-
Junior Member
- Вес репутации
- 55
Фейковый Internet Sequrity за смс.
Пару минут назад, во время обычного рейда в инет стал сильно глючить комп. После перезагрузки здоровенное сообщение на весь экран, типа сканер Internet Sequtity: мол, обнаружены опасные вирусы, произведите проверку - и кнопочка внизу. Проверка по кнопочке за каких-то полсекунды "обнаруживает" за 70 вирусов, и тут же сообщение: "Ваша копия Internet sequrity не зарегистрирована, для активации отправьте смс..." ну и так далее. Пи всём при этом начисто блокируется восстановление системы, выход в инет(пишу с другого компа), диспетчер задач, а при открытии папки "Антивирус" она моментально закрывается(помогло переименование) - и это далеко не полный список. Логи прибудут чуть познее, сейчас в процессе. Пишу раньше логов, т.к. недавно вы вылечили мой комп от подобной заразы: http://virusinfo.info/showthread.php?t=60831
Добавлено через 16 минут
Почитал рекомендации по запуску avz при таких проблемах, не помогло. Всего лишь по правому клику по avz.exe выкидывает из системы.
Добавлено через 34 минуты
Помогите, прошу, очень срочно! Второй комп заразился аналогично.
Добавлено через 32 минуты
Смотрю я это довольно популярная зараза. Так вот, логи у меня пока тоже не получается сделать, а перевод системного времени(если системное время - это время в нижнем правом углу экрана) не помог.
Добавлено через 17 минут
Короче, всем с этой проблемой, как запустить avz: переименовать все папки с названиями типа "антивирус", "avz", "avz32" и всё в этом роде на абсолютно нейтральные названия, например, "123". Сам avz.exe также стоит переименовать. Тогда можно запустить с сделать логи.
Хелперам: пока сканируется мой комп, я опасаюсь что в любой момент сканирование может быть грубо прервано, пишу что у меня пока нашёл avz:
c:\windows\cursors\pen_il.cur:gM9LmSsFudtuD72JRGt: $DATA>>>опасно исполняемый файл в потоке.
Последний раз редактировалось Irion; 21.01.2010 в 20:43.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
Вот первый лог, который удалось снять. Обнаружил он немало, поэтому надеюсь вы сделаете соответствующие выводы
Последний раз редактировалось PavelA; 21.01.2010 в 21:47.
-
Junior Member
- Вес репутации
- 55
Всё, теперь и переименованый avz отказывает. Но лог, что я вам отправил, не поможет?
Добавлено через 5 минут
Извините, у меня ещё идея: на одном из копмов у меня стоит второй операционкой Linux, с которой можно выходить на разделы windows. Если вирус писался под windows, безопасно ли выходить через linux и можно ли этим как-то воспользоваться, чтобы устранить проблему с windows? Посоветуйте пожалуйста.
Добавлено через 4 минуты
А если вам нужен, хм, "пробник" вируса, один из них я словил на playground.ru
Последний раз редактировалось Irion; 21.01.2010 в 21:20.
Причина: Добавлено
-
c:\windows\cursors\pen_il.cur:gM9LmSsFudtuD72JRGt: $DATA - убивайте с Лайв СД.
Только этот файлик желательно прислать.
После этого должно полегчать.
Файл, который отправили, Ваш а/вирус похоже все-таки съел. До нас он не дошел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Уф, еле отыскал. А не подскажете, как его скопировать, чтобы присоединённая информация(пресловутые :gM9LmSsFudtuD72JRGt: $DATA) не терялась. И что для лайв сд нужно?
-
Сообщение от
Irion
И что для лайв сд нужно?
Образ диска, который запишите на болванку на чистом компьютере.
Скопировать можно и средствами Винды. Ничего не потеряется.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Ссылочку на образ в студию, пожалуйста. Чистым остался только нетбук, без сд-привода.
Добавлено через 3 минуты
И да, нельзя ли обойтись без лайв сд, сделав всё через линукс, о чём я писал ранее?
Последний раз редактировалось Irion; 21.01.2010 в 22:22.
Причина: Добавлено
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
А как насчёт присоединённой информации? Как, не потеряя её, прислать вам файл?
-
Переименуйте его и куда-нибудь скопируйте.
А уж после пришлете.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Вот он, держите. Однако переименование не спасло от потери прикреплённой информации.
-
пока не вижу. По красной ссылке его надо грузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Не получается упаковать в rar. Может ещё как подскажете?
Добавлено через 8 минут
P.s. Удалил, действительно полегчало. Теперь, я понимаю, надо залечивать раны, восстанавливать права и править реестр?
Добавлено через 30 минут
А, всё. Отправил по красной ссылке.
Последний раз редактировалось Irion; 21.01.2010 в 23:28.
Причина: Добавлено
-
Сообщение от
Irion
P.s. Удалил, действительно полегчало. Теперь, я понимаю, надо залечивать раны, восстанавливать права и править реестр
Логи AVZ сделайте + лог GetSystemInfo.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Скачайте вот эту утилиту.
3. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
Код:
siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\TEMP\ (удалить всё в этой папке)Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
Вот по этой инструкции отправляю в карантин то, что удалось изловить.
Добавлено через 1 час 10 минут
И вот ещё, вредоносный поток, с другого компа
Последний раз редактировалось Irion; 22.01.2010 в 13:19.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Irion; 14.11.2010 в 23:07.
-
Junior Member
- Вес репутации
- 55
А вот логи со второго компа:
Последний раз редактировалось Irion; 14.11.2010 в 23:07.
-
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt','');
DeleteFile('C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt', ''), ',,', ','));
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Прислать карантин по Правилам.
А/вирус работает?
В AVZ Файл -- Мастер поиска и устранения проблем -- Все проблемы - отметить и выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Антивирь работает вполне нормально, все признаки пропали. В карантин ничего не попало, вероятно из-за того, что я этот pen_il ранее удалил. Логи прибудут чуть позже.
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Irion; 14.11.2010 в 23:07.