Internet Security вирус
Принесли пол-часа назад домашний ноутбук с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. Так и пишет большими буквами:
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере., а чуть ниже:
Вы не зарегистрировали вашу копию Internet Security
Дальше всякую чушь о лицензионном соглашении и предложение: Отправьте СМС с кодом K204114200 на номер 7373.
Вот он “красавец” (сбросил наконец-то фотку с коммуникатора):
Такой мне еще не попадался, так что буду смотреть можно ли от него излечить компьютер, так как переустанавливать систему очень не хочется, хотя это и быстрее будет :) Если, что выясню - отпишусь.
Пока, загрузившись при помощи диска с WinPE, проверяю ноутбук последним CureIT. Нашелся троян, который носит называние Trojan.Winlock.715. Если учесть, что на сайте DrWeb последний старший номер подобного вируса - 592, то наверное и правда вирус “свеженький”.
Чтобы проверка прошла быстрее рекомендую удалять файлы из каталогов:
1 2 3 4 | C:\Documents and Settings\Имя профиля\Local Settings\Temp C:\documents and settings\Имя профиля\Local Settings\Temporary Internet Files\Content.IE5 (кроме index.dat - в нем хранится история посещений для IE) C:\Windows\Temp |
Добавлено 18:28
Только, что закончил проверку. CureIT нашел несколько десятков вирусов. Загрузил Windows на ноутбуке. Пока сообщение не появляется. Запустил еще раз CureIT (до этого CureIT в системе не запускался, как и другие приложения). Завтра буду тестировать дальше.
Пока предварительно могу сказать, что необходимо вставить флешку, на которой будет последний CureIT, в ноутбук, загрузиться с загрузочного диска с Windows (WinPE, BartPE). Удаляйте все временные файлы (ссылки выше) и запускайте проверку диска. Я использую свой загрузочный диск WinPE с 2005-го года и он еще ни разу меня не подводил. То есть он хоть и не новый, но зато 100%-но рабочий. Поэтому выложил его для скачивания и рекомендую скачать и записать себе его на будущее. Такой диск в будущем вам очень поможет (если у вас Windows XP, для Vista, Seven не использовал), если снова вдруг случится беда. Загружаясь с такого диска вы не даете вирусам активироваться и антивирус сможет его без проблем удалить.
Добавлено 12.01.2010
За ночь ничего не изменилось - вирус не обнаружен, программы запускаются и работают. Кроме антивируса. Как его разблокировать написал ЗДЕСЬ. Так, что пока все хорошо. Буду проверять дальше. Следите за развитием событий :)
Не знаю последствия этого вируса или другого (как я писал там целый рассадник был), но были недоступны средства редактирования реестра и не запускался диспетчер задач. Исправляется это просто. Если у вас Windows XP Professional, то достаточно набрать в Пуск -> Выполнить команду gpedit.msc. Далее в открытом окне идем по меню: Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система. Выбрав последнее (Система), в правой части ищем Сделать недоступными средства редактирования реестра, делаем двойной щелчок, выбираем пункт “Отключена” и нажимаем Ок. После этого уже начинает запускаться regedit. В этом же окне групповой политики сразу отключил и автозапуск с носителей - Отключить автозапуск. Установить это свойство во Включен и выбрать “на всех дисководах”.
Далее запустил regedit нашел пункт HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, в нем был параметр DisableTaskMgr. Необходимо либо удалить его или установить в ноль. После этого будет запускаться и диспетчер задач.
Если у вас Windows XP Home, то gpedit.msc у вас не будет и нужно воспользоваться сторонним средством редактирования реестра или вручную как написано здесь.
В двух словах, чтобы включить редактирование реестра нужно выполнить команду:
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableRegistryTools /t REG_DWORD /d 0 /f
Чтобы включить диспетчер задач нужно выполнить команду:
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableTaskMgr /t REG_DWORD /d 0 /f
Прошелся утилитой AVZ - тоже чисто.
Ну вот и все. Работоспособность операционной системы Windows XP на ноутбуке - полностью восстановлена. Пришлось еще немного почистить реестр. Сначала утилитой CCleaner, а затем руками, так как, например, параметр UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, программа почему-то пропустила. У меня там был дописан исполняемый файл C:\Windows\system32\sdra64.exe, который является вирусом. Удалил руками запись C:\Windows\system32\sdra64.exe из параметра UserInit. Необходимо было сделать двойной щелчок по параметру UserInit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось следующее: C:\WINDOWS\system32\userinit.exe,.
Так как остались скриншоты найденных вирусов, то можно было бы посмотреть не осталось ли чего лишнего в реестре, но времени нет, да и ноутбук пора возвращать. Вечером постараюсь выложить здесь имена файлов которые нашел CureIT и каталоги в которых они размещались.
Всем спасибо за внимание. Если будут вопросы - задавайте. По возможности - буду отвечать.
Как и обещал - ФАЙЛЫ которые были определены как новый вирус.
В дополнение к выше написанному выложил видео-ролик как удалить вирус при помощи диска WinPE и CureIT.
Также рекомендую к прочтению как записать диск iso и как сделать образ операционной системы, чтобы можно было быстро ее восстановить в случае нарушения работоспособности.
Рекомендую также прочесть статью (видео инструкцию) о том как создать загрузочную флешку на основе диска WinPE. Выручает когда нет CD-привода (например в нетбуке).
Добавлено 20.01.2010
Выложил видео инструкцию как восстановить реестр Windows XP с помощью диска WinPE. После восстановления реестра вирус не должен активироваться и должен работать запуск всех программ. После этого обязательная чистка временных каталогов и проверка системы антивирусом.
Тем, чья система не заражена рекомендую прочесть Сохраняем копию реестра Windows XP.
Жена:
какой интересный вирусяка :) ВОт они 0 вирусы нового поколения - не просто сломать всё,но и предварительно обобрать до нитки хозяина :)
11 января 2010, 16:34Igorka:
Мне уже встречались подобные, но этот видать совсем свежий. Тот с которым имел дело раньше, не давал зайти в Windows, а требовал СМС еще до входа в систему. Убирался легко из безопасного режима. Этот, думаю будет посложнее…
11 января 2010, 16:46sergkarpenko:
А как распространяется? раз троян, то по идее через дыры?
Igorka Reply:
января 11, 2010 at 22:24
Точно не скажу, но пишут люди, что через всеми любимые “одноклассники”, “вконтакте” и т.д.
Igorka:
Завтра проверю, если его CureIT не вычистил, то попробую код подобрать. На этом ноуте и без этого еще два десятка вирусов сидело :)
11 января 2010, 22:18Петр:
Вот блин и меня сегодня такой вирус коцнул. Как проник незнаю, антивирус даже не ругнулся, а после перезагрузки, все програмиы стали блокироваться при запуске. Пришлось винду переставить
Igorka Reply:
января 11, 2010 at 22:32
Завтра посмотрю, что там на работе с ноутом. Может тоже придется переставить. Непросто чистить чужие системы, изначально не защищенные :) Но некоторый опыт есть, так, что завтра еще посмотрим.
IgorKa - Информационный ресурс » “Невозможно открыть данную программу…”:
[...] после чистки ноутбука, среди прочих действий решил также [...]
12 января 2010, 12:53IgorKa - Информационный ресурс » Файлы вируса Trojan.Winlock.715:
[...] и обещал выкладываю файлы, которые были определены при [...]
12 января 2010, 20:25SAC:
Словил такую штуку 140110. В безопасном режиме зашел в папку System 32, выстроил файлы по дате создания, пытался удалить последние. Но после удаления файла с расширением *.dll, тут же на его месте появлялся другой: с другим названием, но таким же размером 126 КВ.Где-то матка сидит и плодоносит.
Igorka Reply:
января 15, 2010 at 8:30
Совершенно верно. Поэтому заходить нужно не в безопасном режиме, а загрузившись с какого либо LiveCD диска.
SAC:
Да. Еще забыл. Восстановление системы он отключил:вкладка “Восстановление системы” по адресу “Панель управления\Система” отсутствует.Папка System Volume Information опустошена.
А вообще-то, мы здесь разбираемся, как с ним бороться, а авторы этих вирусов читают все это и усовершенствуют их.
Igorka Reply:
января 15, 2010 at 8:50
Пока, что ничего нового мы для них здесь не написали и вряд ли напишем, так что не переживайте по этому поводу.
Кстати, известно как словили вирус? На каком сайте?
IgorKa - Информационный ресурс » Как записать файл iso:
[...] здесь, если кому нужен - качайте (он в хозяйстве не помешает [...]
