-
Junior Member
- Вес репутации
- 53
Да, у меня тоже проблемка, новая версия, походу дела, посит отослать на 4460, запускается при любом открытии файла кроме моего компьютера и панели управления, ждёт 3 часа)) Почему-то запускается также и в безопасном режиме, флешки комп не видит вообще, биос тоже почемуто просто игнорится, сделать вообще ничего не могу...
Последний раз редактировалось Дмитрий Lightarsi; 22.12.2009 в 17:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Не подскажите, как создавать логи AVZ, Hijack если их запуск блокируется? Вирус передается через флэшку?
-
Junior Member
- Вес репутации
- 53
iLite Net ACCelerator
У меня вышло окно iLite Net Accelerator с 3-х часовым отсчетом времени и блокировкой диспетчера, антивируса, реестра, браузеров. Дня 3 мучился ничего не помогало, и Каспера Rescue и LiveCd д. вэба пробовал и всякое др.
[moderated]
-
Junior Member
- Вес репутации
- 53
Для iLite сработала следущая закономерность -
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″
текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 53
Спасибо
Спасибо, теперь я буду а курсе
-
Junior Member
- Вес репутации
- 53
Сообщение от
Almind
Для iLite сработала следущая закономерность -
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″
текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188
Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.
-
Junior Member
- Вес репутации
- 53
Всем привет.
Столкнулся с iLite Net Accelerator.
Притащили зараженную машину, умудрились заразить админскую учетку встроенную, отослать СМС, пожить немного без него, и повторно заразившись или просто став дойной коровой.
Наблюдения по поведению зверя:
1. Присоединяюсь к жалобам - залочено восстановление системы, редактирование реестра, вызов диспетчера задач.
2. При вызове свойств экрана по клику на рабочем столе надоедливое окошко пропадает. Но при попытках лечить, запустить что-то вываливается во всей красе.
3. Заражается только учетка, под которой схватили троянца. На других воздействия не заметил.
В приницпе как все, сначала пытался лечить "как есть". Ставил Анлокер, Курита... Запуск с грехом пополам при помощи переименования их в "spryachmenya.pif", "etonelechilka.exe" , функционала никакого - все схлопывается и появляется окно вымогания.
Дальше скачал образ Kasp Restore LiveCD с "народа" (http://narod.ru/disk/16224480000/rescuecd.iso.html, выложено на форуме Касперсокого), базы не обновлял, были от 15.12.2009. Записал на болванку, загрузился - буйный цвет зверья, что-то сразу снеслось, что-то под защитой было.. Прошелся два раза, эффекта по своему вопросу ноль.
Потом в башку ударила идея - у меня что-то подобное есть в KAV WS... Создал свой (по действиям - скачал с сайта, обновил базы), проехался еще раз, удалилось порядка 50 библиотек с рандомными нечитаемыми названиями из system32. И тут-то всплывает неудаляемый файлик "sysmgr.exe". Каким уже не помню образом - удалил. При следующем запуске - окна нету, но ошибка запуска файлика "csrcs.exe". Такого действительно нигде не оказалось, навреное удалился в той куче библиотек.
Если что запускается не через пусковую "Автозагрузку" - прямая дорога в Run в реестре... А как?
Таким образом при помощи оснастки "Управление компьютером" (Пуск, Выполнить - compmgmt.msc) была создана учетка с админиским правами. Под ней уже определил - эта учетка полностью здорова. Запустил редактирование реестра, стал искать эти две бяки.
Так как пишу постфактум, опишу не все, из картины, необычной для меня заметил следующее:
1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer обнаружилась папочка "Run" с "вредным для здоровья" содержимым (на здоровой машине такого не было).
2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell добавлена бяка как параметр к Explorer.exe (опять же на здоровой машине такого не было).
Провел зачистку.
Все, собсна с присутствием гада покончено. НО... Остались еще последствия от его действий.
Троянец понижает права зараженной учетки (какого ранга она не была) применимо к действиям, вредным для него самого.
