-
Junior Member
- Вес репутации
- 59
Вирус по имени Microsoft IE
Для меня уникальный случай, о подобных я даже не слышал ни от кого. Сегодня прямо во время работы в Интернет, в абсолютно, казалось бы, невинных ресурсах, выскочила страница с адресом http://www.microsoft.com/Rus/Antipir...n/Default.mspx. Казалось бы, фирменные цвета, складный текст, который говорит, что Майкрософт в порядке борьбы с пиратством установил хитрую программулю, и теперь c 8 ноября 2008г. (!) вам нужно оплатить лицензию за использование Интернет Експлорер в размере 30 руб за год (!) путем отправки SMS на такой-то адрес (!). После появления этой страницы стало невозможно переключиться на любые страницы http и ftp, и избранные и домашнюю, хотя они и остались - все время переадресуешься на вышеуказанную страницу.
Черт с ним, плюнул и отправил SMS, вдруг заработает. Тут же исчезло со счета больше 100 руб., в ответ никакие коды активации, естественно, не пришли.
Проверил ПК всеми антивирусами (AVPTool, Dr.WEB, AVZ) - ни одного подозрительного объекта. Слава Богу, что осталась работать MSN, через неё получил браузер Opera, которым и работаю сейчас.
Помогите, ради Бога, разрешите эту загадку - то ли это действительно акция Майкрософт (тогда почему никто не слышал про неё и IE работает у других знакомых), то ли это супер-коммерческий вирус а-ля МММ?
Логи согласно Правил на всякий случай отправляю.
С уважением,
Алексей
Последний раз редактировалось Alex T; 15.04.2009 в 20:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнять в обычном режиме!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D0A7AE29-5A9D-419D-84CD-233098D57135}');
QuarantineFile('C:\WINDOWS\system32\tvsm.dll','');
QuarantineFile('C:\DOCUME~1\777\LOCALS~1\Temp\svc32_1.exe','');
DeleteService('Winqy41');
DeleteService('Winls31');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls31.sys','');
DeleteService('TermServicedmadmin');
DeleteService('IrmonHidServ');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy41.sys');
DeleteFile('C:\DOCUME~1\777\LOCALS~1\Temp\svc32_1.exe');
DeleteFile('C:\WINDOWS\system32\tvsm.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Почитайте http://www.viruslist.com/ru/weblog?weblogid=207758753
-
-
Junior Member
- Вес репутации
- 59
Спасибо за помощь!
Спасибо, после скрипта все заработало!
На всякий случай высылаю логи и карантин.
С благодарностью, Алексей
Последний раз редактировалось Alex T; 15.04.2009 в 20:18.
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('Winra30');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Все сделал, как советовали, лог высылаю.
Спасибо и Вам также за участие!
С уважением,
Алексей
Последний раз редактировалось Alex T; 15.04.2009 в 20:17.
-
В логах чисто, вот здесь посмотрите и ваш случай я показал http://virusinfo.info/showthread.php?t=33464
-