15 января 2010, 16:26alex:
Кстати, вчера поставил личный рекорд убрал Trojan.Winlock.715 за 13 минут - это с учётом того, что LiveCD грузился в 512Мб ОЗУ и ждать пришлось наверное половину из затраченного времени… Вот подумал, что в близжайшие пару недель это наверное будет самый популярный вирус, как в своё время был популярен confiker. Хотя почему был - он и сейчас часто встречается, просто в условиях предприятия его всё же большинство админов уже вычистило и необходимые заплатки проставило. Кстати, может кому будет полезным. В Харькове есть сеть супермаркетов “РОСТ”, один из которых расположен по ул. Клочковской (на повороте к Ц.Рынку). Так вот, на втором этаже этого, в целом неплохого маркета, есть студия цифровой печати (печатают фото с различных носителей, проявляют фотоплёнки, продают альбомы и рамочки ну всё как везде). В течении года регулярно печатаем там фотки и регулярно приносим от них на флешке одного и того же confiker-а… Не раз им уже говорили про наличие вируса, но факт остаётся фактом - он и сейчас там. А всё почему, потому что базы местный мальчик приходящий им обновляет, а винду обновить видать влом. Короче, если от туда флешку приносите домой - обязательно убедитесь перед тем как вставить её в ПК, что у вас стоят заплатки от данного вируса и антивирус обновлён. Не включайте автозапуск флешки, вместо этого лучше запустите сканироавние… Это я к чему всё - представляю сколько людей в Харькове приносит от туда домой эту заразу. Прямо как с публичного дома )))
16 января 2010, 1:14Алекс:
поймал эту дрянь,сижу в деревне,в гостях,скачал случайно через джпрс,ни лайв диска ничего похожего у меня нет(мало того,вчера окно выскакивало про смс,сегодня просто на долю секунды появляется и исчезает не давая загрузить 95% прог с ноута.Качаю портабл антивири на нокиа5800,так как браузер тоже блокирован.Может кто подскажет что полезное в моей ситуации?
17 января 2010, 9:26Алекс:
сорри-забыл добавить что номер на который просят отправить смс у меня 4460 а не 7373.Подстраиваются?
Igorka Reply:
января 17, 2010 at 9:42
Таких номеров на самом деле несколько. Если загрузочных дисков нет и в безопасном режиме вирус также, активируется, то нужно попробовать подобрать код. Здесь http://av.demozone.ru/ , например, есть страничка с автоматическим генератором кодов, может быть она поможет. Если получится, то далее руками нужно будет править реестр, чистить темповые папки и т.д.
Сергей:
Может кто посоветует.
Я тоже подцепил эту заразу. Переводом даты удалось убрать окно вируса и запустить антивирус. Файлы которые написал Игорка я у себя не нашел. Но в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был прописан sdra64.exe и я просто удалил эту запись(может надо было поставить 0 в этом параметре?). После этого не загружается рабочий стол, просто синий экран и стрелочка. Чего можно сделать?
Да,CureIT у меня почему-то запускается, потом предлагает поставить полную версию Др.Веб и счезает.
Igorka Reply:
января 17, 2010 at 11:59
Сергей, можно уточнить какую запись удалили? Полностью параметр UserInit? Если так, то вам нужно заново создать его и прописать туда строку C:\WINDOWS\system32\userinit.exe,
Igorka Reply:
января 17, 2010 at 12:07
Дополнил ответ здесь http://igorka.com.ua/2010/01/12/fajly-virusa-trojanwinlock715/comment-page-1/#comment-1551
Алекс:
В общем пишу уже с ноута.
Нагуглил решение задачи с кодом который просят ввести:
к коду который просят отправить прибавляем произвольно к каждой цифре +1,+2 и т.д. (лично у меня получилось с +5)букву К заменяем на первую цифру получившегося кода.К сожалению наблюдается трабл полного зависания винды примерно через полчаса после введеня кода (у меня не было,но пишут что попадается).
После введения я скачал Spybot S&D с офф сайта (бесплатный антивирь)который полностью просканировав нашел немеряное количество всякого хлама.Вдаваться в подробности мне было некогда (боялся трабла с зависанием винды)удалил все нафиг что нашлось.Далее почистил все CClearn-ом,полазил,не нашел уже ни одного файла из тех,что относятся к списку вирусняка(сверил по ссылке в шапке этой темы).Работает система нормально,на всякий пожарный (как говорится дуем на воду обжегшись на молоке) тяну сечас Нод32,пусть еще и он пошерстит,потому как Spybot S&D обычно находит то,что не могут найти ни нод ни касперский иже с ними,но иногда не находит то,что находит нод.
ИМХО-учиывая отосительную безопасность данного вирусняка и то,что отправки смс реально нет,думаю что этополевые испытания какой то гадкой хрени,которая появится в ближайшее время.Ждемс.
