Показано с 1 по 17 из 17.

Help! Вирус активации Windows через SMS! (заявка № 49505)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62

    Thumbs up Help! Вирус активации Windows через SMS!

    Пару дней назад неожиданно на экране всплыла картинка, на которой мне предлагалось зарегистрировать мою версию Windows, так как она якобы нелегальная через SMS сообщение на номер с кодовым набором символов, в ответ, я должен был бы получить код активации системы, который мне предлагалось ввести в поле на картинке. При этом никакие клавиши управления компом, кроме перезагрузки, не действовали, загрузка в защищенном режиме тоже проблемы не решила - картинка появлялась сразу же после залогинивания.
    Дальнейшие мои действия были следующие: в момент загрузки сразу после ввода логина и пароля я судорожно жал три заветные кнопки и вызывал список процессов, откуда я увидел злобного виря, и просто его прибил, затем запустил из списка задача проводник и попал в нормальную среду Windows c открывшимся проводником. Следом я полез в реестр поглядеть, что у меня висит на WinLogon-e - естественно висела эта тварь, поменял ее на загрузку userinit с правильным путем . Тварь по указанному ранее пути найти не смог.
    Таким образом, у меня стоит вопрос - как мне вычистить эту хрень, чтобы она больше не проявлялась . На данный момент система работает стабильно и больше пока эта дрянь меня не беспокоила.
    Логи по правилам прилагаю!
    Заранее благодарю экспертов этого форума в оказании помощи или проведении консультации!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Таким образом, у меня стоит вопрос - как мне вычистить эту хрень, чтобы она больше не проявлялась
    http://virusinfo.info/showthread.php?t=30339

    Установите Adobe Reader 9.1 или деинсталлируйте старый.

    В логах ничего подозрительного.

    Так же просьба выполните http://virusinfo.info/showthread.php?t=30339. Это много времени не займёт.

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    Цитата Сообщение от light59 Посмотреть сообщение
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

    http://virusinfo.info/showthread.php?t=30339

    Установите Adobe Reader 9.1 или деинсталлируйте старый.

    В логах ничего подозрительного.

    Так же просьба выполните http://virusinfo.info/showthread.php?t=30339. Это много времени не займёт.
    Спасибо за Ваши советы, но честно говоря не очень понял вторую часть вашего сообщения, что именно от меня требуется сделать по этим двум одинаковым ссылкам? перевести деньги на ваш счет? И при чем тут мой Акробат? Зачем его деинсталлировать - он прекрасно работает и так.
    То что в логах ничего подозрительного Вы не нашли, собственно как и я, не говорит о том что ничего подозрительного нет на компе. Эта фигня откуда-то подцепилась в WINlogon и процесс был запущен, куда эта дрянь перекочевала дальше, после того как я убил процесс и внес коррективы в реестр - мне лично не ясно. А именно ответ на этот вопрос меня интересовал. То что по неясным ссылкам лазить не стоит - я и так знаю, но за компом иногда сидит жена под админскими правами - к сожалению без моего ведома, это не контролируемо никак, кроме как запрет и смена пароля, что в моей ситуации неблагоразумно, дабы не портить взаимоотношения с супругой .

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Так же просьба выполните http://virusinfo.info/showthread.php?t=3519. Это много времени не займёт.

    Зачем его деинсталлировать - он прекрасно работает и так.
    в 2х словах: дырявый он.

    Эта фигня откуда-то подцепилась в WINlogon и процесс был запущен, куда эта дрянь перекочевала дальше, после того как я убил процесс и внес коррективы в реестр - мне лично не ясно
    Так же как не ясно и нам... Их ведь не одна и не две модификации...

  6. #5
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    Ок. Спасибо, инфу соберу и выложу!
    На счет Акробата - подумаю.
    Жаль, что на данный момент по поводу этой твари нету определенного решения и ясности...

    Добавлено через 59 минут

    По ходу все ж этот вирь у меня еще жив и судя по всему чувствует себя неплохо... правда комп еще работает... но NOD-овский файрвол постоянно блокирует у меня фоновые запросы на сайт http://www.updategoogle.cn/, с вот таким вот комментарием:
    "Подробности:

    Веб-страница:
    http://www.updategoogle.cn/

    Описание:
    ESET Smart Security заблокировал доступ к веб-странице.
    Страница находится в списке веб-сайтов с потенциально опасным
    содержимым."