Все это можно настроить в групповых политиках или через реестр. Но внимательней - политики на то и групповые, если вы измените что-то в них с "Не задана" на определенное значение, политика будет применима КО ВСЕМ учеткам на компе, независимо от ранга. Разрешать манипуляции с настройками Винды рядовым юзерам "не кошерно".
Значит, так. Восстанавливаем:
1. Редактирование реестра
1.1 Под "больной" учеткой через политики:
Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установите переключатель Отключен (или Не задан) –> Применить –>OK. Закройте окно Групповая политика.
Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
(отсюда, тут раскрыто поширше http://shkolazhizni.ru/archive/0/n-10576/)
1.2 Под "живой" учеткой ищем в реестре параметры DisableRegistryTools, удаляем или ставим значение в 0.
2. Вызов Диспетчера задач
Под "больной" учеткой в уже реанимированном Редактировании реестра или под "живой" ищем параметр DisableTaskMgr, удаляем их или ставим значение в 0.
Можно как в пункте 1.1 только в разделе Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
(отсюда, тут раскрыто поширше http://www.kinofans-club.ru/forums/s...ead.php?t=2490)
3. Вкладка Восстановление системы
Запускаем Редактирование реестра, в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dowsNT\SystemRestore удаляем ключи DisableConfig и DisableSR.
(взял отсюда http://windowsxp.mvps.org/srpolicy.htm)
4. "Забаненые лечилки", антивирусы и прочие полезные вирусоборы
После восстановления базовых функций ставил антивирус Касперского, поставился, после перзагрузки не запускается. Окно о "...ограничении запуска ПО политикой..." Так, опять политики... В оснастке "Просмотр событий" нашел ошибку, по хэш-ключу нашел в реестре правило в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths. Кроме бана на Каспера, был бан на Симантек, который тут в смертных судорогах бился уже, наверное, 3 года без обновлений. Все правила связанные с анитивирусами из это раздела удалил.
Заработало.
Вроде бы все.
Хочется напомнить, что изменения после манипуляций с реестром вступают в силу только после перезагрузки, манипуляции с политиками - почти сразу, как описано в тексте выше.
Критикам, любителям по AVZ - ничего не имею, против. Не привык просто им пользоваться. Сие есть стандартизированное лечение, юзал - уважаю. Но я как-то по максимуму сам люблю. Помогает на предмет ликбеза алгоритмов действий "зверья" и "из чего же сделаны наши виндишки".
Присоединяюсь к создателю темы, что вышеописанное не панацея, не 100% корректное решение проблемы.
На страх и риск. Поможет - на здоровье. Не поможет - пардон. Все испортит - бэкапиться надо...
Последний раз редактировалось perkus; 23.12.2009 в 13:10.
-
Junior Member
- Вес репутации
- 53
у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял.
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.
вызов строки свойства помогает) поганое сообщение уходит до следующего запуска какой нибудь программы.
может кто нибудь подсказать четкие действия по устранению данного вируса? на русском плз языке)
подхватил вирус по моему когда какую то порнушку 18 метровую качал(не знаю что за файл был, загрузку обрубил, не докачал. антивирус отключал на это время ибо комп слабый, тормозти) с депозита, а иначе хз как она у меня появилась
-
Junior Member
- Вес репутации
- 53
Сообщение от
xjaglowaquex
у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял.
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.
У тебя Касперский запускается?
Может тогда cureit от веба помочь... Попробуй качни.
Если не поможет, давай я выложу свежесобранный Kav LiveCD на обменник какой-нить...
-
Junior Member
- Вес репутации
- 53
Сообщение от
Буквоедов
Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.
Мне не помогло. Для K705813900 на 4460 - не работает.
-
Junior Member
- Вес репутации
- 53
Сообщение от
surgutfred
Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials
. Справился, однако.
Большущее спасибо, surgutfred!