Igorka Reply:
января 17, 2010 at 13:19
Спасибо за подробное описание. Желаю чтобы это был последний ваш вирус :)
Сергей:
Спасибо за ответ!
Я не очень продвинутый компьютерщик, просто нашел нужный пункт Winlogon в regedit, выделил его в левом окне, в правом щелкнул на строчке в которой увидел sdra64.exe, програма выбросила окошко с двумя строчками, в нижней было прописано sdra64.exe, я все выделил и удалил. Как зайти в regedit чтобы прописать C:\WINDOWS\system32\userinit.exe если рабочий стол не загружается и диспетчер задач не могу вызвать?
спасибо!
Igorka Reply:
января 17, 2010 at 14:08
Сергей, обязательно помогу, только напишите есть ли у вас какие либо загрузочные диски?
Сергей:
Есть Hirens Boot CD v 9.8
Тот который вы выложили не могу скачать в интернет кафе.
Igorka Reply:
января 17, 2010 at 15:06
Отлично. Подойдет и Hirens. Пока скачайте и прочтите вот эту статью http://support.microsoft.com/kb/307545, а я сейчас опишу как это быстрее с Hirens-диском сделать
Сергей:
Да забыл сказать, может это поможет - когда при пустом экране нажимаю ctr+Alt+delete вместо диспетчера задач выскакивает сообщение “ошибка(отказано в доступе) при выполнении сценария с:\windows\system32\winjpg.jpg
Igorka Reply:
января 17, 2010 at 15:28
Скорее всего это вирус - с:\windows\system32\winjpg.jpg
Статью читали?
Сергей:
Сейчас читаю
Igorka Reply:
января 17, 2010 at 16:13
В этой статье все по шагам очень хорошо расписано. Хотя нужно признать там тоже могут быть разные нюансы и следует все делать осторожно. Самым лучшим выходом было бы пригласить человека который хорошо разбирается в системе Windows (желательно системный администратор), он бы быстро восстановил систему. Был бы я на месте со своим “чемоданчиком” быстро бы все поправил. Удаленно через блог тяжело.
По теме в двух словах. Необходимо скопировать 5 файлов (system, default, security, sam, software) из каталога c:\windows\repair в каталог c:\windows\system32\config\. Как их копировать с помощью консоли восстановления или hirensa не важно. После этого система должна загрузится. Дальше все зависит от того остались ли файлы в C:\System Volume Information, чтобы далее начать восстанавливать реестр. В диске который я выложил, есть средство редактирования реестра и все можно было бы сделать напрямую.
Сергей:
Игорь, спасибо за поддержку!
А с помощью средства редактирования реестра на твоем диске можно просто прописать нужный параметр? И можно ли с помощью файлового менеджера тупо скопировать c:\windows\repair в каталог c:\windows\system32\config?
Igorka Reply:
января 18, 2010 at 11:24
Да, средствами редактирования реестра на диске можно отредактировать реестр напрямую. Видеоролик http://depositfiles.com/files/zsdy7ui2w в котором я показал как это можно сделать.
Да, можно с помощью любого файлового менеджера скопировать эти файлы из каталога c:\windows\repair\ в каталог c:\windows\system32\config\. Главное придерживаться четко процедуры и не пропускать шаги, а еще обязательно сохранить старые файлы в каталоге \windows\system32\config\
Dark:
Имх, нужно бороться не с вирусами, а с уродами, которые их пишут. Поскольку уродцы в данном случае жадные - их можно на этом и поймать. Деньги, наколядованные через смс, ведь они будут снимать со своих кошелёчков. Если кому не лень - можно написать несколько писем в sms-coin и подобные организации, позволяющие заработать на sms, указав короткие номера вирусорожателей. А уже через них можно выйти на интернет-кошельки говнюков.
Igorka Reply:
января 19, 2010 at 18:32
Спасибо за мнение, но большая просьба писать более сдержанно, хотя я и разделяю ваше негодование.
IgorKa - Информационный ресурс » Как создать загрузочную флешку на основе WinPE:
[...] вы читали статью о вирусе Internet Security, то, наверное, поняли, что диск WinPE это неплохая штука. [...]
20 января 2010, 0:17DYAlex:
2 Dark:
Имх, нужно бороться не с вирусами, а с уродами, которые их пишут. Поскольку уродцы в данном случае жадные - их можно на этом и поймать. Деньги, наколядованные через смс, ведь они будут снимать со своих кошелёчков. Если кому не лень - можно написать несколько писем в sms-coin и подобные организации, позволяющие заработать на sms, указав короткие номера вирусорожателей. А уже через них можно выйти на интернет-кошельки говнюков.
