Перейти к содержанию
Правила раздела

Зловред изображающий "Internet Security" требует СМС!

Xenon

Автор Xenon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Xenon Ветеран

Xenon

Опубликовано
Опубликовано (изменено)

У знакомого вылазит как будто окно антивируса Internet Security и якобы находит множество вирусов. Предлагает за СМС лечение: код а512015000 на номер 4460. Пробовали вводить код разблокировки с генераторов кодов - не помогает. Блокирует доступ к реестру и Диспетчеру задач и в Безопасном режиме тоже! Блокирует работу антивирей, AVZ и др. Либо просто блокирует, либо перезагруз. Удалось запуститься с ЛайвСД со Зверевской сборки. Со своей флешки запустил AVZ и выполнил по очереди стандартные скрипты 3 и 2. Hijack сделал лог. На всякий случай в AVZ сделал Файл-Восстановление системы-Все пункты кроме двух последних! Ничего не помогает. Правда из автозапуска удалось убрать что-то с названием в виде квадратиков каких-то и зловред стал выскакивать не сразу, а только при попытке запуска прог.

Даже в Безопасном режиме при попытке скопировать с моей флешки не пропускает ни avz4, ни Dr.Web CureIt, ни Kaspersky® Virus Removal Tool, ни ProcessExp11.33rus_Portable, ни CCleaner_Portable...

Чистил от кукис, Временные файлы инета, папку Темп.

Прилагаю логи - жду помощи. Очень нужно!

Кстати почему-то блокнота нет у него а какой-то ВордПад... WindowsXP SP2 от SamLAb

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
TypucT-cheb Новичок

TypucT-cheb

Опубликовано
Опубликовано (изменено)

Первым делом загружаетесь в БИОСе (клавиша DEL при загрузке компьютера). Выставляете дату 23.01.2010, время 04:30 утра (примерно). Сохраняете настройки и перезагружаетесь. При загрузке снова запустится окно вируса. Вводите код: UG686632. Через пару минут компьютер самостоятельно должен уйти в перезагрузку. После перезагрузки окно пропадет. Антивирус запустится. Но диспетчер задач все равно заблокирован, и многие программы не запускаются, система тормозит. Проверьте на вирусы всю систему (полная проверка).

Лучше даже скачать Ad Aware 8.1.2, обновить и проверить всю систему. Все хвосты вируса найдутся и удалятся.

Если все вышеописанное не помогло, то качайте DrWeb LiveCD образ, пишите на диск на здоровом компьютере и запускайте больной компьютер с него. Ставьте полную проверку жесткого диска, т.е. всех дисков - C,D,E - и иже с ними (у меня проверка только диска С:\ помогла лишь частично - обрубилисьь концы быстрого запуска вируса, система начала ругаться на отсутствующую левую DLL, но через некоторое время вирус снова запускался, - значит существовала копия где-то на других разделах жесткого диска.)

Изменено пользователем TypucT-cheb
Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано
Пролечитесь с Лайф сиди.

пробовали - не помогло

 

Скачал-нарезал Kaspersky Rescue LiveCD, сегодня поеду пробовать

TypucT-cheb, спасибо, заодно и твоим способом попробуем

Ссылка на комментарий
Поделиться на другие сайты
zzzzaya Новичок

zzzzaya

Опубликовано
Опубликовано (изменено)

попробуйте Пуск=Выполнить= gpedit.msc

 

Для реестра. В появившемся окне: Конфигурация пользователя=Административные шаблоны=Система, справа выбрать "Сделать недоступными средства редактирования реестра", править на "Отключено".

 

Для Касперского. Конфигурация компьютера=Конфигурация Виндоус=Параметры безопасности=Политики ограниченного использования программ, там должно быть написано, что политик нет. Вверху окна выберите Действие=Создать политики, появятся папочки. Выбираем "Дополнительные правила". Потом Действие=Создать правило для пути. Прописываете путь к папке с файлом Касперского, ставите Уровень безопасности Неограниченно.

 

или

 

Для отмены "политики ограничения" в реестре (если он у вас открывается)

"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"

удалите все подветки, значения параметров которых ссылаются на директории и файлы с антивирусом Касперского.

После этого перезагрузите компьютер.

Изменено пользователем zzzzaya
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано (изменено)

TypucT-cheb, по телефону товарисЧу подсказал что сделать - фокус не удался, код не принял.

zzzzaya, не пускает к gpedit.msc, и к политикам тоже. Антивирь стоит Аваст.

ТроПа, соединение с инетом у него запускается, но при запуске любого браузера вылезает окно во весь экран практически...

Диск Х - это не привод ли ДВДРОМ где диск с Лайвом? Кстати, при попытке АВЗ скрипта 3, проскакивало типа: Отменено пользователем.

Вобщем как доберусь до него, попробую выполнить предложенные скрипты...

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('X:\autorun.exe','');
DeleteFile('X:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

При выполнении ошибки выскакивают: expecd в позиции 3:22 и типа того

AVZ запускали с диска D, а комп загружен с ЛайвСД. Скрипт я продиктовал по телефону и чел создал сначала в АкелПад (проверили 2 раза правильность)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

в этом скрипте не пропущена буква а?

 

CreateQuаrantineArchive(GetAVZDirectory+'quarantine.zip');

 

Kaspersky Rescue LiveCD не помог :good:

 

ПРОБЛЕМА РЕШЕНА полным сносом и переустановкой винды. Спасибо всем за помощь.

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
Mirazhik74 Новичок

Mirazhik74

Опубликовано
Опубликовано

вообщем удалял похожего вредителя. тоже internet security (красное оформление окна, тоже поиск якобы вирусов)

удаление было ручками. действия такие

лайф сд barte pe с касперским 7 версии и свежие базы. сканирование всего компа. нашлось около 30 штук

далее перезагрузка в сэйф моде с поддержкой коммандной строки

в коммандной строке пишем reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f (редактирование реестра включить)

далее по списку

исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)

в коммандной строке пишем msconfig (или другие редакторы автозапуска) и удаляем всякую чушь что там прописалось.

так же советую в диспечере убить вспомогательные процессы зловреда (они будут видны в диспечере).

после установка антивируса (не нод.... нод это дело пропустил) и полное сканирование!

желательно без интернета! это хозяйство пыталось обратится в инет (хотя может и не оно)

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)
Через REG DELETE и REG ADD, видимо. Или предварительно REG COMPARE с тем, что должно быть.
Ссылка на комментарий
Поделиться на другие сайты
sig84 Продвинутый

sig84

Опубликовано
Опубликовано

Недавно боролся с такой же гадостью.

Помогло только следующее:

- подобрал код (см. картинку, какой именно столбец - не помню)

post-11411-1265009342_thumb.jpg

- потом чистка с помощью AVZ

- помощь наших уважаемых хелперов

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • Вадим666
      Словил зловреда усложняет работу
      Автор Вадим666
      PUA:Win32/Vigua.A
      PUA:Win32/Packunwan
      PUATorrent:Win32/uTorrent
      PUA:Win32/Softcnapp
       
      Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC
      Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection
       
    • CBUAleksandrK
      Trojan.Multi.Agent.gen KIS требуется помощь
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
    • o089901
      зловред зашифровал файлы на сервере 1с
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • KL FC Bot
      Техника Polyglot для маскировки зловредов | Блог Касперского
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
×
×
  • Создать...