    Добавлено через 18 минут

    Статистику собрал и выложил в нужную тему... дублирую тут свой пост
    Файл сохранён как 090708_131408_virusinfo_files_ALEX_AT_HOME2_4a5463 60d0e40.zip
    Размер файла 4728249
    MD5 1bbf72fa886980d8fcdfef4aa259a4c5

    Добавлено через 1 минуту

    Почитал форум - проблема была такая же как у товарища:
    http://virusinfo.info/showthread.php?t=49493
    Но я ее временно переборол. Помогите плиз задавить зверя!

    Добавлено через 4 часа 19 минут

    Опа... анализ моего компа вот что выдал вашим спецам...
    Внимание, в архиве обнаружены опасные или вредоносные объекты:
    C:\DOCUME~1\Admin\LOCALS~1\Temp\2F7.tmp: Trojan-Downloader.Win32.Small.jyu
    Последний раз редактировалось Zhezhe; 08.07.2009 в 17:39. Причина: Добавлено

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Очистите все темп-папки.
    Сделайте полную проверку AVPTool или CureIt ..
    Пункт 2 диагностики выполните...

    Опа... анализ моего компа вот что выдал вашим спецам...
    У нас там спец один... И он практически никогда не спит, работает без выходных. Не пьёт, не курит. Работает даже по ночам и за десятерых... Вообще фанат

    Добавлено через 5 минут

    virusinfo_syscheck.zip делали с подключено сетью и интернетом, как написано в правилах?
    Последний раз редактировалось light59; 08.07.2009 в 18:03. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    virusinfo_syscheck.zip именно с интернет подключением и делал!
    У меня NOD32 ничего не находит. Сейчас почищу ТЕМП и прогоню еще CureIt!
    результаты напишу чуть позже!

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Какое приложение ломится в сеть?

  10. #9
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    В общем удалить эти файлы в обычном режиме из TEMP не удалось... вместе с обозначенным файлом в этой папке не удаляется еще с десяток аналогичных объектов. Попробую через защищенный режим еще.

    Добавлено через 2 минуты

    Антивирус пишет что ломится по http на указанный выше сайт, а что именно почему-то в логах NOD32 не прописывается, вообще никакой инфы в логах антивируса нету...
    Чем еще можно поглядеть?

    Добавлено через 6 часов 32 минуты

    Еще раз прогнал после перезагрузки NOD-ом - нашел вот такую вот песню и поместил в карантин:
    09.07.2009 0:47:51 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\calc.ifo модифицированный Win32/Agent.CCWW троянская программа очищен удалением (после следующего перезапуска) - изолирован
    Последний раз редактировалось Zhezhe; 10.07.2009 в 01:26. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    логи делайте.

  12. #11
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    В сухом остатке, после NODa прогнал еще Dr.Web CureIT последней скаченной с сайта вчера же версией - ничего не нашел.
    Сегодня сделал логи - прилагаю их.
    С папкой TMP так и не разобрался, удалить эти временные файлы пока не получилось, правда защищенный режим для удаления попробовать не успел, если будут какие-то рекомендации кроме этой, буду рад выслушать.
    Заранее благодарю.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    Ну так что? Какие будут еще рекомендации?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe before1main
    В AVZ откройте Сервис - Поиск файлов на диске, отметьте в качестве области поиска диск С, а в поле Имя файла или маска скопируйте это:
    before1main.*
    Затем нажмите Пуск. Все найденное поместите в карантин и пришлите по правилам.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    Пофиксил, на диске С поиск этого файла по указанной маске ничего не дал:

    "Поиск файлов по маске before1main.*
    Поиск файлов завершен
    Просмотрено 66324, найдено 0"

    Соответственно и слать нечего...
    А что с файлами в папке ТМР? С ними что-то надо делать или забить?

  16. #15
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    В общем не понятно что делать дальше... с форума тишина... выкладываю в последний раз логи... если на ваш взгляд все чисто - тему закрываем.
    Заранее благодарю за внимание и жду вашего окончательного вердикта!
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего подозрительного.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    13.07.2007
    Адрес
    Москва
    Сообщений
    61
    Вес репутации
    62
    Ок! Тогда давайте закроему пока эту тему, если что, я создам заново!

  • Уважаемый(ая) Zhezhe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. vkontakte.ru требует активации через sms
      От celebrian в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.07.2011, 21:37
    2. Ответов: 3
      Последнее сообщение: 07.03.2010, 22:08
    3. Сообщение об активации через смс
      От G_a_l_i_n_a в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.01.2010, 15:23
    4. вирус активации windows через смс
      От aleksway в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.07.2009, 11:33
    5. SMS-вымогатель по активации Windows
      От HatoL в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.06.2009, 01:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00567 seconds with 20 queries