Третий день мучаюсь с этим вирусом, никак не хотел удаляться. Спасла эта штука от Майкрософт. Сканировал с рабочего компьютера, подключив к нему зараженный жесткий диск.
-
Junior Member
- Вес репутации
- 53
[QUOTE=SDA;531826]Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.[/QUOTE
Млин. а я то все так и сделал, теперь боюсь перезапуска, ПОМОГАЙТЕ!!!!!!! прошу вас
-
Junior Member
- Вес репутации
- 53
Привет всем.
Словил я iLite Net Accelerator. Не знаю где, особо по инету не лазил. Одну флешку приносили, но на том компе такой проблемы нет. Avira промолчал, хотя обновляется каждый день. В общем весь день мучался. Начитался, наэксперементировался вдоволь. Винду переустанавливать крайне не хотелось. Полчаса назад решился позвонить в А1агрегатор или как его там?
Позвонил по бесплатному номеру 8-800-555-01-02, минут через 7 ответила девушка, минут 10 мне мозг парила. В общем максимум, что я от неё смог добиться - это она заполнила заявку, которую будут рассматривать до трех дней, а потом типа перезвонят мне. Меня это не устроило особо и тогда она поделилась номером их спецов. Позвонил я на номер 8(495)363-14-27 (добавочный 555), сразу ответил Евгений. Приветливый такой, ему не пришлось долго объяснять что к чему. Сказал ему текст смс и номер и он мне дал код активации. Минута делов короче и всё встало на свои места, всё заработало нормально
Текст смс был K705913500 на номер 4460. При активации я ввел 3816124611. Т.е. получается К меняется на цифру три, все остальные цифры увеличены на единицу, кроме девятки. Она заменилась на единичку. Тут по ходу методом подбора надо.
ps: Терь буду чистить что недоудалилось.
-
Junior Member
- Вес репутации
- 53
не так все просто с кодом для ilite: позвонил дали код - не подходит. позвонил еще, сказали дату и время выставить, и тот же код - подошло. Код, который дали не под один из описанных алгоритмов не подходит. sms М204412800 -> активация 6426634122
-
Junior Member
- Вес репутации
- 53
Тоже словил iLite Net Accelerator. Эта сволочь заблочила Биос, ну и соответственно все остальное.
Текст смс K705113900 на номер 4460. Коды никакие не подходят. Время не удается поменять. Live CD не грузится - вирус блокирует его загрузку. Все остальное - тоже не запускается...
Как теперь лечить?
Последний раз редактировалось DMX_Krew; 25.12.2009 в 12:58.
-
Junior Member
- Вес репутации
- 53
K705913800 на номер 4460
сейчас буду пробовать звонить евгению
сутки стоял КАВ, куреит , долго медленно безрезультатно, запускаюсь со второго винта
вот выложил длл из темп директории
удалено
размер 957740
Добавлено через 18 минут
позвонил, алексей дал код 4927235422, сейчас буду перегружаться с опасного винта.
Последний раз редактировалось pods; 25.12.2009 в 12:54.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
имеется подобная проблема с кодом K705813900 4460
MBAM не ставится, на машине был корпоративный Симантек, который убит вирусом. Подключение диска к другому компу и скинарование МБАМом и АВЗ результатов не дало:
Код:
Просканировано файлов: 63664, извлечено из архивов: 51342, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.12.2009 13:12:50
Сканирование длилось 00:05:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
-
Junior Member
- Вес репутации
- 53
Download Manager
Добрый день!
Сразу прошу прощения если написал не в ту тему...
Вчера поймал такой же вирус, только немного другой - Вы нарушили лицензионное соглашение Download Master, повторю не iMax Download Manager и не uFast Download Manager, а просто Download Master...
Каким способом можно избавиться от этого вымагателя?
Надеюсь на вашу помощь, заранее спасибо!
Последний раз редактировалось pashgan; 25.12.2009 в 14:06.
-
Junior Member
- Вес репутации
- 53
в а1агрегаторе сообщили для K705813900 4460
код: 4927135222