Да, у меня тоже проблемка, новая версия, походу дела, посит отослать на 4460, запускается при любом открытии файла кроме моего компьютера и панели управления, ждёт 3 часа)) Почему-то запускается также и в безопасном режиме, флешки комп не видит вообще, биос тоже почемуто просто игнорится, сделать вообще ничего не могу...
Последний раз редактировалось Дмитрий Lightarsi; 22.12.2009 в 17:07.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не подскажите, как создавать логи AVZ, Hijack если их запуск блокируется? Вирус передается через флэшку?
У меня вышло окно iLite Net Accelerator с 3-х часовым отсчетом времени и блокировкой диспетчера, антивируса, реестра, браузеров. Дня 3 мучился ничего не помогало, и Каспера Rescue и LiveCd д. вэба пробовал и всякое др.
[moderated]
Для iLite сработала следущая закономерность -
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″
текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188
Попал в руки комп где эта штука(iLite Net Accelerator) уже изрядно повеселилась: реестр и диспетчер задач залочены, при запуске любого ехе файла выскакивает окно с запросом денег на смс. Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials. Справился, однако.
В общем заметил баг (или фичу
Спасибо, теперь я буду а курсе
Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009Сообщение от Almind
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.
Всем привет.
Столкнулся с iLite Net Accelerator.
Притащили зараженную машину, умудрились заразить админскую учетку встроенную, отослать СМС, пожить немного без него, и повторно заразившись или просто став дойной коровой.
Наблюдения по поведению зверя:
1. Присоединяюсь к жалобам - залочено восстановление системы, редактирование реестра, вызов диспетчера задач.
2. При вызове свойств экрана по клику на рабочем столе надоедливое окошко пропадает. Но при попытках лечить, запустить что-то вываливается во всей красе.
3. Заражается только учетка, под которой схватили троянца. На других воздействия не заметил.
В приницпе как все, сначала пытался лечить "как есть". Ставил Анлокер, Курита... Запуск с грехом пополам при помощи переименования их в "spryachmenya.pif", "etonelechilka.exe" , функционала никакого - все схлопывается и появляется окно вымогания.
Дальше скачал образ Kasp Restore LiveCD с "народа" (http://narod.ru/disk/16224480000/rescuecd.iso.html, выложено на форуме Касперсокого), базы не обновлял, были от 15.12.2009. Записал на болванку, загрузился - буйный цвет зверья, что-то сразу снеслось, что-то под защитой было.. Прошелся два раза, эффекта по своему вопросу ноль.
Потом в башку ударила идея - у меня что-то подобное есть в KAV WS... Создал свой (по действиям - скачал с сайта, обновил базы), проехался еще раз, удалилось порядка 50 библиотек с рандомными нечитаемыми названиями из system32. И тут-то всплывает неудаляемый файлик "sysmgr.exe". Каким уже не помню образом - удалил. При следующем запуске - окна нету, но ошибка запуска файлика "csrcs.exe". Такого действительно нигде не оказалось, навреное удалился в той куче библиотек.
Если что запускается не через пусковую "Автозагрузку" - прямая дорога в Run в реестре... А как?
Таким образом при помощи оснастки "Управление компьютером" (Пуск, Выполнить - compmgmt.msc) была создана учетка с админиским правами. Под ней уже определил - эта учетка полностью здорова. Запустил редактирование реестра, стал искать эти две бяки.
Так как пишу постфактум, опишу не все, из картины, необычной для меня заметил следующее:
1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer обнаружилась папочка "Run" с "вредным для здоровья" содержимым (на здоровой машине такого не было).
2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell добавлена бяка как параметр к Explorer.exe (опять же на здоровой машине такого не было).
Провел зачистку.
Все, собсна с присутствием гада покончено. НО... Остались еще последствия от его действий.
Троянец понижает права зараженной учетки (какого ранга она не была) применимо к действиям, вредным для него самого.
Все это можно настроить в групповых политиках или через реестр. Но внимательней - политики на то и групповые, если вы измените что-то в них с "Не задана" на определенное значение, политика будет применима КО ВСЕМ учеткам на компе, независимо от ранга. Разрешать манипуляции с настройками Винды рядовым юзерам "не кошерно".
Значит, так. Восстанавливаем:
1. Редактирование реестра
1.1 Под "больной" учеткой через политики:
Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установите переключатель Отключен (или Не задан) –> Применить –>OK. Закройте окно Групповая политика.
Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
(отсюда, тут раскрыто поширше http://shkolazhizni.ru/archive/0/n-10576/)
1.2 Под "живой" учеткой ищем в реестре параметры DisableRegistryTools, удаляем или ставим значение в 0.
2. Вызов Диспетчера задач
Под "больной" учеткой в уже реанимированном Редактировании реестра или под "живой" ищем параметр DisableTaskMgr, удаляем их или ставим значение в 0.
Можно как в пункте 1.1 только в разделе Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
(отсюда, тут раскрыто поширше http://www.kinofans-club.ru/forums/s...ead.php?t=2490)
3. Вкладка Восстановление системы
Запускаем Редактирование реестра, в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dowsNT\SystemRestore удаляем ключи DisableConfig и DisableSR.
(взял отсюда http://windowsxp.mvps.org/srpolicy.htm)
4. "Забаненые лечилки", антивирусы и прочие полезные вирусоборы
После восстановления базовых функций ставил антивирус Касперского, поставился, после перзагрузки не запускается. Окно о "...ограничении запуска ПО политикой..." Так, опять политики... В оснастке "Просмотр событий" нашел ошибку, по хэш-ключу нашел в реестре правило в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths. Кроме бана на Каспера, был бан на Симантек, который тут в смертных судорогах бился уже, наверное, 3 года без обновлений. Все правила связанные с анитивирусами из это раздела удалил.
