Вирус:открываются китайские сайты, блокируется установка антивирусов, зависает AVZ
Добрый вечер. У меня возникла следующая проблема:
После контакта с зараженной флешкой на компьютере при работе с браузером постоянно открываются новые окна интернет эксплорера(причем неважно в каком браузере я работаю, новые окна открываются все равно в интернет експлорере) с ссылками на китайские(японские? вообщем восточные) сайты с рекламой и непонятной кодировкой. Так же компьютер стал притормаживать, иногда выдавать ошибки и т.д.
На компьютере был установлен антивирус Касперского 6.0 с не очень новыми базами. После возникновения этой проблемы я решил запустить его на скан - но при запуске касперского ничего не происходило кроме диких тормозов системы(в списке процессов avp появлялся, но ничего не делал). Я решил попробовать установить какой-то другой антивирус, но все попытки инстала не работали(во время процесса экстракта окно инстала просто пропадало, причем у инсталяторов всех антивирусов которые у меня были: panda, drweb, bit и еще несколько). Я попробовал удалить старого касперского и поставить другого - после установки он как и прежде не смог запустится...
Я полез искать информацию в интернете(прежде всего по ссылкам сайтов, на которые вирус редиректит), но ничего похошего по симптомам не нашел.
Скачал АВЗ - но при начале проверки он повис. Скачал пингпонг - он нормально начал сканирование, но ничего особого не нашел(предложил скинуть пару файлов в карантин, я перезагрузился - но ничего не изменилось, АВЗ как вис, так и виснет, касперский как не работал, так и не работает.
Безопасный режим не работает(перезагружается система).
Почему-то таск менеджер жрет до 20% загружености ЦП.
Это пока те симптомы, которые я смог обнаружить, мб есть чтото еще.
Помогите плз!))))
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
карантин прислал, сейчас повторяю скрипты на логи, НО! я не могу обновить базы, поскольку в переименованном АВЗ(пингпонге) не высвечивается пункт меню "Обновить базы"
Скачал и запустил HijakThis, но он при запуске сканирования выдал ошибку, если нажать "да" или "нет" - результат один - рограмма зависает. Я пробовал скачать переименованную версию Хиджака - но с ней абсолютно тоже самое скриншот с ошибкой прилагаю
нормальная версия АВЗ - точно так же зависает. Следовательно логи сделаны на пингпонге с необновленными базами(((
Может это конечно параноя - но как только я зашел в гугл и начал искать описание этого червя - эксплорер сразу сдох и компьютер повис. После перезагрузки в самом начале работы виндоуса он начал запускать огромное количество одинаковых процессов lsass.exe и комп подвис о5. После следующей перезагрузки начал ругаться на отсуствие модема, выдал критическую ошибку svhost.exe и комп завис. После следующей загрузки все вроде бы нормально.
Что это за зверь такой? О_О
Добавлено через 1 час 13 минут
оказалось, не параноя. он действительно убивает комп, когда вводишь где либо его название(проверено раз 5)... буду очень благодарен, если ктото скинет ссылку на его описание в интернете.
Последний раз редактировалось Влад Мистецкий; 17.07.2008 в 04:46.
Причина: Добавлено
После последнего скрипта все симптомы вируса пропали(не вылетает ИЕ при поиске его по названию, начал запускаться касперский, перестал зависать нормальный АВЗ).
Сейчас попробую пробежаться АВЗ со свежеми базами, потом каспером и другими антивирусами
Курит еще не доконца проверил, но пока нашел Рокс только в карантинных файлах АВЗ.
Кеш и темпорери удалил.
Но у меня есть несколько вопросов.
1)как очистить флешку, на которой находится этот вирус(если там есть документы, которые нужно сохранить, тоесть полное форматирование сразу - нельзя), полностью обновленный лицензионный 7 касперский пропустит или не пропустит этот вирус, если я снова вставлю флешку?
2)у меня стоит еще один зараженный компьютер этим же вирусом.
Можно ли использовать для него те же скрипты, что и тут? вроде бы там удаляются только файлы, которые заражены вирусом? или все таки создать отдельную тему для второго компьютера точно так же?
по в.2 Лучше создать новую тему. М.б. там еще что-то живет.
Скрипт, который я давал, достаточно универсальный, но все-таки лучше "утром деньги, вечером стулья, но деньги вперед" (с) "Двенадцать стульев"
Будут логи в новой теме - будем разбираться.
Последний раз редактировалось PavelA; 17.07.2008 в 16:17.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: