-
Junior Member
- Вес репутации
- 53
iMAX Download Manager (2) смс на номер 3649
Ситуация как в этой ветке.
Совет по первой ссылке не помог - под учеткой Админа не заходит, а под учеткой пользователя ничего не запускается.
Совет по второй ссылке не открывается - страница не существует.
Симптомы: диспетчер задач и редактор реестра заблокированы, исполняемые файлы не запускаются, если проводником или из командной строки зайти в папку с именем «AVZ» - выключается; антивирус от др. Веба с рандомным именем не запускается. Если три часа ПК не перезагружать, то какие-то файлы начинают запускаться (аналогию не обнаружил), так HJT успел запуститься и я там даже чего-то успел удалить. Потом - ПК выключился. После очередного трех часового ожидания запустился полиморфный AVZ, ровно на пол секунды и ПК тут же выключился. "Выключился" - это просто выполнил "выход из системы", как это делаешь, когда хочешь сменить пользователя.
Что сделано: после загрузки с LiveCD WinPE удалил лишний мусор в userinit и файл, который там был вписан с диска. Проверил все содержимое папки Documents and Settings. В двух местах в папке temp были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб. Удалил все. Осталось всего 3 шт. - они явно легитимные (от web-камеры и еще от чего-то там...)
Что имеем на данный момент: в Безопасный режим заходит, но ничего толком не работает. Информер пропадает с экрана, если в свободном месте кликнуть ПКМ по рабочему столу и выбрать «Свойства» (Сами «Свойства» при этом не открываются). Но при первой же попытке, что-то запустить - снова выпрыгивает. В безопасном режиме в Проводнике на DVD-ROM стать не получается - курсор от туда сбрасывается. Сам проводник (да и иконки, тоже меняются при попытке доступа к опасному для вируса файлу) выглядит необычно, как будто от Милениума или от 2000.
Еще много чего есть описать, но, думаю, вы и так все поняли. Самое обидное из всего этого - это то, что CureIt почему-то из-под LiveCD WinPE работает как-то не так. Начинает проверку и через минут 15-20 останавливается с сообщением, что ничего не найдено. Заставить его проверить весь диск не получается.
Чего там написано было по второй ссылке? Может и мне поможет логи собрать?
Добавлено через 1 час 29 минут
Забыл сообщить, что отсутствует вкладка «Восстановление системы» и не получается очистить папки с точками отката.
Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней». Разговор записал на диктофон.
Последний раз редактировалось H2O; 09.12.2009 в 13:56.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Стоит попробовать AVPTool - он детектирует и лечит данную заразу, скачать его можно тут http://avptool.ru/. Его можно применять из безопасного режима
-
-
Junior Member
- Вес репутации
- 53
При загрузке с LiveCD WinPE запустить не удалось - не захотел распаковываться. Все норовит развернуться на CD-диск (запускал, скопировав предварительно на HDD)
Кто-нибудь знает способ запустить AVZ с параметрами т.н. «заморозки» в момент загрузки ОС. Может удастся таким образом победить эту заразу.
p.s.: у меня windows xp sp3
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сканирую при помощи Live CD Dr.Web и постепенно теряю надежду. Уже 2/3 готово, а ни одного паразита еще не найдено
Добавлено через 4 минуты
Сообщение от
thyrex
Сообщение №2 прочтите
Клик на любом исполняемом файле вызывает появление информера, который я убираю ПКМ на Рабочем Столе - Свойства (Свойства Рабочего стола при этом не открывается, а информер закрывается). Через три часа работы ПК эта зараза позволяет запускать с ее точки зрения безопасные файлы. Но если попробовать запустить HJT, полиморфный AVZ, CureIt или даже Тотал Коммандер, то тут же срабатывает «Выход из системы». Перелогин пользователя включает 3-х часовой счетчик по новой. К тому же в Безопасном Режиме заблокирован доступ к оптическому приводу.
Добавлено через 18 минут
Проверка Dr.Web-ом закончилась. Ничего не нашел... обидно...