А я согласна. 5 часов назад эта хрень мне комп заблокировала и не дает запуститься ни одной программе, и не пускает в окно выбора вариантов загрузки - на нажатие клавиши F8 раздается жуткий писк и так пищит пока не выключишь комп вообще. И первое, что я сделала добравшись до рабочего компа - это написала в Службу Абонентской поддержки компании «А1: Первый Альтернативный Контент-Провайдер» - им принадлежит номер 4460, который высветился у меня. Реагировать на претензии они обязаны, и возмещать ущерб тоже, а дальше пусть разбираются в порядке регресса. Чем больше претензий, тем быстрее они их сами и найдут.
20 января 2010, 4:56slepoi:
Решил такую же проблему,
С помощью радмина убил процесс rundll32.exe окошко пропало, CureITом почистил, и вручную почистил темповские папки.
Eugene Reply:
января 20, 2010 at 18:30
а как радмин запустился, у меня procecxp заблокирован
Дмитрий:
Проверка с диска CureIT’ом очень медленно идет, попробывали вручную файлы убить (какие нашлись) по перечню приведенному - результат нулевой.
Видимо придется CureIT ждать пока проверит.
Igorka Reply:
января 20, 2010 at 10:58
Дмитрий, удалили ли файлы из временных папок, особенно из C:documents and settingsLocal SettingsTemporary Internet FilesContent.IE5 (если пользуетесь IE)? Проверка CureIT-м не быстрая процедура и зависит от количества файлов на диске. С какого диска загружались?
К сожалению сегодня не смогу так оперативно отвечать - очень много работы, накопилось за несколько дней. Но чем смогу - помогу. Возможно у вас новая модификация вируса, а может быть вы что-то упустили (или я недостаточно понятно описал).
Также я был бы очень благодарен всем за ссылки с которых происходило заражение системы в последние дни. Чтобы дома протестировать и найти решение, если старый способ не подходит. Еще очень важной информацией будет версия операционной системы с указанием установленного сервиспака.
Дмитрий:
XP Pro SP2
Все временные почистил. Сейчас всё ещё CureITом проверяется, но WinLock’ов не нашел, зато несколько других нашлось…
Igorka Reply:
января 20, 2010 at 15:01
Рекомендовал бы обязательно обновиться до SP3. Только есть один нюанс, если у вас OEM-версия без лицензии (ломанная, крэкнутая и т.д.), то при установке SP3, почти наверняка компьютер будет заблокирован и будет просить ввести лицензионный ключ. Поэтому нужно будет снова “ломать” его, загрузившись в безопасном режиме и используя крэки для Windows SP3.
alex Reply:
января 28, 2010 at 1:11
Поэтому нужно будет снова “ломать” его, загрузившись в безопасном режиме и используя крэки для Windows SP3.
Палишься )))
Igorka Reply:
января 28, 2010 at 6:46
Ни в коем случае. Предупреждаю человека, что может быть при использовании нелизензионной операционной системы.
Михаил:
Сегодня боролся с этой дрянью, помогло только восстановление операционной системы с установочного диска. только потом возникла проблема установки антивируса, был nod32 помогло решение автора описанное выше очисткой реестра
20 января 2010, 14:46Александр:
Записал через неро на двд болванку pebuilder, который вы скинули. Но при прожиге в конце он выдаёт ошибку что то типо того, что нужно переименовать тучу файлов. Ни один код не подходит 3цифру справа менять тоже пробовал. Код: k207815200.
Igorka Reply:
января 20, 2010 at 15:48
Возможно файл повредился во время закачки. Попробуйте распаковать iso-файл архиватором (WinRar, 7zip) и посмотреть получится ли эта операция. Если да, то попробуйте создать загрузочную флешку как я описал здесь http://igorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe/
Андрей:
Принесли комп с семеркой с таким-же зверем, зверя убил, а вот ни один exe не робит, спрашивает чем открывать. rundll32.exe не удается заменить на нормальный (с другой здоровой машины)даже при загрузке с LiveCD. Соответственно и не одну инсту для правки системы запустить не удается. Как это победить? Подскажите пожалуйста.
Igorka Reply:
января 20, 2010 at 17:08
Андрей с семеркой мало работал, на работе только XP и Линукс, дома семерка только на на виртуалке. Сходу не скажу в чем проблема. Возможно вечером попробую посмотреть. Если решите проблему буду благодарен за информацию как решили.
Также интересно каким способом удаляли вирус на семерке.
