Пару дней назад неожиданно на экране всплыла картинка, на которой мне предлагалось зарегистрировать мою версию Windows, так как она якобы нелегальная через SMS сообщение на номер с кодовым набором символов, в ответ, я должен был бы получить код активации системы, который мне предлагалось ввести в поле на картинке. При этом никакие клавиши управления компом, кроме перезагрузки, не действовали, загрузка в защищенном режиме тоже проблемы не решила - картинка появлялась сразу же после залогинивания.
Дальнейшие мои действия были следующие: в момент загрузки сразу после ввода логина и пароля я судорожно жал три заветные кнопки и вызывал список процессов, откуда я увидел злобного виря, и просто его прибил, затем запустил из списка задача проводник и попал в нормальную среду Windows c открывшимся проводником. Следом я полез в реестр поглядеть, что у меня висит на WinLogon-e - естественно висела эта тварь, поменял ее на загрузку userinit с правильным путем . Тварь по указанному ранее пути найти не смог.
Таким образом, у меня стоит вопрос - как мне вычистить эту хрень, чтобы она больше не проявлялась . На данный момент система работает стабильно и больше пока эта дрянь меня не беспокоила.
Логи по правилам прилагаю!
Заранее благодарю экспертов этого форума в оказании помощи или проведении консультации!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо за Ваши советы, но честно говоря не очень понял вторую часть вашего сообщения, что именно от меня требуется сделать по этим двум одинаковым ссылкам? перевести деньги на ваш счет? И при чем тут мой Акробат? Зачем его деинсталлировать - он прекрасно работает и так.
То что в логах ничего подозрительного Вы не нашли, собственно как и я, не говорит о том что ничего подозрительного нет на компе. Эта фигня откуда-то подцепилась в WINlogon и процесс был запущен, куда эта дрянь перекочевала дальше, после того как я убил процесс и внес коррективы в реестр - мне лично не ясно. А именно ответ на этот вопрос меня интересовал. То что по неясным ссылкам лазить не стоит - я и так знаю, но за компом иногда сидит жена под админскими правами - к сожалению без моего ведома, это не контролируемо никак, кроме как запрет и смена пароля, что в моей ситуации неблагоразумно, дабы не портить взаимоотношения с супругой .
Зачем его деинсталлировать - он прекрасно работает и так.
в 2х словах: дырявый он.
Эта фигня откуда-то подцепилась в WINlogon и процесс был запущен, куда эта дрянь перекочевала дальше, после того как я убил процесс и внес коррективы в реестр - мне лично не ясно
Так же как не ясно и нам... Их ведь не одна и не две модификации...
Ок. Спасибо, инфу соберу и выложу!
На счет Акробата - подумаю.
Жаль, что на данный момент по поводу этой твари нету определенного решения и ясности...
Добавлено через 59 минут
По ходу все ж этот вирь у меня еще жив и судя по всему чувствует себя неплохо... правда комп еще работает... но NOD-овский файрвол постоянно блокирует у меня фоновые запросы на сайт http://www.updategoogle.cn/, с вот таким вот комментарием:
"Подробности:
Описание:
ESET Smart Security заблокировал доступ к веб-странице.
Страница находится в списке веб-сайтов с потенциально опасным
содержимым."
Добавлено через 18 минут
Статистику собрал и выложил в нужную тему... дублирую тут свой пост
Файл сохранён как 090708_131408_virusinfo_files_ALEX_AT_HOME2_4a5463 60d0e40.zip
Размер файла 4728249
MD5 1bbf72fa886980d8fcdfef4aa259a4c5
Опа... анализ моего компа вот что выдал вашим спецам...
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\DOCUME~1\Admin\LOCALS~1\Temp\2F7.tmp: Trojan-Downloader.Win32.Small.jyu
Последний раз редактировалось Zhezhe; 08.07.2009 в 17:39.
Причина: Добавлено
Очистите все темп-папки.
Сделайте полную проверку AVPTool или CureIt ..
Пункт 2 диагностики выполните...
Опа... анализ моего компа вот что выдал вашим спецам...
У нас там спец один... И он практически никогда не спит, работает без выходных. Не пьёт, не курит. Работает даже по ночам и за десятерых... Вообще фанат
Добавлено через 5 минут
virusinfo_syscheck.zip делали с подключено сетью и интернетом, как написано в правилах?
Последний раз редактировалось light59; 08.07.2009 в 18:03.
Причина: Добавлено
virusinfo_syscheck.zip именно с интернет подключением и делал!
У меня NOD32 ничего не находит. Сейчас почищу ТЕМП и прогоню еще CureIt!
результаты напишу чуть позже!
В общем удалить эти файлы в обычном режиме из TEMP не удалось... вместе с обозначенным файлом в этой папке не удаляется еще с десяток аналогичных объектов. Попробую через защищенный режим еще.
Добавлено через 2 минуты
Антивирус пишет что ломится по http на указанный выше сайт, а что именно почему-то в логах NOD32 не прописывается, вообще никакой инфы в логах антивируса нету...
Чем еще можно поглядеть?
Добавлено через 6 часов 32 минуты
Еще раз прогнал после перезагрузки NOD-ом - нашел вот такую вот песню и поместил в карантин:
09.07.2009 0:47:51 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\calc.ifo модифицированный Win32/Agent.CCWW троянская программа очищен удалением (после следующего перезапуска) - изолирован
Последний раз редактировалось Zhezhe; 10.07.2009 в 01:26.
Причина: Добавлено
В сухом остатке, после NODa прогнал еще Dr.Web CureIT последней скаченной с сайта вчера же версией - ничего не нашел.
Сегодня сделал логи - прилагаю их.
С папкой TMP так и не разобрался, удалить эти временные файлы пока не получилось, правда защищенный режим для удаления попробовать не успел, если будут какие-то рекомендации кроме этой, буду рад выслушать.
Заранее благодарю.
В общем не понятно что делать дальше... с форума тишина... выкладываю в последний раз логи... если на ваш взгляд все чисто - тему закрываем.
Заранее благодарю за внимание и жду вашего окончательного вердикта!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: