oleg_kuzen, для получения помощи в лечении нужно обратиться в раздел "Помогите" этого форума.
oleg_kuzen, для получения помощи в лечении нужно обратиться в раздел "Помогите" этого форума.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну вот тут уже люди начали говорить довольно дельные вещи. При достаточной юридической подкованности и желании, распространение инфекции можно подавить, так сказать, с другой стороны.
Помогите кто-нибудь! У МЕНЯ ЗАРАЖЕН КОМП! я не знаю что мне делать? в компах не шарю
Сегодня столкнулся с баннером "Get Access" приблизительно следующего содержания: "Доступ в сеть заблокирован! Вам был предоставлен бесплатный доступ к сайту эротического содержания на строк 1 час. Вам необходимо активировать программное обеспечение Get Access. Для этого отправьте СМС с кодом (не помню) на номер 1350". Доступ к управлению службами заблокирован (т.е. при попытке открыть управление службами окно наглухо висло.) Каспер ничего не нашел, AVZ тоже промолчал, однако минут через 5-7 после принудительного завершения процесса explorer.exe (хотя может быть это и простое совпадение) баннер пропал, появился доступ к службам, где обнаружилась странная служба "userinit" без параметров запуска и без файла, который должен стартовать. Как выяснилось файл, стартующий при запуске данной службы именуется "userinit.sys". Правда обнаружить этого зверя не удалось, видимо, он самоликвидировался (хотя такое поведение вряд ли похоже на действие трояна данного семейства)... Надеюсь, этот рассказ кому-нибудь поможет...
Где то подцепил такую же хрень. Типа для продолжения работы программы нужно активировать через СМС. Антивирусы не помогли. Зашел в безопасном режиме, там это окошко не вылезло. и с помощью программы ccleaner удалил указанную программу, после чего этой же программой почистил ошибки реестра. Этим методом почистил уже 2 компа. Во втором случае было окошко с порносайта, удалил программу где в названии фигурировали смс и ммс.
Поймал Get Access. avast! даже не пикнул. Лечился аналогично slawa33. Вроде помогло.
Сообщение от gjf
спасибо за ссылку. На ноут прилипла "прошивка" с требованием отправить смс на 4460 с кодом К207815200, вылечился вот http://www.drweb.com/unlocker/index, но замечу что в списке указан код ..59, но пароль подошел)
Метод slawa33 действенен, если речь о работе некоего исполняемого файла. У нас были случаи, когда:
а) блокировка делалась системным драйвером;
б) блокировка делалась внедряемой библиотекой;
в) загрузка в безопасном режиме блокировалась.
Поэтому, как уже не раз говорилось, универсального способа не существует
Я тоже на такого натолкнулась сегодня. Диспетчер задач не работал. Кое-как создала второго пользователя, из-под него антивирусник запустила. Нашел, убрал вроде. Написал, что в папке Windows был. Вирус, кстати, в автозагрузке видно было!!!
+100000000000000000000!!!! Спасибо помогло!!!!!!!
Тоже получил трояна от вымогателей-блокеров. Расскажу как я "сражался" за свой комп и деньги. авось кому поможет.
Сначала замигал неубираемый порно-баннер, потом когда я включил проверку компьютера в NOD32 комп внезапно перезагрузился и на экране появилось неубираемое сообщение с отсчетом времени о том, что у меня вирус и чтобы его отключить надо отправить смс сообщение.
Я, как человек принципиальный, решил не поддаваться на провокацию. После того как task manager не включился (почему-то было запрещено администратором(который я)) я ребутнул комп и зашел под другим аккаунтом - маминым (благо знал пароль). Под её аккаунтом task manager запустился на пару сек и исчез. После минуты попыток за несколько сек снять задачу вируса мне это удалось: пришлось жать ctrl+alt+delete, а потом резко дергать мышь чтобы переключиться с вкладки "процессов"" на "приложения" и на "снять задачу".
Появился wallpaper но ни одной иконки и нижней панельки тоже не было (где пуск и сист трей). В диспетчере задач я нажал "выполнить" и ввел explorer. Открылась папка мой компьютер. Потом я полез в чат и там меня отправили на сервис деактивации вымогателей-блокеров на http://virusinfo.info/deblocker/. Не найдя там код разблокировки я пришел в этот форум. Скачал ComboFix и после удаления nod32 запустил его в безопасном режиме. Он снес блокировку реестра и вирус. Порно баннер оставил, но после запуска касперского 2010(которого я установил после восстановления) баннер исчез.
Komel, тебе ещё раз огромное спасибо: перед тем как прочитал твой пост почти отчаялся.
Последний раз редактировалось max999; 23.01.2010 в 23:30. Причина: Добавлено лишнее
Наткнулся на баннер, блокурющий работу ПК и ОС почти полностью. Баннер требует отправить код K205615900 на номер 4460. Явное вымогательство. Переустановить систему нельзя. так как будут утеряны важные для работы родитеелей файлы.
Полученные на сервисе коды НЕ ПОМОГАЮТ (возможно они устарели). Чем и главное КАК лечить?
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.
