Показано с 1 по 12 из 12.

iMAX Download Manager (2) смс на номер 3649 (заявка № 63024)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26

    Question iMAX Download Manager (2) смс на номер 3649

    Ситуация как в этой ветке.

    Совет по первой ссылке не помог - под учеткой Админа не заходит, а под учеткой пользователя ничего не запускается.

    Совет по второй ссылке не открывается - страница не существует.

    Симптомы: диспетчер задач и редактор реестра заблокированы, исполняемые файлы не запускаются, если проводником или из командной строки зайти в папку с именем «AVZ» - выключается; антивирус от др. Веба с рандомным именем не запускается. Если три часа ПК не перезагружать, то какие-то файлы начинают запускаться (аналогию не обнаружил), так HJT успел запуститься и я там даже чего-то успел удалить. Потом - ПК выключился. После очередного трех часового ожидания запустился полиморфный AVZ, ровно на пол секунды и ПК тут же выключился. "Выключился" - это просто выполнил "выход из системы", как это делаешь, когда хочешь сменить пользователя.

    Что сделано: после загрузки с LiveCD WinPE удалил лишний мусор в userinit и файл, который там был вписан с диска. Проверил все содержимое папки Documents and Settings. В двух местах в папке temp были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб. Удалил все. Осталось всего 3 шт. - они явно легитимные (от web-камеры и еще от чего-то там...)

    Что имеем на данный момент: в Безопасный режим заходит, но ничего толком не работает. Информер пропадает с экрана, если в свободном месте кликнуть ПКМ по рабочему столу и выбрать «Свойства» (Сами «Свойства» при этом не открываются). Но при первой же попытке, что-то запустить - снова выпрыгивает. В безопасном режиме в Проводнике на DVD-ROM стать не получается - курсор от туда сбрасывается. Сам проводник (да и иконки, тоже меняются при попытке доступа к опасному для вируса файлу) выглядит необычно, как будто от Милениума или от 2000.

    Еще много чего есть описать, но, думаю, вы и так все поняли. Самое обидное из всего этого - это то, что CureIt почему-то из-под LiveCD WinPE работает как-то не так. Начинает проверку и через минут 15-20 останавливается с сообщением, что ничего не найдено. Заставить его проверить весь диск не получается.

    Чего там написано было по второй ссылке? Может и мне поможет логи собрать?

    Добавлено через 1 час 29 минут

    Забыл сообщить, что отсутствует вкладка «Восстановление системы» и не получается очистить папки с точками отката.

    Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней». Разговор записал на диктофон.
    Последний раз редактировалось H2O; 09.12.2009 в 13:56. Причина: Добавлено

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Стоит попробовать AVPTool - он детектирует и лечит данную заразу, скачать его можно тут http://avptool.ru/. Его можно применять из безопасного режима

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    При загрузке с LiveCD WinPE запустить не удалось - не захотел распаковываться. Все норовит развернуться на CD-диск (запускал, скопировав предварительно на HDD)

    Кто-нибудь знает способ запустить AVZ с параметрами т.н. «заморозки» в момент загрузки ОС. Может удастся таким образом победить эту заразу.

    p.s.: у меня windows xp sp3

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Сообщение №2 прочтите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    Сканирую при помощи Live CD Dr.Web и постепенно теряю надежду. Уже 2/3 готово, а ни одного паразита еще не найдено

    Добавлено через 4 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Сообщение №2 прочтите
    Клик на любом исполняемом файле вызывает появление информера, который я убираю ПКМ на Рабочем Столе - Свойства (Свойства Рабочего стола при этом не открывается, а информер закрывается). Через три часа работы ПК эта зараза позволяет запускать с ее точки зрения безопасные файлы. Но если попробовать запустить HJT, полиморфный AVZ, CureIt или даже Тотал Коммандер, то тут же срабатывает «Выход из системы». Перелогин пользователя включает 3-х часовой счетчик по новой. К тому же в Безопасном Режиме заблокирован доступ к оптическому приводу.

    Добавлено через 18 минут

    Проверка Dr.Web-ом закончилась. Ничего не нашел... обидно...
    Последний раз редактировалось H2O; 10.12.2009 в 00:09. Причина: Добавлено

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Скачать на чистой машине ftp://devbuilds.kaspersky-labs.com/d...escue_2008.iso и записать образ на CD.

    Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля и пролечить систему.

    После этого выполнить правила
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    Пока качается iso-шник, сделал вот, что:
    1. Загрузился с LiveCD WinPE
    2. Проверил еще раз все содержимое папки Documents and Settings. В двух местах в папке temp снова были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб (или 133 664 байта).
    3. Нашел по размеру такие же файлы в папках %systemroot%/temp/ и %systemroot%/system32/
    4. Переместил их все на диск D
    5. Перезагрузился
    6. ПК нормально загрузился и ни разу не ругнулся
    7. С помощью AVZ выполнил восстановление системы
    8. Установил Kaspersky Virus Removal Tool 2010 (во время инсталляции экран яростно мигал! (?) - думал, что «Капец - ничего не получилось»)
    9. В данный момент сканирую, все программы запускаются нормально
    10. 25% готово - полет нормальный
    11. Вирусов пока не обнаружено
    Последний раз редактировалось H2O; 10.12.2009 в 01:45. Причина: Один пункт пропустил...

  9. #8
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    Kaspersky Virus Removal Tool 2010 проверил и ничего не обнаружил. Почему у меня есть убеждение, что что-то должно найтись? Я руками удалил около 5 тыс. dll-ок и ничего не пропустил? Разве не должно быть какого-нибудь sys-файла или exe-шника, который этими библиотеками рулит?

    Во время удаления dll-ок случайно удалил upnp.dll, а после лечения обнаружил, что флешки, например, перестали определяться и брандмауэр отказался запускаться, а во время загрузки ПК стартует всего две службы. Службы привел в порядок, upnp.dll, explorer.exe, userinit.exe и ctfmon.exe скопировал с чистой машины.

    В общем прилагаю логи. Посмотрите, пожалуйста, может чего затесалось?
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    Цитата Сообщение от H2O Посмотреть сообщение
    Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней».
    Чуток перепутал. Оказалось, что номер 3649 - это для России. Для Украины номер другой - 4171. В МТС-Украина сказали, что номер принадлежит «Интернешнл Украина» и дали телефон тех. поддержки: +38 044 581-57-14. Позвонив на него мне ответил автоинформатор, сообщив, что я позвонил в службу поддержки компании «Первый-Альтернативный». Ответившая девушка представилась. Подтвердила, что короткий номер 4171 принадлежит им, сообщила, что кто-то из их клиентов взял в аренду этот номер, напакостил, а они теперь расхлебывают. Но у нее для меня есть волшебный код, который она мне любезно продиктует. На мой вопрос: «Каким образом ко мне попала эта гадость?»,- ответила: «В процессе обновления антивирусной программы». На мой вопрос: «Откуда у меня будет уверенность, что после продиктованного кода информация на моем ноутбуке не пострадает?»,- был ответ, что типа «Мы можем Вам гарантировать». Я был в шоке: «Т.е. я правильно понимаю, что кто-то (не вы!) заразил и заблокировал мне ноутбук установив туда какое-то ПО и теперь вы берете ответственность за последствия работы этого ПО и если с информацией на моем ПК, что-то случится, то вы готовы это компенсировать?!» Ничего более умного кроме: «Мы пытаемся Вам помочь...»,- больше девушка ответить не смогла. Информацию о том кто этот негодяй, который их так подставил и кого они заблокировали, она предоставить отказалась. Номер 4171, я так понимаю, они заблокировать не догадались и продолжают принимать на него смс стоимостью 3,75$.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\natpg.dll
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\natpg.dll','');
    DeleteFile('C:\WINDOWS\system32\natpg.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин (если не будет пустой) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Больше плохого не видно

    Установите Adobe Acrobat 9.2 или удалите старый
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    26
    Карантин отправил, но, кажется там не тот файл.
    Последний раз редактировалось H2O; 12.12.2009 в 03:51.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) H2O, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. iMax Download Manager
      От day11 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 23.12.2009, 20:08
    2. iMAX Download Manager (2) смс на номер 3649
      От dodge в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.12.2009, 21:59
    3. iMax Download Manager
      От Foxchrome в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.12.2009, 20:25
    4. imax download manager
      От 6onox в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2009, 16:22
    5. iMAX Download Manager (2) sms на номер 3649
      От H2O в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.12.2009, 14:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00236 seconds with 22 queries