Последний раз редактировалось H2O; 10.12.2009 в 00:09.
Причина: Добавлено
-
Скачать на чистой машине ftp://devbuilds.kaspersky-labs.com/d...escue_2008.iso и записать образ на CD.
Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля и пролечить систему.
После этого выполнить правила
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пока качается iso-шник, сделал вот, что:
1. Загрузился с LiveCD WinPE
2. Проверил еще раз все содержимое папки Documents and Settings. В двух местах в папке temp снова были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб (или 133 664 байта).
3. Нашел по размеру такие же файлы в папках %systemroot%/temp/ и %systemroot%/system32/
4. Переместил их все на диск D
5. Перезагрузился
6. ПК нормально загрузился и ни разу не ругнулся
7. С помощью AVZ выполнил восстановление системы
8. Установил Kaspersky Virus Removal Tool 2010 (во время инсталляции экран яростно мигал! (?) - думал, что «Капец - ничего не получилось»)
9. В данный момент сканирую, все программы запускаются нормально
10. 25% готово - полет нормальный
11. Вирусов пока не обнаружено
Последний раз редактировалось H2O; 10.12.2009 в 01:45.
Причина: Один пункт пропустил...
-
Junior Member
- Вес репутации
- 53
Kaspersky Virus Removal Tool 2010 проверил и ничего не обнаружил. Почему у меня есть убеждение, что что-то должно найтись? Я руками удалил около 5 тыс. dll-ок и ничего не пропустил? Разве не должно быть какого-нибудь sys-файла или exe-шника, который этими библиотеками рулит?
Во время удаления dll-ок случайно удалил upnp.dll, а после лечения обнаружил, что флешки, например, перестали определяться и брандмауэр отказался запускаться, а во время загрузки ПК стартует всего две службы. Службы привел в порядок, upnp.dll, explorer.exe, userinit.exe и ctfmon.exe скопировал с чистой машины.
В общем прилагаю логи. Посмотрите, пожалуйста, может чего затесалось?
-
Junior Member
- Вес репутации
- 53
Сообщение от
H2O
Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней».
Чуток перепутал. Оказалось, что номер 3649 - это для России. Для Украины номер другой - 4171. В МТС-Украина сказали, что номер принадлежит «Интернешнл Украина» и дали телефон тех. поддержки: +38 044 581-57-14. Позвонив на него мне ответил автоинформатор, сообщив, что я позвонил в службу поддержки компании «Первый-Альтернативный». Ответившая девушка представилась. Подтвердила, что короткий номер 4171 принадлежит им, сообщила, что кто-то из их клиентов взял в аренду этот номер, напакостил, а они теперь расхлебывают. Но у нее для меня есть волшебный код, который она мне любезно продиктует. На мой вопрос: «Каким образом ко мне попала эта гадость?»,- ответила: «В процессе обновления антивирусной программы». На мой вопрос: «Откуда у меня будет уверенность, что после продиктованного кода информация на моем ноутбуке не пострадает?»,- был ответ, что типа «Мы можем Вам гарантировать». Я был в шоке: «Т.е. я правильно понимаю, что кто-то (не вы!) заразил и заблокировал мне ноутбук установив туда какое-то ПО и теперь вы берете ответственность за последствия работы этого ПО и если с информацией на моем ПК, что-то случится, то вы готовы это компенсировать?!» Ничего более умного кроме: «Мы пытаемся Вам помочь...»,- больше девушка ответить не смогла. Информацию о том кто этот негодяй, который их так подставил и кого они заблокировали, она предоставить отказалась. Номер 4171, я так понимаю, они заблокировать не догадались и продолжают принимать на него смс стоимостью 3,75$.
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\natpg.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\natpg.dll','');
DeleteFile('C:\WINDOWS\system32\natpg.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин (если не будет пустой) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Больше плохого не видно
Установите Adobe Acrobat 9.2 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин отправил, но, кажется там не тот файл.
Последний раз редактировалось H2O; 12.12.2009 в 03:51.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-