Андрей Reply:
января 20, 2010 at 18:29
Запуск вируса прекратился после того как загрузился на больной машине с LiveCD (ZverDVD 2010), убил все tmp, папку с Acrobat Reader, корзину, и папку с Оперой. Оставил лишь FireFox. В данный момент запустил AVZ (естественно предварительно переименовав его из exe в cmd) , Далее попробую запустить TuneUp такимже образом (переименованием). О результатах отпишусь.
Desperado:
Установил новую винду не затирая старую сразу поставил на неё аваст обновил аваст запустил на проверку(полную) нашёл троян в D:\Windows\system32\iqife.dll по дате файл свеженький подходит под время когда я мог подцепить этот блок-вирус. Старую винду пока не грузил проверил реестра по указанным вами веткам всё чисто.
p.s. вирус блокирует множество оф сайтов с антивирусами а так же если заражённый комп был подключён к маршрутизатору то у всех компов так же подключённых к этому маршрутизатору не работали эти сайты других отклонений пока не заметил щас проверяю это компа на вирусы тем же авастом. Может моя писанина чем-нибудь кому-нибудь поможет.
Igorka Reply:
января 20, 2010 at 19:11
Любая информация может для кого-то быть полезной. Спасибо, что отписали. А где подцепили вирус не запомнили?
Desperado Reply:
января 21, 2010 at 10:17
подхватил на _tfile_ru когда качал блэйда в гоблине. В общем на старой винде теперь баннер не высвечивается. Но так же .ехе файлы блокируются. Можно теперь нужные файлы с той винды стырить на новую и отформатировать диск.
Igorka Reply:
января 21, 2010 at 10:22
Попробуйте выполнить восстановление реестра http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/
Вадим:
Спасибо Игорь!
Все делал по вашим инструкциям, CD, флешка.Получилось.
Троян Panda….
Диспетчер заработал сам, восстановление системы не запускается, нод пока не правил, но сделаю по вашим инструкциям.
Не подскажете как в будущем защищаться от такой заразы?
Может firewall
Igorka Reply:
января 20, 2010 at 19:28
Вадим, очень рад, что все получилось.
Как защищаться… Вчера пробовал по двум присланным ссылкам заразить виртуальную машину. Windows XP SP3, Avast Home Free 4.8, встроенный windows-firewall и ничего не получилось :( или вирус не тот или его видит Аvast, так как в обеих случаях он предупредил о попытке закачки подозрительного файла.
Если в общем, то очень желательно постоянно обновлять Windows, антивирус, работать в системе с правами обычного пользователя, избегать сомнительных сайтов.
Также нужно понять и принять, что не столько важно защитить свой компьютер от вируса, (рано или поздно мы его можем получить), сколько настроить компьютер так, чтобы потери были минимальны и чтобы восстановление системы не занимало много времени. Но это уже отдельная история.
Также есть еще один очень хороший способ - операционная система Linux, но это способ пока подходит только единицам.
Вадим Reply:
января 20, 2010 at 20:00
Спасибо за ответ!
Поменяю нод на аваст.
А еще у меня оказался брандмауэр встроенный
отключен и на сколько я помню так и было.
По незнанию не придавал этому значения.
Сергей:
Сделал загрузочную флешку, а загрузиться с нее не получается. Только с CD-ROM или с жесткого.
Igorka Reply:
января 20, 2010 at 20:43
Сергей, раньше приходилось загружаться с флешки? Нужно понять, это проблема флешки или, неправильные установки в биос.
Сергей:
Ситуация такая: на компе варианта загрузки с флешки не нашел, а на неуте - с флешке загрузившись показывает ошибку и тут же перезагружается.
Igorka Reply:
января 20, 2010 at 21:42
Сергей, а какую ошибку показывает и на каком этапе? Какая у вас модель материнской платы на компьютере?
Plast:
Ребята. Всем спасибо за содействие! Но по ходу я поймал модификацию заразы иную или непонятно, не сильно разбираюсь.
Грузил ливСиДи, читал реестр и прочее-прочее (все что в нете понаписано). ХРЕН! никто не нашел язву. (все по старому)
Сейчас запустил Касперси Рескю Диск…хотя не верю уже))) На флехе (с апдейтом каспа что-то нашел), но не более. Иными словами никто ни одной зацепочки на вирус не нашел.
