-
Junior Member
- Вес репутации
- 52
Сообщение Internet Security с просьбой отправки СМС на 4460
Добрый день, уважаемые коллеги!
Много раз пользовался информацией, размещенной на этом форуме, все время она мне очень помогала и не возникало никаких вопросов.
Но в этот раз поиск не помог, поэтому прошу помощи!
Всплыл баннер с имитацией процесса сканирования и последующим запросом отправить СМСку с кодом на номер 4460.
NOD32 BE лицензионный даже виду не подал, что есть вредоносное ПО и ушел в небытие (при попытке запуска говорит, что ядро программы невозможно инициализировать). Запуск DrWEB CureIt, AVZ и многого прочего антивирусного ПО из под Windows невозможен, редктор реестра и диспетчер задач заблокированы, запуск почти любого приложения или исполняемого файла приводят к появлению все того же окна с якобы сканированием файлов и конечной просьбой отправить СМС. В безопасном режиме ничего не меняется, вирус продолжает контролировать процессы, названия открытых окон и т.д.
Пробывал 2 Live CD - один DrWEB-овский, другой - Касперского (оба с последними обновлениями баз данных) - результат 0, ни один из вредоносных файлов не обнаруживается, через WIN PE (ERD Commander) доступ к реестру также получить не возможно!
Ну и к слову сказать запуск любого исполняемого файла вроде Hijackthis, SDfix, сторонних редакторов загрузки, реестра и диспетчеров задач приводят к их автоматическому закрытию и перезагрузке ПК, либо просто отключению процесса Explorer.
Весь реестр (папки inf, driver, sistem32) загажен файлами с датой (18.08.200 сборки установленной XP SP2 - соответственно в перемешку с нормальными (возможно рабочими) а возможно также подмененными.
Такого зловредного упорства до этого не встречал. Логов доступными способами вытянуть не могу... в данный момент подключил зараженный HDD к другому ПК - произвожу проверку CureITом, но уже и он в папке Windows ничего не обнаружил.
Очень надеюсь на вашу помощь!
Добавлено через 4 часа 7 минут
Что же мне всетаки делать?
Я смотрю на более поздние запросы ответы уже нашлись.
Последний раз редактировалось Garno; 24.01.2010 в 21:39.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если утилиты ничего не нашли, значит зверя этого еще не знают. Коды разблокировки не подходят? Погуглите, найдите провайдера, который предоставляет эти услуги на этом номере и свяжитесь с ним, код обычно присылают быстро. После этого можно будет сделать логи. Эту статью http://virusinfo.info/showthread.php?t=65773читали ?
-
-
Junior Member
- Вес репутации
- 52
Спасибо за совет, конечно.
Да статью я указанную читал, как и множество тем с указанием на такую же проблему на этом и других форумах.
Собственно проблема решилась так:
1) снял жесткий диск с ПК
2) подключил к другому ПК с установленной W2K и антивирусом NOD32
3) сканирование зараженного раздела подключенного диска средствами NOD32, DrWEB CureIT, Kasper AVP не дало никаких результатов (с учетом того что все базы были актуальными)
4) запустив полиморфный AVZ и произведя сканирование нашел 1 файл в папке windows\inf (видимо находящийся в альтернативном потоке данных NTFS)
5) загрузил утилиту streams.exe вот отсюда
6) запустив командную строку (cmd) ввел команду <путь>streams.exe -s -d <путь на зараженный диск>\windows\ нажал Enter и...
обнаружилось около 20-ти!!! файлов в альтернативных потоках!!! очевидно - все вредоносные.
после чего вручную поудаллял еще несколько файлов в папке windows, почистил все папки temp, заменил из папки system32\dllcash файлы explorer и regedit на всякий случай.
7) установил винчестер на место, загрузил пораженную ОС в безопасном режиме - диспетчер задач работает! окно зловредное не появляется, правда пока AVZ хоть и запускается, но восстановление производить отказывается, выкидывая ошибку...
Теперь ковыряю реестр - благо он это позволяет
Последний раз редактировалось Garno; 25.01.2010 в 04:38.
Причина: добавил ссылку