-
Junior Member
- Вес репутации
- 53
Порно Информер с 3pic, последствия прибытия трояна
И снова здраствуйте
Сегодня, 2 мая, ночью подцепил на свою голову и жесткий диск желтый порноинформер, гласящий и приносящий мне благодарность за то, что я установил его на компьютер и поясняющий, что если я желаю выпроводить его туда, откуда он взялся - я должен отправить смс с тектом 1101024 на номер 5121, смс придется отправлять 2 штуки.
Баннер был здоровенный и перекрывал окошки устанавливающихся антивирусных программ/утилиток, сильно мешал работать
Моими первыми действиями по удалению стал заход в интернет, на этот сайт,отсюда - на сайт доктор веба, к деактиватору смс вымогателей.
Оперу и Фаервокс мне весьма учтиво баннер отключил, пришлось через ВК-лайф лезть.
тогда у меня случился синий экран смерти
после перезагрузки интернет перестал работать - при кликании на ярлычок его запуска ничего не происходило.
попробовал поиграть с датами в биосе - на месяц раньше, позже - не помогло
пробовал провеси восстановление системы - при повторной загрузке возникало сообщение, что восстановление не удалось.
Начал проверку Доктором Вебом, с ходу нашел и грохнул какой то троян
но это оказался не информер, который при длительном сканировании антивирусом запускал мне синий экран и перезагрузку.
пробовал в авз мониторить процессы и подозрительные убивать - 0 эффекта.
диспетчер задач не включался.
AVZ так ничеговразумительного мне и не дало, но все эти программы антивирусные/антируткитные запускались, но через какое то время - синий экран.
Создал вторую учетную запись, зашел, информера нет и в помине, так же, как и возможностей администратора и большей части программ
в итоге дал этой учетной записи права админа,баннер не всплывал при включении, создал в настройках сети новое подключение к интернету, погуглил на наличие кода к информеру, на сайте касперского/веба/вирус инфо, мне, на мои 5121/1101024 выдавал один и тот же код разблокировки - 8765327868, который при заходе в первую учетную запись естественно не сработал.
почитав дальше интернет и попробовав множество спосов нашел таки действенный - адрес C:\Documents and Settings\All Users, включить показ скрытых файлов и папок, безжалостно удалить скрытый файл system, перезагрузить компьютер.
все сразу исчезло, пишу с администраторской учетной записи.
есть подозрения на оставшиеся в тылу части информера, не хочу возвращения трояна.
прикладываю необходимое, лог ГМЕР ссылается на отсуствие какого то компонента:
Последний раз редактировалось EMZ1T; 03.08.2010 в 20:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах видны следы от компонентов ComboFix. Почему не удалили его?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP79\A0076775.com');
DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087759.com');
DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087793.com');
DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087832.com');
DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0089078.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин (если не будет пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось EMZ1T; 03.08.2010 в 20:57.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
спасибо за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-