Показано с 1 по 10 из 10.

Download Master (заявка № 65084)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26

    Thumbs up Download Master

    Здравствуйте.
    Первое, что хотелось бы сделать, это извиниться за то, что запрос не будет оформлен по правилам. Поверьте, я внимательно их изучил, но увы, следовать им не имею возможности.
    Проблема заключается в том, что, вероятно, то, с чем я столкнулся является некой модификацией вируса iMax Download Manager. Эта модификация имеет немного иное название - "Download Master", другой короткий номер 4460 и код K704113300, в остальном же вирус похож на тот, что изображен на этой http://virusinfo.info/showthread.php?t=62966 картинке.
    Так вот эта модификация вируса не позволяет запускать ни AVZ, ни AVPTool, ни HiJack как в обычном, так и в режиме защиты от сбоев. Попытка запуска заканчивается выключением рабочей станции. При этом LiveCD от DrWeb не находит никаких вредных программ ни на одном диске.
    Уважаемые эксперты, как быть? Я уже морально готов к переустановке системы, но это все равно, что послать смс-ку талантливым создателям этой чудо-программы. К тому же нет никакой гарантии, что завтра история не повторится. В конце концов уже просто появился некий азарт.
    Заранее благодарен за помощь

    Предпринимал попытку переименования исполняемых файлов утилит (somth.pif), и папок их содержащих, результат один - выключение рабочей станции.
    В сервисном центре оператора, обслуживающего данный короткий номер мне было предложено подождать три часа, не давая рабочей станции уходить в спящий режим, после чего программа по их словам должна самоликвидироваться
    Последний раз редактировалось apostle; 25.12.2009 в 19:18. Причина: Добавление информации

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Попробуйте сделать такой лог:
    Скачайте эту программу: http://www.online-solutions.ru/files...0_portable.rar
    - Переименовать папку с программой, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
    - Переименовать исполняемый файл программы в что-то типа game.pif, program.com
    Попробуйте сделать лог:
    1) Запустите OSAM и дождитесь окончания сканирования.
    2) Нажмите на кнопку "Save Log"
    3) Запакуйте лог в архив и прикрепите к своему следующему сообщению.

    Cкачайте RSIT.
    Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить.

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26
    Печально, но обе предложенные утилиты не могут запуститься даже в режиме защиты от сбоев. В момент запуска появляется уже ставшее привычным окно. Запуск утилиты при этом блокируется. Ехе-файлы предварительно переименовал. Эффект нулевой. Забавно, что поведение вируса изменилось. Теперь, даже если пытаюсь запустить AVZ, рабочая станция не перегружается, как это было раньше, вместо этого, появляется окно вирусной программы с предложением поделиться денежными ресурсами. У меня идеи кончились. Может быть у кого-то еще есть предложения, как можно попробовать изничтожить эту чудесную программу? Готов к любым экспериментам. Уже не знаю как, но мне удалось запустить утилиту AVPTool, загрузившись с ERD. Может быть будет какой толк.

    Добавлено через 1 час 21 минуту

    Предварительные результаты: удалено 87 тел различных вирусов. В основном из папки %SYSTEM_ROOT%/System32/ и %SYSTEM_ROOT%/Temp
    После этого появился доступ к комманднострочным программам (доступа к которым тоже не было), менеджеру задач, редактору реестра. Также удалось запустить AVPTool в обычном режиме работы ОС. После очередного сканирования, создам логи по правилам форума и выложу. Надеюсь, на этот раз получится. Спасибо за помощь
    Последний раз редактировалось apostle; 25.12.2009 в 23:38. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26
    Удалось провести необходимую диагностику. На счет разблокированных менеджера задач и редактора реестр я поторопился. Видимо, после перезагрузки системы доступ к ним снова был потерян. К сообщению приложены результаты сканирования hijack и avz утилитами.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Пофиксить в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll
    O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing)
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\nbnlml.dll','');
    DeleteFile('C:\WINDOWS\system32\nbnlml.dll');
     QuarantineFile('JVMOD32.DLL','');
     DeleteFile('JVMOD32.DLL');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  7. #6
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26
    Hijack сделал необходимые изменения. avz ругается на файл jvmod32.dll говорит о том, что для его удаления необходима перезагузка. Соббщает о том, что скрипт выполнен успешно, но после загрузки в карантине нет ни одного файла. При повторном запуске картина повторяется. Как быть? Спасибо.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Сделайте новые логи.

  9. #8
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26
    Прикрепил новые логи
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Чисто

    Установите Internet Explorer 8

  11. #10
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    6
    Вес репутации
    26
    Огромное вам спасибо.

  • Уважаемый(ая) apostle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. DownLoad Master
      От nflash в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 31.12.2009, 12:16
    2. Download master
      От ilnazik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.12.2009, 11:37
    3. Download Master
      От Mase4ka87 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 29.12.2009, 15:45
    4. Download Master
      От Nikolaos в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.12.2009, 14:46
    5. Download Master
      От Аjoure в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.12.2009, 19:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01132 seconds with 20 queries