Извиняюсь, если пишу слишком рано. Поймал Internet security, номер 4460, пока что Windows не заблокирована. Скачал AVPTool, в данный момент идет проверка, но поскольку 3 логических диска на 2 физических винтах (750Гб) сканировать будет очень долго. Лицензионные Аваст и Доктор Веб пропустили следующее (на данный момент): Packed.Win32.Krap.w, Trojan-Dropper.Win32.Smser.jl, Backdoor.Win32.Hupigon.ca, HackTool.Win32.ICQPass.c. Источник первого - скорее всего один из архивов дополнений к Fallout 3 с PlayGround.ru. Инструкции изложеные выше принял к сведению, но у системы есть особенность - 2 раздельных винчестера и 2 операционные системы. Поражен диск С с ХР, диск D и Е с лицензионной Windows 7 вроде бы чист, так как практически не использовался, с него в данный момент и работаю. Интернет по техническим причинам возможен лишь с полуночи до 8 утра по Москве, но просмотреть возможный ответ можно. Если есть какие-либо специфические советы, жду. Тему в "Помогите" создам завтра после записи логов.
Ну вообще при такого рода инфекции рекомендуется просканировать системный диск - зловреды чаще всего прячутся там. Потом загрузиться в обычном режиме - и уже просканировать всё остальное. Заодно и проверите, всё ли удалилось.
Это же не файловый вирус (во всяком случае, пока).
Ульитлита ничего не нашла, а проблема осталась. Как решить - я не знаю...
Замечена особенность: после чистки компа инсталлер перестал вообще работать, а в интернет выбраться с инфециронового компа - нереально.
Вирус наверняка написан как программа и антивирь со всякими ультилитами не могут найти его в безе данных.
Адресовано Лаборатории Касперского: Ваши коды не помогают и, прога по видемому, тоже
А CureIT http://www.freedrweb.com/ чистить не пробывали?Ульитлита ничего не нашла, а проблема осталась. Как решить - я не знаю...
Замечена особенность: после чистки компа инсталлер перестал вообще работать, а в интернет выбраться с инфециронового компа - нереально.
Вирус наверняка написан как программа и антивирь со всякими ультилитами не могут найти его в безе данных.
Адресовано Лаборатории Касперского: Ваши коды не помогают и, прога по видемому, тоже
Alexeu, такая-же беда с почти таким-же кодом. Баннер косит под якобы антивирус Internet Security и якобы находит на компе какие-то вирусы (на самом деле вполне безобидные файлы шрифтов, курсоров и т.п.) - затем требует своей активации или удаления - ни дает запустить ничего в любых режимах ОС, выключает комп сразу-же как только чувствует угрозу. Удаление всех(!) измененных файлов за дату заражения ничего не дал - скорее всего вирус успешно восстанавливается из записи реестра или меняет даты файлов после установки.
Лечение: жесткий диск сняли, подключили к другому компу и прогнали черед Lavasoft Ad-Aware 2010 (lavasoft.com - есть и триальные и бесплатные версии) - результат поимки стопроцентный. После чего вернули диск в родной комп, зашли в систему и с помощью пункта "Восстановление системы" в AVZ (теперь он запустится без проблем) сняли все ограничения, что поставил вирус. Перезагрузка и все ОК.
Что интересно, после восстановления системы поставили Ad-Aware в исходную ось и прогнали - ничего подозрительного он не нашел ни в файлах, ни в реестре. Отсюда делаю вывод, что эта чудо-прога работает с файлами реестра на чужом диске как с самим реестром. Хотя я не специалист, могу и ошибаться - главное, что быстрый и эффективный результат есть.
На днях боролся с "Internet Security". Может кому поможет...
Попался очень неплохой блог Евгения Васильева (www.eavasi.ru) со статьей "eKav antivirus — разблокировать и удалить навсегда!"
Вкратце как делалось.
Загрузка с диска ERD Commander. Поиском нашел все файла созданные в день Х.
Подозрительные DLL перенес в отдельную директорию, в реестре вычистил значение AppInit_DLLs, проверил содержимое HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win logon и HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths чтоб ничего лишнего не было. Проверил все значения Autorun и удалил подозрительные приложения. В частности bat-файл, тупо удаляющий файл iexplore.exe.
NOD32 его определяет как "BAT/KillFiles.NCB"
После этого перезагрузился в нормальном режиме. Баннера не было. Программой MBAM (Malwarebytes' Anti-Malware) проверил комп и удалил остатки заразы. И включил блокированные редактор реестра и диспетчер задач.
Последующая проверка CureIt! ничего не дала.
Сканер Virustotal сказал что это Trojan.Winlock.938, Trojan.Download1.28107 и какая-то разновидность Koobface. А NOD32 спустя 2 дня говорит что это Win32/Kryptik
Кстати тоже может кому-то пригодится. Приведу цитату из комментария banner-killer с блога Евгения Васильева.
Если у вас баннер не дает запускать никакие браузеры, делайте так: Пуск-Все программы-Стандартные-WordPad
там жмите вызов справки. На «ободе» справки (там где название окна) нажмите ПКМ — Перейти к URL. Вот и бразуер explorer, но только в виде вордпада. URL вводить в правильной форме с http:// .
Видимо WordPad не рапознается как приложение и не запрещается баннером.
R46R93K
А вообще, звоните по номеру: 8-800-555-0102. Дождитесь ответа оператора и назовите ей текст...
Добавлено через 2 минуты
Ивиняюсь, это для ALEXEU.
Последний раз редактировалось Dims007; 27.01.2010 в 13:55. Причина: Добавлено
Ваши права в разделе
Ответить с цитированием
