Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Фейковый Internet Sequrity за смс. (заявка № 68101)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32

    Thumbs up Фейковый Internet Sequrity за смс.

    Пару минут назад, во время обычного рейда в инет стал сильно глючить комп. После перезагрузки здоровенное сообщение на весь экран, типа сканер Internet Sequtity: мол, обнаружены опасные вирусы, произведите проверку - и кнопочка внизу. Проверка по кнопочке за каких-то полсекунды "обнаруживает" за 70 вирусов, и тут же сообщение: "Ваша копия Internet sequrity не зарегистрирована, для активации отправьте смс..." ну и так далее. Пи всём при этом начисто блокируется восстановление системы, выход в инет(пишу с другого компа), диспетчер задач, а при открытии папки "Антивирус" она моментально закрывается(помогло переименование) - и это далеко не полный список. Логи прибудут чуть познее, сейчас в процессе. Пишу раньше логов, т.к. недавно вы вылечили мой комп от подобной заразы: http://virusinfo.info/showthread.php?t=60831

    Добавлено через 16 минут

    Почитал рекомендации по запуску avz при таких проблемах, не помогло. Всего лишь по правому клику по avz.exe выкидывает из системы.

    Добавлено через 34 минуты

    Помогите, прошу, очень срочно! Второй комп заразился аналогично.

    Добавлено через 32 минуты

    Смотрю я это довольно популярная зараза. Так вот, логи у меня пока тоже не получается сделать, а перевод системного времени(если системное время - это время в нижнем правом углу экрана) не помог.

    Добавлено через 17 минут

    Короче, всем с этой проблемой, как запустить avz: переименовать все папки с названиями типа "антивирус", "avz", "avz32" и всё в этом роде на абсолютно нейтральные названия, например, "123". Сам avz.exe также стоит переименовать. Тогда можно запустить с сделать логи.

    Хелперам: пока сканируется мой комп, я опасаюсь что в любой момент сканирование может быть грубо прервано, пишу что у меня пока нашёл avz:
    c:\windows\cursors\pen_il.cur:gM9LmSsFudtuD72JRGt: $DATA>>>опасно исполняемый файл в потоке.
    Последний раз редактировалось Irion; 21.01.2010 в 20:43. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Вот первый лог, который удалось снять. Обнаружил он немало, поэтому надеюсь вы сделаете соответствующие выводы
    Последний раз редактировалось PavelA; 21.01.2010 в 21:47.

  4. #3
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Всё, теперь и переименованый avz отказывает. Но лог, что я вам отправил, не поможет?

    Добавлено через 5 минут

    Извините, у меня ещё идея: на одном из копмов у меня стоит второй операционкой Linux, с которой можно выходить на разделы windows. Если вирус писался под windows, безопасно ли выходить через linux и можно ли этим как-то воспользоваться, чтобы устранить проблему с windows? Посоветуйте пожалуйста.

    Добавлено через 4 минуты

    А если вам нужен, хм, "пробник" вируса, один из них я словил на playground.ru
    Последний раз редактировалось Irion; 21.01.2010 в 21:20. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    c:\windows\cursors\pen_il.cur:gM9LmSsFudtuD72JRGt: $DATA - убивайте с Лайв СД.
    Только этот файлик желательно прислать.

    После этого должно полегчать.

    Файл, который отправили, Ваш а/вирус похоже все-таки съел. До нас он не дошел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Уф, еле отыскал. А не подскажете, как его скопировать, чтобы присоединённая информация(пресловутые :gM9LmSsFudtuD72JRGt: $DATA) не терялась. И что для лайв сд нужно?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Irion Посмотреть сообщение
    И что для лайв сд нужно?
    Образ диска, который запишите на болванку на чистом компьютере.
    Скопировать можно и средствами Винды. Ничего не потеряется.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Ссылочку на образ в студию, пожалуйста. Чистым остался только нетбук, без сд-привода.

    Добавлено через 3 минуты

    И да, нельзя ли обойтись без лайв сд, сделав всё через линукс, о чём я писал ранее?
    Последний раз редактировалось Irion; 21.01.2010 в 22:22. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    А как насчёт присоединённой информации? Как, не потеряя её, прислать вам файл?

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Переименуйте его и куда-нибудь скопируйте.
    А уж после пришлете.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Вот он, держите. Однако переименование не спасло от потери прикреплённой информации.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    пока не вижу. По красной ссылке его надо грузить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Не получается упаковать в rar. Может ещё как подскажете?

    Добавлено через 8 минут

    P.s. Удалил, действительно полегчало. Теперь, я понимаю, надо залечивать раны, восстанавливать права и править реестр?

    Добавлено через 30 минут

    А, всё. Отправил по красной ссылке.
    Последний раз редактировалось Irion; 21.01.2010 в 23:28. Причина: Добавлено

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Irion Посмотреть сообщение
    P.s. Удалил, действительно полегчало. Теперь, я понимаю, надо залечивать раны, восстанавливать права и править реестр
    Логи AVZ сделайте + лог GetSystemInfo.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Скачайте вот эту утилиту.
    3. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
    4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:

    Код:
    siszyd32.exe (везде на диске С)
    av_md.exe (везде на диске С)
    restorer64_a.exe (везде на диске С)
    sdra64.exe (везде на диске С)
    C:\WINDOWS\system32\regedit.exe
    C:\WINDOWS\TEMP\ (удалить всё в этой папке)Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
    Вот по этой инструкции отправляю в карантин то, что удалось изловить.

    Добавлено через 1 час 10 минут

    И вот ещё, вредоносный поток, с другого компа
    Последний раз редактировалось Irion; 22.01.2010 в 13:19. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    А вот и собственно логи:
    Последний раз редактировалось Irion; 14.11.2010 в 23:07.

  18. #17
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    А вот логи со второго компа:
    Последний раз редактировалось Irion; 14.11.2010 в 23:07.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt','');
    DeleteFile('C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\pen_il.cur:gM9LmSscFudtuD72JRGt', ''), ',,', ','));
    ExecuteRepair(11);
    ExecuteRepair(17);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи.
    Прислать карантин по Правилам.
    А/вирус работает?

    В AVZ Файл -- Мастер поиска и устранения проблем -- Все проблемы - отметить и выполнить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    Антивирь работает вполне нормально, все признаки пропали. В карантин ничего не попало, вероятно из-за того, что я этот pen_il ранее удалил. Логи прибудут чуть позже.

  21. #20
    Junior Member Репутация
    Регистрация
    21.05.2009
    Сообщений
    83
    Вес репутации
    32
    А вот и они:
    Последний раз редактировалось Irion; 14.11.2010 в 23:07.

  • Уважаемый(ая) Irion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. проблема с windows sequrity alert
      От denbehappy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.10.2009, 21:52
    3. Ответов: 13
      Последнее сообщение: 25.04.2009, 10:05
    4. Выскакивания окошек "Windows sequrity alert" "Spyware alert"
      От XscorpionX в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:43
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00632 seconds with 16 queries