Баннер "Доступ в сеть заблокирован" File Downloader
На пол экрана висит баннер, что доступ в сеть заблокирован с уведомлением о необходимости активации ПО File Downloader. Предлагает слать смс. Интернет не работает, сам комп прилично тормозит, процессы svchost (один из них, отвечающий за звук) и tcpsvcs занимают каждый по 50% процессорного времени. Убиением всех лишних процессов и подчисткой автозагрузки msconfig-ом особо ничего не добился, хотя явно там были лишние подозрительные файлы.
Подскажите пожалуйста, как бороться с этой штукой, и не подцепить ее вновь?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Восстановление системы отключил. Извиняюсь что упустил это - просто я привык, что оно у меня обычно отключено всегда - а тут оказалось не отключено..
Скрипт выполнил, но компьютер с этой заразой у меня перезагружаться нормально не хочет - как появилась, стал при перезагрузке виндов вроде выключаться, экран тушит, но в ребут не уходит. Ждал долго. Так что ребучу ресетом теперь.
Новый лог прилагаю.
Вот логи. Gmer по-ходу видит проблему, отсюда возникают вопросы:
Где располагается на диске и как удалить "\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8 .sys (*** hidden *** )"
Где находится на диске и как удалить файл aekgoprn.dll из строки "\\.\70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\Program Files\Microsoft ActiveSync\wcescomm.exe". Что означает эта сточка, что wcsecomm.exe заражен, или что wcsecomm.exe нормальный, но запускается каким-то образом через эту dll?
А вообще похоже что зараза маскируется под какое-то устройство и грузится в виде драйвера. Там вроде даже в винде поначалу всплывало "Найдено новое устройство"...
Файлы b48dadf8.sys и aekgoprn.dll пробовал исать разными искалками - их не видно, пробовал удалять из командной строки. Команда "del \\.\70.103.101.103\aekgoprn.dll" в cmd вызывает моментальную перезагрузку компа.
1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.Сделаете новые логи.
Вроде помогло. Баннер пропал, доступ в интернет восстановлен, судя по проверке gmer-а следов не осталось. Спасибо огромное! Не подскажете ли на последок, как предотвратить повторное заражение компьютера этим зверем?
Прилагаю новые логи. Сейчас вроде все нормально работает..
Про неизвестные сайты - ну я еще понимаю хакерские или порноресурсы какие, но я лазил по сайтам, выданным гуглом на запрос "учебник английского языка". Так что по-ходу вирус много народу пожрет, если нод или кав его распознавать не научатся в скором времени..
Еще раз всем большое спасибо - проблема решена очень оперативно. На полную перестановку системы я явно потратил бы намного больше времени.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: