Перейти к содержанию

Зловред изображающий "Internet Security" требует СМС!


Рекомендуемые сообщения

У знакомого вылазит как будто окно антивируса Internet Security и якобы находит множество вирусов. Предлагает за СМС лечение: код а512015000 на номер 4460. Пробовали вводить код разблокировки с генераторов кодов - не помогает. Блокирует доступ к реестру и Диспетчеру задач и в Безопасном режиме тоже! Блокирует работу антивирей, AVZ и др. Либо просто блокирует, либо перезагруз. Удалось запуститься с ЛайвСД со Зверевской сборки. Со своей флешки запустил AVZ и выполнил по очереди стандартные скрипты 3 и 2. Hijack сделал лог. На всякий случай в AVZ сделал Файл-Восстановление системы-Все пункты кроме двух последних! Ничего не помогает. Правда из автозапуска удалось убрать что-то с названием в виде квадратиков каких-то и зловред стал выскакивать не сразу, а только при попытке запуска прог.

Даже в Безопасном режиме при попытке скопировать с моей флешки не пропускает ни avz4, ни Dr.Web CureIt, ни Kaspersky® Virus Removal Tool, ни ProcessExp11.33rus_Portable, ни CCleaner_Portable...

Чистил от кукис, Временные файлы инета, папку Темп.

Прилагаю логи - жду помощи. Очень нужно!

Кстати почему-то блокнота нет у него а какой-то ВордПад... WindowsXP SP2 от SamLAb

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

Первым делом загружаетесь в БИОСе (клавиша DEL при загрузке компьютера). Выставляете дату 23.01.2010, время 04:30 утра (примерно). Сохраняете настройки и перезагружаетесь. При загрузке снова запустится окно вируса. Вводите код: UG686632. Через пару минут компьютер самостоятельно должен уйти в перезагрузку. После перезагрузки окно пропадет. Антивирус запустится. Но диспетчер задач все равно заблокирован, и многие программы не запускаются, система тормозит. Проверьте на вирусы всю систему (полная проверка).

Лучше даже скачать Ad Aware 8.1.2, обновить и проверить всю систему. Все хвосты вируса найдутся и удалятся.

Если все вышеописанное не помогло, то качайте DrWeb LiveCD образ, пишите на диск на здоровом компьютере и запускайте больной компьютер с него. Ставьте полную проверку жесткого диска, т.е. всех дисков - C,D,E - и иже с ними (у меня проверка только диска С:\ помогла лишь частично - обрубилисьь концы быстрого запуска вируса, система начала ругаться на отсутствующую левую DLL, но через некоторое время вирус снова запускался, - значит существовала копия где-то на других разделах жесткого диска.)

Изменено пользователем TypucT-cheb
Ссылка на сообщение
Поделиться на другие сайты
Пролечитесь с Лайф сиди.

пробовали - не помогло

 

Скачал-нарезал Kaspersky Rescue LiveCD, сегодня поеду пробовать

TypucT-cheb, спасибо, заодно и твоим способом попробуем

Ссылка на сообщение
Поделиться на другие сайты

попробуйте Пуск=Выполнить= gpedit.msc

 

Для реестра. В появившемся окне: Конфигурация пользователя=Административные шаблоны=Система, справа выбрать "Сделать недоступными средства редактирования реестра", править на "Отключено".

 

Для Касперского. Конфигурация компьютера=Конфигурация Виндоус=Параметры безопасности=Политики ограниченного использования программ, там должно быть написано, что политик нет. Вверху окна выберите Действие=Создать политики, появятся папочки. Выбираем "Дополнительные правила". Потом Действие=Создать правило для пути. Прописываете путь к папке с файлом Касперского, ставите Уровень безопасности Неограниченно.

 

или

 

Для отмены "политики ограничения" в реестре (если он у вас открывается)

"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"

удалите все подветки, значения параметров которых ссылаются на директории и файлы с антивирусом Касперского.

После этого перезагрузите компьютер.

Изменено пользователем zzzzaya
Ссылка на сообщение
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Ссылка на сообщение
Поделиться на другие сайты

TypucT-cheb, по телефону товарисЧу подсказал что сделать - фокус не удался, код не принял.

zzzzaya, не пускает к gpedit.msc, и к политикам тоже. Антивирь стоит Аваст.

ТроПа, соединение с инетом у него запускается, но при запуске любого браузера вылезает окно во весь экран практически...

Диск Х - это не привод ли ДВДРОМ где диск с Лайвом? Кстати, при попытке АВЗ скрипта 3, проскакивало типа: Отменено пользователем.

Вобщем как доберусь до него, попробую выполнить предложенные скрипты...

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

При выполнении ошибки выскакивают: expecd в позиции 3:22 и типа того

AVZ запускали с диска D, а комп загружен с ЛайвСД. Скрипт я продиктовал по телефону и чел создал сначала в АкелПад (проверили 2 раза правильность)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

в этом скрипте не пропущена буква а?

 

CreateQuаrantineArchive(GetAVZDirectory+'quarantine.zip');

 

Kaspersky Rescue LiveCD не помог :good:

 

ПРОБЛЕМА РЕШЕНА полным сносом и переустановкой винды. Спасибо всем за помощь.

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

вообщем удалял похожего вредителя. тоже internet security (красное оформление окна, тоже поиск якобы вирусов)

удаление было ручками. действия такие

лайф сд barte pe с касперским 7 версии и свежие базы. сканирование всего компа. нашлось около 30 штук

далее перезагрузка в сэйф моде с поддержкой коммандной строки

в коммандной строке пишем reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f (редактирование реестра включить)

далее по списку

исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)

в коммандной строке пишем msconfig (или другие редакторы автозапуска) и удаляем всякую чушь что там прописалось.

так же советую в диспечере убить вспомогательные процессы зловреда (они будут видны в диспечере).

после установка антивируса (не нод.... нод это дело пропустил) и полное сканирование!

желательно без интернета! это хозяйство пыталось обратится в инет (хотя может и не оно)

Ссылка на сообщение
Поделиться на другие сайты
исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)
Через REG DELETE и REG ADD, видимо. Или предварительно REG COMPARE с тем, что должно быть.
Ссылка на сообщение
Поделиться на другие сайты
Нет, скрипт нормальный....

Ты похоже ответил именно на мной исправленный скрипт, а я спрашивал про оригинал (см. выше)

Ссылка на сообщение
Поделиться на другие сайты
Нет, скрипт верный!

Спасибо. Извиняюсь если кого обидел вопросом, но смутило отсутствие в первом из похожих слов буквы а ;)

Ссылка на сообщение
Поделиться на другие сайты

Недавно боролся с такой же гадостью.

Помогло только следующее:

- подобрал код (см. картинку, какой именно столбец - не помню)

post-11411-1265009342_thumb.jpg

- потом чистка с помощью AVZ

- помощь наших уважаемых хелперов

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...