Показано с 1 по 12 из 12.

iMAX Download Manager (2) смс на номер 3649 (заявка № 63024)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53

    Question iMAX Download Manager (2) смс на номер 3649

    Ситуация как в этой ветке.

    Совет по первой ссылке не помог - под учеткой Админа не заходит, а под учеткой пользователя ничего не запускается.

    Совет по второй ссылке не открывается - страница не существует.

    Симптомы: диспетчер задач и редактор реестра заблокированы, исполняемые файлы не запускаются, если проводником или из командной строки зайти в папку с именем «AVZ» - выключается; антивирус от др. Веба с рандомным именем не запускается. Если три часа ПК не перезагружать, то какие-то файлы начинают запускаться (аналогию не обнаружил), так HJT успел запуститься и я там даже чего-то успел удалить. Потом - ПК выключился. После очередного трех часового ожидания запустился полиморфный AVZ, ровно на пол секунды и ПК тут же выключился. "Выключился" - это просто выполнил "выход из системы", как это делаешь, когда хочешь сменить пользователя.

    Что сделано: после загрузки с LiveCD WinPE удалил лишний мусор в userinit и файл, который там был вписан с диска. Проверил все содержимое папки Documents and Settings. В двух местах в папке temp были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб. Удалил все. Осталось всего 3 шт. - они явно легитимные (от web-камеры и еще от чего-то там...)

    Что имеем на данный момент: в Безопасный режим заходит, но ничего толком не работает. Информер пропадает с экрана, если в свободном месте кликнуть ПКМ по рабочему столу и выбрать «Свойства» (Сами «Свойства» при этом не открываются). Но при первой же попытке, что-то запустить - снова выпрыгивает. В безопасном режиме в Проводнике на DVD-ROM стать не получается - курсор от туда сбрасывается. Сам проводник (да и иконки, тоже меняются при попытке доступа к опасному для вируса файлу) выглядит необычно, как будто от Милениума или от 2000.

    Еще много чего есть описать, но, думаю, вы и так все поняли. Самое обидное из всего этого - это то, что CureIt почему-то из-под LiveCD WinPE работает как-то не так. Начинает проверку и через минут 15-20 останавливается с сообщением, что ничего не найдено. Заставить его проверить весь диск не получается.

    Чего там написано было по второй ссылке? Может и мне поможет логи собрать?

    Добавлено через 1 час 29 минут

    Забыл сообщить, что отсутствует вкладка «Восстановление системы» и не получается очистить папки с точками отката.

    Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней». Разговор записал на диктофон.
    Последний раз редактировалось H2O; 09.12.2009 в 13:56. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Стоит попробовать AVPTool - он детектирует и лечит данную заразу, скачать его можно тут http://avptool.ru/. Его можно применять из безопасного режима

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    При загрузке с LiveCD WinPE запустить не удалось - не захотел распаковываться. Все норовит развернуться на CD-диск (запускал, скопировав предварительно на HDD)

    Кто-нибудь знает способ запустить AVZ с параметрами т.н. «заморозки» в момент загрузки ОС. Может удастся таким образом победить эту заразу.

    p.s.: у меня windows xp sp3

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сообщение №2 прочтите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    Сканирую при помощи Live CD Dr.Web и постепенно теряю надежду. Уже 2/3 готово, а ни одного паразита еще не найдено

    Добавлено через 4 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Сообщение №2 прочтите
    Клик на любом исполняемом файле вызывает появление информера, который я убираю ПКМ на Рабочем Столе - Свойства (Свойства Рабочего стола при этом не открывается, а информер закрывается). Через три часа работы ПК эта зараза позволяет запускать с ее точки зрения безопасные файлы. Но если попробовать запустить HJT, полиморфный AVZ, CureIt или даже Тотал Коммандер, то тут же срабатывает «Выход из системы». Перелогин пользователя включает 3-х часовой счетчик по новой. К тому же в Безопасном Режиме заблокирован доступ к оптическому приводу.

    Добавлено через 18 минут

    Проверка Dr.Web-ом закончилась. Ничего не нашел... обидно...
    Последний раз редактировалось H2O; 10.12.2009 в 00:09. Причина: Добавлено

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачать на чистой машине ftp://devbuilds.kaspersky-labs.com/d...escue_2008.iso и записать образ на CD.

    Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля и пролечить систему.

