Перейти к содержанию
Правила раздела

Зловред изображающий "Internet Security" требует СМС!

Xenon

От Xenon
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Xenon Ветеран

Xenon

Опубликовано
Опубликовано (изменено)

У знакомого вылазит как будто окно антивируса Internet Security и якобы находит множество вирусов. Предлагает за СМС лечение: код а512015000 на номер 4460. Пробовали вводить код разблокировки с генераторов кодов - не помогает. Блокирует доступ к реестру и Диспетчеру задач и в Безопасном режиме тоже! Блокирует работу антивирей, AVZ и др. Либо просто блокирует, либо перезагруз. Удалось запуститься с ЛайвСД со Зверевской сборки. Со своей флешки запустил AVZ и выполнил по очереди стандартные скрипты 3 и 2. Hijack сделал лог. На всякий случай в AVZ сделал Файл-Восстановление системы-Все пункты кроме двух последних! Ничего не помогает. Правда из автозапуска удалось убрать что-то с названием в виде квадратиков каких-то и зловред стал выскакивать не сразу, а только при попытке запуска прог.

Даже в Безопасном режиме при попытке скопировать с моей флешки не пропускает ни avz4, ни Dr.Web CureIt, ни Kaspersky® Virus Removal Tool, ни ProcessExp11.33rus_Portable, ни CCleaner_Portable...

Чистил от кукис, Временные файлы инета, папку Темп.

Прилагаю логи - жду помощи. Очень нужно!

Кстати почему-то блокнота нет у него а какой-то ВордПад... WindowsXP SP2 от SamLAb

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
TypucT-cheb Новичок

TypucT-cheb

Опубликовано
Опубликовано (изменено)

Первым делом загружаетесь в БИОСе (клавиша DEL при загрузке компьютера). Выставляете дату 23.01.2010, время 04:30 утра (примерно). Сохраняете настройки и перезагружаетесь. При загрузке снова запустится окно вируса. Вводите код: UG686632. Через пару минут компьютер самостоятельно должен уйти в перезагрузку. После перезагрузки окно пропадет. Антивирус запустится. Но диспетчер задач все равно заблокирован, и многие программы не запускаются, система тормозит. Проверьте на вирусы всю систему (полная проверка).

Лучше даже скачать Ad Aware 8.1.2, обновить и проверить всю систему. Все хвосты вируса найдутся и удалятся.

Если все вышеописанное не помогло, то качайте DrWeb LiveCD образ, пишите на диск на здоровом компьютере и запускайте больной компьютер с него. Ставьте полную проверку жесткого диска, т.е. всех дисков - C,D,E - и иже с ними (у меня проверка только диска С:\ помогла лишь частично - обрубилисьь концы быстрого запуска вируса, система начала ругаться на отсутствующую левую DLL, но через некоторое время вирус снова запускался, - значит существовала копия где-то на других разделах жесткого диска.)

Изменено пользователем TypucT-cheb
Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано
Пролечитесь с Лайф сиди.

пробовали - не помогло

 

Скачал-нарезал Kaspersky Rescue LiveCD, сегодня поеду пробовать

TypucT-cheb, спасибо, заодно и твоим способом попробуем

Ссылка на комментарий
Поделиться на другие сайты
zzzzaya Новичок

zzzzaya

Опубликовано
Опубликовано (изменено)

попробуйте Пуск=Выполнить= gpedit.msc

 

Для реестра. В появившемся окне: Конфигурация пользователя=Административные шаблоны=Система, справа выбрать "Сделать недоступными средства редактирования реестра", править на "Отключено".

 

Для Касперского. Конфигурация компьютера=Конфигурация Виндоус=Параметры безопасности=Политики ограниченного использования программ, там должно быть написано, что политик нет. Вверху окна выберите Действие=Создать политики, появятся папочки. Выбираем "Дополнительные правила". Потом Действие=Создать правило для пути. Прописываете путь к папке с файлом Касперского, ставите Уровень безопасности Неограниченно.

 

или

 

Для отмены "политики ограничения" в реестре (если он у вас открывается)

"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"

удалите все подветки, значения параметров которых ссылаются на директории и файлы с антивирусом Касперского.

После этого перезагрузите компьютер.

Изменено пользователем zzzzaya
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано (изменено)

TypucT-cheb, по телефону товарисЧу подсказал что сделать - фокус не удался, код не принял.

zzzzaya, не пускает к gpedit.msc, и к политикам тоже. Антивирь стоит Аваст.

ТроПа, соединение с инетом у него запускается, но при запуске любого браузера вылезает окно во весь экран практически...

Диск Х - это не привод ли ДВДРОМ где диск с Лайвом? Кстати, при попытке АВЗ скрипта 3, проскакивало типа: Отменено пользователем.

Вобщем как доберусь до него, попробую выполнить предложенные скрипты...

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

При выполнении ошибки выскакивают: expecd в позиции 3:22 и типа того

AVZ запускали с диска D, а комп загружен с ЛайвСД. Скрипт я продиктовал по телефону и чел создал сначала в АкелПад (проверили 2 раза правильность)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

в этом скрипте не пропущена буква а?

 

CreateQuаrantineArchive(GetAVZDirectory+'quarantine.zip');

 

Kaspersky Rescue LiveCD не помог :good:

 

ПРОБЛЕМА РЕШЕНА полным сносом и переустановкой винды. Спасибо всем за помощь.

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
Mirazhik74 Новичок

Mirazhik74

Опубликовано
Опубликовано

вообщем удалял похожего вредителя. тоже internet security (красное оформление окна, тоже поиск якобы вирусов)

удаление было ручками. действия такие

лайф сд barte pe с касперским 7 версии и свежие базы. сканирование всего компа. нашлось около 30 штук

далее перезагрузка в сэйф моде с поддержкой коммандной строки

в коммандной строке пишем reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f (редактирование реестра включить)

далее по списку

исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)

в коммандной строке пишем msconfig (или другие редакторы автозапуска) и удаляем всякую чушь что там прописалось.

так же советую в диспечере убить вспомогательные процессы зловреда (они будут видны в диспечере).

после установка антивируса (не нод.... нод это дело пропустил) и полное сканирование!

желательно без интернета! это хозяйство пыталось обратится в инет (хотя может и не оно)

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)
Через REG DELETE и REG ADD, видимо. Или предварительно REG COMPARE с тем, что должно быть.
Ссылка на комментарий
Поделиться на другие сайты
sig84 Продвинутый

sig84

Опубликовано
Опубликовано

Недавно боролся с такой же гадостью.

Помогло только следующее:

- подобрал код (см. картинку, какой именно столбец - не помню)

post-11411-1265009342_thumb.jpg

- потом чистка с помощью AVZ

- помощь наших уважаемых хелперов

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ChaoticNeutral
      Многие сайты перестали открываться с включённым Kaspersky Internet Security
      От ChaoticNeutral
      Внезапно перестали открываться сайты в браузере хром при включённой защите Kaspersky Internet Security. На всякий случай проверила ещё microsoft edge, там то же самое. Ещё вчера всё было хорошо  Открывается, как ни странно, гугл. А вот сайт моего провайдера, гугловая почта, сайт касперского, яндекс и многое другое не открывается. В стиме также не загружается store. Это на Windows 10, подключение через кабель. На других устройствах (windows 11, android, ios) в той же локальной сети такой проблемы нет.
      Пробовала синхронизировать время на устройстве (adjust date\time - sync now). Пробовала отключать проверку защищённых соединений в настройках сети.
      Пока не понимаю, куда копать.
      P. S. При отправке сообщения отображалась ошибка "извините, что-то пошло не так". Поэтому получились дубликаты темы. К сожалению, не могу удалить их самостоятельно.
    • linktab
      Невозможно зайти в ГОСУСЛУГИ через Защищённый браузер Kaspersky Internet Security
      От linktab
      Невозможно зайти в ГОСУСЛУГИ через Защищённый браузер Kaspersky Internet Security (21.3.10.391K)
      Все символы в пароле допустимые.
      Через смартфон вход нормальный с тем же паролем.
    • Виталий Чебыкин
      Почему именно "Требуется перезагрузка"?
      От Виталий Чебыкин
      Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows. 
       
      PS  Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
    • wumbo12
      Можно смело купить Total Security -> Plus?
      От wumbo12
      Доброго дня! Если приобрести у оф диллера , поскольку есть ключи Total Security 1 device = 3 year , она будет работать в составе Plus автоматически актуальную версию?
    • Lotte
      Инвентаризация оборудования в Kaspersky Security Center
      От Lotte
      Добрый день!
       
      Хотел уточнить, как сделать инвентаризацию оборудования через KES, у нас KES Версии: 14.2.0.26967
       
      почитал здесь, что https://support.kaspersky.com/KSC/14/ru-RU/63679.htm в списке оборудования (Хранилища → Оборудование) нужно выбрать.
       
      У нас нет, пока такой вкладки оборудование, как её сделать?
      Добавил диопазон ip адресов с рабочими станциями отсканировал, обнаружил пк но они не отображаются на вкладке хранилища - оборудование.
       

       
       
×
×
  • Создать...