чего подозрительное в реестр пишет…

хотелось бы видеть нечто вроде такого
процесс C:\Program Files\Common Files\qip\svhost.exe
хочет запускать себя из HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
разрешить ? в карантин итд

О какой версии аваст идет речь?

5.1.889 FREE

В настройках экрана поведения стоит спрашивать? Думается, что функциональность экрана поведения все еще не полная, поэтому возможны, к сожалению, такие вот ситуации. С версией 6.0 все должно быть уже на более совершенном уровне.

да, стоит “Спрашивать” в настройках

а это как пожелание разработчикам:

хотелось бы видеть нечто вроде такого процесс C:\Program Files\Common Files\qip\svhost.exe хочет запускать себя из HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell разрешить ? в карантин итд

А образчик этого локера можно как то в подарок получить? В личку почту свою сообщу.

я так и непонял как на этом форуме личку написать, если Вы знаете то пишите конечно

ex_avira_user
К сожалению, Вы не сможет посылать личные сообщения, пока количество Ваших сообщений на этом форуме не достигнет десяти. Эта ограничительная мера была введена после того, как спамеры использовали личные сообщения для рассылки спама участникам форума.

я не спамер :

Ограничение выставлено не для Вас лично, а для любого новичка. Спамеры обычно пытаются сразу же после регистрации отправить сообщения на максимальное количество акаунтов. Движок форума не может отслеживать такие действия и поэтому было решено ограничить первоначальный доступ новичкам к системе личных сообщений.

винлоки легко “опускаются” установленным блоком записи в ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
В итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК

ща попробую…
не, так и не могу написать лс, если кому надо для тестов пишите мне сами в личку

В моем профиле есть мыло. Можете на него выслать? Только в архиве с паролем а то не дойдет. Буду признателен.

Всем кто интересовался, проверьте почту 8)
В вирлаб отправлял дня 3 назад (и еще штук 17) пока не добавили
правдв вчера пару семплов определилась как MALWARE.GEN

уже 11, а ЛС так и недоступно ???

Нужно 20.

а там выше писали что десять ;D ???

С базой 110129-0 детектируется как Win32: Malware-gen.

Мне дошло. Спасибо. А какой пароль? Если тот, что в названии содержится тогда файл битый. Их вообще два должно быть. По одному в блокерах и смс-вымогателях ни разу не встречал.

в названии это на разблокировку компа!
пароль на архив был указан в письме.

точно 8) эвристик подкрутили ;D

Нет, это в базу добавили