(но верить надо)))
Igorka Reply:
января 20, 2010 at 21:55
Читали ли вы эту ссылку из комментариев выше http://support.microsoft.com/kb/307545 ? Также должно помочь. Постараюсь подготовить традиционный видеоролик как восстановить реестр. После этого вирус не должен активироваться хотя и будет в системе. Файлы нужно будет сканировать антивирусом или искать и убивать руками.
Plast Reply:
января 21, 2010 at 9:43
Заранее благодарен!
Отпишусь по результатам (пока продолжаю сканить “касперски рескю”, за ночь парочку отловил)
кстати, так и не представляю откуда цепанул заразу
Igorka Reply:
января 21, 2010 at 9:48
Видео инструкцию по восстановлению реестра Windows XP выложил. Ссылка чуть ниже в комментариях и добавил в конце статьи.
Plast Reply:
января 21, 2010 at 15:17
Ниче не могу поделать. вирус никем не видится: кюреит, авз, касп рескю диск.
все так же не могу с реестром ничего поделать
Igorka Reply:
января 21, 2010 at 15:27
А что конкретно не получается сделать с реестром?
Plast Reply:
января 21, 2010 at 16:13
я к нему добраться не могу. вирус грузится быстрее))
в автозагрузку кинул (попробовал) plstfix.exe - блокируется.
соответственно редактор открыть не удается… что то я пропустил наверное
Igorka Reply:
января 21, 2010 at 16:26
Так ведь грузиться нужно с загрузочного диска.
Сергей:
Ошибка выходит сразу после загрузки win. окно на англ, разобрать не могу 2-3сек и перезагрузка. Модель мат. платы узнать не могу документов рядом нет, вскрыть нет возможности.
20 января 2010, 22:49IgorKa - Информационный ресурс » Восстанавливаем реестр Windows XP:
[...] время обсуждения борьбы с вирусом Internet Security я советовал одному из посетителей по имени Сергей, [...]
20 января 2010, 23:16Igorka:
Выложил видео инструкцию http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/ как восстанавливать реестр Windows XP. Данный способ также должен помочь в борьбе с вирусом. Восстанавливая реестр на дату до заражения, мы получаем реестр в котором не заблокированы приложения и нет ссылок на файлы вируса. Попробуйте этот вариант. В ролике все описал максимально просто, должен понять даже неопытный пользователь. Если нет диска WinPE и скачать не представляется возможным, тогда читайте статью http://support.microsoft.com/kb/307545 и пробуйте восстановить через консоль восстановления Windows XP.
20 января 2010, 23:34dart:
Спасибо большое, все толково объяснили.Убил заразу, процесс правда отнял 6 часов(пока все перепробовал до вас).Пропустил ее Avira free. Если за завтра-послезавтра “пожарники” не напишут обновление своих баз,пол-рунета точно встанет.
Igorka Reply:
января 21, 2010 at 7:46
Отлично! И мои поздравления!
А как именно удаляли? Последним способом с восстановлением реестра? или руками?
Если можно пришлите ссылку где подхватили вирус, все не теряю надежды заразить свою виртуальную Windows XP :)
Андрей:
Спасибо тебе огромное добрый человек!!! Следовал четко инструкции и все получилось!!! Еще раз огромное спасибо! какой антивирус посоветуете?
Igorka Reply:
января 21, 2010 at 9:12
Не за что, очень рад, что пригодилось то, что я делаю. Если возможно поделитесь информацией как удаляли, и ссылку где подхватили вирус. Ссылки лучше слать на мой почтовый ящик.
Алексей:
Был у меня этот вирус. Просто ввел код, который узнал в поддержке агрегатора(ничего не отсылал)
После прошелся, антивирусом из под зараженной системы, потом курейтом. Вроде все удалил.
Но вчера появилась новая проблема. Вчера снова решил касперским прошерстить папку winows. Нашлось с десяток вирусов win32.krap.w а в папке temp win32.freegee / Все удалил, компьютер перезагрузил. Реестр RegCleanr почистил (1600 ошибок было, давно не чистил)
И вот теперь забавная ситуация: браузер по умолчанию Mozilla Firefox стал вырубатся без предупреждения и без ошибок, просто вылетать стал. Я его и переустанавливал и чего только не делал. Вылетает и все. А когда инет отключен, то нормально работает.
Всеволод Reply:
января 21, 2010 at 10:59
У меня тоже,это из-за гребаного вируса.
Всеволод:
Вчера подхватил,тоже думал лечить с помощью виндовс лайф,так как эта гадость все блокирует:
avz его по идее блочит,так не запускается пишет “не стабильное приложение”,нод он заблокировал и удалил или не дает запустить,пока не ясно.