    После этого выполнить правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    Пока качается iso-шник, сделал вот, что:
    1. Загрузился с LiveCD WinPE
    2. Проверил еще раз все содержимое папки Documents and Settings. В двух местах в папке temp снова были обнаружены в больших количествах dll-ки с рандомными именами, но одинаковым размером - 131 Кб (или 133 664 байта).
    3. Нашел по размеру такие же файлы в папках %systemroot%/temp/ и %systemroot%/system32/
    4. Переместил их все на диск D
    5. Перезагрузился
    6. ПК нормально загрузился и ни разу не ругнулся
    7. С помощью AVZ выполнил восстановление системы
    8. Установил Kaspersky Virus Removal Tool 2010 (во время инсталляции экран яростно мигал! (?) - думал, что «Капец - ничего не получилось»)
    9. В данный момент сканирую, все программы запускаются нормально
    10. 25% готово - полет нормальный
    11. Вирусов пока не обнаружено
    Последний раз редактировалось H2O; 10.12.2009 в 01:45. Причина: Один пункт пропустил...

  9. #8
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    Kaspersky Virus Removal Tool 2010 проверил и ничего не обнаружил. Почему у меня есть убеждение, что что-то должно найтись? Я руками удалил около 5 тыс. dll-ок и ничего не пропустил? Разве не должно быть какого-нибудь sys-файла или exe-шника, который этими библиотеками рулит?

    Во время удаления dll-ок случайно удалил upnp.dll, а после лечения обнаружил, что флешки, например, перестали определяться и брандмауэр отказался запускаться, а во время загрузки ПК стартует всего две службы. Службы привел в порядок, upnp.dll, explorer.exe, userinit.exe и ctfmon.exe скопировал с чистой машины.

    В общем прилагаю логи. Посмотрите, пожалуйста, может чего затесалось?

  10. #9
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от H2O Посмотреть сообщение
    Звонил оператору с просьбой сообщить реквизиты владельца номера 3649. Сказали, что принадлежит Джамп-Укаина, дали телефон. Позвонил туда. Девушка мило записала мое обращение и сказала: «Ждите. С Вами свяжутся в течении 15 рабочих дней».
    Чуток перепутал. Оказалось, что номер 3649 - это для России. Для Украины номер другой - 4171. В МТС-Украина сказали, что номер принадлежит «Интернешнл Украина» и дали телефон тех. поддержки: +38 044 581-57-14. Позвонив на него мне ответил автоинформатор, сообщив, что я позвонил в службу поддержки компании «Первый-Альтернативный». Ответившая девушка представилась. Подтвердила, что короткий номер 4171 принадлежит им, сообщила, что кто-то из их клиентов взял в аренду этот номер, напакостил, а они теперь расхлебывают. Но у нее для меня есть волшебный код, который она мне любезно продиктует. На мой вопрос: «Каким образом ко мне попала эта гадость?»,- ответила: «В процессе обновления антивирусной программы». На мой вопрос: «Откуда у меня будет уверенность, что после продиктованного кода информация на моем ноутбуке не пострадает?»,- был ответ, что типа «Мы можем Вам гарантировать». Я был в шоке: «Т.е. я правильно понимаю, что кто-то (не вы!) заразил и заблокировал мне ноутбук установив туда какое-то ПО и теперь вы берете ответственность за последствия работы этого ПО и если с информацией на моем ПК, что-то случится, то вы готовы это компенсировать?!» Ничего более умного кроме: «Мы пытаемся Вам помочь...»,- больше девушка ответить не смогла. Информацию о том кто этот негодяй, который их так подставил и кого они заблокировали, она предоставить отказалась. Номер 4171, я так понимаю, они заблокировать не догадались и продолжают принимать на него смс стоимостью 3,75$.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\natpg.dll
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\natpg.dll','');
    DeleteFile('C:\WINDOWS\system32\natpg.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин (если не будет пустой) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Больше плохого не видно

    Установите Adobe Acrobat 9.2 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    Карантин отправил, но, кажется там не тот файл.
    Последний раз редактировалось H2O; 12.12.2009 в 03:51.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) H2O, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. iMax Download Manager
      От day11 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 23.12.2009, 20:08
    2. iMAX Download Manager (2) смс на номер 3649
      От dodge в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.12.2009, 21:59
    3. iMax Download Manager
      От Foxchrome в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.12.2009, 20:25
    4. imax download manager
      От 6onox в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2009, 16:22
    5. iMAX Download Manager (2) sms на номер 3649
      От H2O в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.12.2009, 14:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01068 seconds with 19 queries