Заработало.
Вроде бы все.
Хочется напомнить, что изменения после манипуляций с реестром вступают в силу только после перезагрузки, манипуляции с политиками - почти сразу, как описано в тексте выше.
Критикам, любителям по AVZ - ничего не имею, против. Не привык просто им пользоваться. Сие есть стандартизированное лечение, юзал - уважаю. Но я как-то по максимуму сам люблю. Помогает на предмет ликбеза алгоритмов действий "зверья" и "из чего же сделаны наши виндишки".
Присоединяюсь к создателю темы, что вышеописанное не панацея, не 100% корректное решение проблемы.
На страх и риск. Поможет - на здоровье. Не поможет - пардон. Все испортит - бэкапиться надо...
Последний раз редактировалось perkus; 23.12.2009 в 13:10.
у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял.
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.
вызов строки свойства помогает) поганое сообщение уходит до следующего запуска какой нибудь программы.
может кто нибудь подсказать четкие действия по устранению данного вируса? на русском плз языке)
подхватил вирус по моему когда какую то порнушку 18 метровую качал(не знаю что за файл был, загрузку обрубил, не докачал. антивирус отключал на это время ибо комп слабый, тормозти) с депозита, а иначе хз как она у меня появилась
У тебя Касперский запускается?
Может тогда cureit от веба помочь... Попробуй качни.
Если не поможет, давай я выложу свежесобранный Kav LiveCD на обменник какой-нить...
Мне не помогло. Для K705813900 на 4460 - не работает.
Большущее спасибо, surgutfred!Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials
Третий день мучаюсь с этим вирусом, никак не хотел удаляться. Спасла эта штука от Майкрософт. Сканировал с рабочего компьютера, подключив к нему зараженный жесткий диск.
[QUOTE=SDA;531826]Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.[/QUOTE
Млин. а я то все так и сделал, теперь боюсь перезапуска, ПОМОГАЙТЕ!!!!!!! прошу вас
Привет всем.
Словил я iLite Net Accelerator. Не знаю где, особо по инету не лазил. Одну флешку приносили, но на том компе такой проблемы нет. Avira промолчал, хотя обновляется каждый день. В общем весь день мучался. Начитался, наэксперементировался вдоволь. Винду переустанавливать крайне не хотелось. Полчаса назад решился позвонить в А1агрегатор или как его там?
Позвонил по бесплатному номеру 8-800-555-01-02, минут через 7 ответила девушка, минут 10 мне мозг парила. В общем максимум, что я от неё смог добиться - это она заполнила заявку, которую будут рассматривать до трех дней, а потом типа перезвонят мне. Меня это не устроило особо и тогда она поделилась номером их спецов. Позвонил я на номер 8(495)363-14-27 (добавочный 555), сразу ответил Евгений. Приветливый такой, ему не пришлось долго объяснять что к чему. Сказал ему текст смс и номер и он мне дал код активации. Минута делов короче и всё встало на свои места, всё заработало нормально
Текст смс был K705913500 на номер 4460. При активации я ввел 3816124611. Т.е. получается К меняется на цифру три, все остальные цифры увеличены на единицу, кроме девятки. Она заменилась на единичку. Тут по ходу методом подбора надо.
ps: Терь буду чистить что недоудалилось.
не так все просто с кодом для ilite: позвонил дали код - не подходит. позвонил еще, сказали дату и время выставить, и тот же код - подошло. Код, который дали не под один из описанных алгоритмов не подходит. sms М204412800 -> активация 6426634122
Тоже словил iLite Net Accelerator. Эта сволочь заблочила Биос, ну и соответственно все остальное.
Текст смс K705113900 на номер 4460. Коды никакие не подходят. Время не удается поменять. Live CD не грузится - вирус блокирует его загрузку. Все остальное - тоже не запускается...
Как теперь лечить?
Последний раз редактировалось DMX_Krew; 25.12.2009 в 12:58.
K705913800 на номер 4460
сейчас буду пробовать звонить евгению
сутки стоял КАВ, куреит , долго медленно безрезультатно, запускаюсь со второго винта
вот выложил длл из темп директории
удалено
размер 957740
Добавлено через 18 минут
позвонил, алексей дал код 4927235422, сейчас буду перегружаться с опасного винта.
Последний раз редактировалось pods; 25.12.2009 в 12:54. Причина: Добавлено
имеется подобная проблема с кодом K705813900 4460
MBAM не ставится, на машине был корпоративный Симантек, который убит вирусом. Подключение диска к другому компу и скинарование МБАМом и АВЗ результатов не дало:
Код:Просканировано файлов: 63664, извлечено из архивов: 51342, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 25.12.2009 13:12:50 Сканирование длилось 00:05:13 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info
Добрый день!
Сразу прошу прощения если написал не в ту тему...
Вчера поймал такой же вирус, только немного другой - Вы нарушили лицензионное соглашение Download Master, повторю не iMax Download Manager и не uFast Download Manager, а просто Download Master...
Каким способом можно избавиться от этого вымагателя?
Надеюсь на вашу помощь, заранее спасибо!
Последний раз редактировалось pashgan; 25.12.2009 в 14:06.
в а1агрегаторе сообщили для K705813900 4460
код: 4927135222
Ваши права в разделе