Автор фотал телефоном,а не принт скрином..тоже блокирует…ворд…да все по ходу практически.
Значит потом все заработало????
Автору ОГРОМНОЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!
Igorka Reply:
января 21, 2010 at 11:04
Да фотографировал телефоном, так как приложения не запускались.
Потом на ноутбуке все заработало и пока работает (хозяин даже отблагодарил в материальном виде) Я сказал, что если не дай Бог появится снова, чтобы приносил - все восстановлю.
Не совсем понял, смогли ли вы избавиться от вируса?
Всеволод:
Я сейчас с другого компьютера зашел,накопирую,лажу по перекрестным ссылкам,троян 715 на всякий случай…накачаю ,и прийду домой пробовать :-) Вот уже 10 страниц полезнейшей информации.
Вам ОГРОМНОЕ СПАСИБО ещё раз! За оперативность и за попунктную разжевку :-)
Как опробирую отпишусь обязательно,скорее всего на днях,так как этот комп на другой квартире,так сказать моей рабочей норе :-)
Igorka Reply:
января 21, 2010 at 12:19
Не за что. Лишь бы помогло, а то и правда вирусописатели не дремлют. Рекомендую сначала восстановить реестр на день до заражения и сразу проверить CureIt-м. Если подсумировать, то скачиваем CureIT, бросаем на флешку, флешку в компьютер, диск с WinPE в привод, загружаемся с диска, удаляем файлы по временных каталогах, восстанавливаем реестр, проверяем CureIt-м, перезагружаемся и смотрим удалось ли избавиться. Сетевой кабель во время этих операций должен быть отключен! Видеоролики по операциям есть на вкладке http://igorka.com.ua/video-uroki/
Всеволод Reply:
января 21, 2010 at 12:52
Ааааааааааааааааа!!!! Игорь спасибо что написали про кабель!!!!!!!!!!!!
Да если все сложить,то вроде так должно получится…
Igorka Reply:
января 21, 2010 at 12:58
Буду ждать комментария об удачном восстановлении системы :)
Всеволод Reply:
января 21, 2010 at 12:55
и за “Рекомендую сначала восстановить реестр на день до заражения и сразу проверить CureIt-м” и за все остальное тоже!
Благодарю заранее,чем больше инфы счас,тем меньше вопросов у меня будет,когда я выйду на него сам на сам!!!
Да думаю и только у меня,согласен с пользователями,что скоро эта …зараза,многих заатакует..Так что можно делать на Вашем Блоге,СЕО раскрутку :-)
Igorka Reply:
января 21, 2010 at 13:01
В СЕО-раскрутках я не силен, да и нет на это время. А вы занимаетесь раскруткой сайтов?
Всеволод:
Подхватил его скорее всего действительно с контакте,или с трекера…
21 января 2010, 12:09Хотя я часто орбитом качаю.
Алексей:
У кого еще firefox перестал работать нормально после удаления вируса? Просто вылетает без причин (обыно когда нажимаешь сохранить или войти) Как с этим бороться?
Igorka Reply:
января 21, 2010 at 12:49
Алексей, к сожалению с такой проблемой не сталкивался.
Был случай когда firefox начал вылетать после установки плагина к нему. Удаление плагина также не помогло - firefox вылетал. Переустановка также не помогла. Восстановил работоспособность восстановлением системы средствами Windows на дату до установки плагина, затем переустановил Firefox. Хотя не надолго, так как затем пользовался браузером chrome, а сейчас работаю в основном в Ubuntu.
Но это плагин, а тут вирусы, так, что сожалею, но больше ничем помочь в вопросе с firefox не смогу.
Mir:
Отличная новость для тех, у кого все заблокировано!
_http://razblocker.narod.ru/Razblocker1.5.4.exe - отличная вещь!
Двумя кликами можно вернуть все, что вирус заблокировал. Там же есть выход на групповую политику (если хотите сами посмотреть) и настройка системы (если при загрузке виндовс ищет батник).
21 января 2010, 13:31Igorka:
Хочу предупредить всех посетителей сайта, что за программы от других посетителей сайта я ответственности не несу. Вы можете использовать их на свой страх и риск.
21 января 2010, 15:25Vladimir:
Вечер добрый!
ну еще у меня очень много окон в maxtone открывается и только потом вылазиет эта гадость!
все прочитал, собрался искать загрузочный диск, но CureIT запустился в безопасном режиме!
в данный момент идет проверка! по результатам отпишусь обязательно!
ах да! Созванивался с братом он такую гадость просто удалил в списке удаления программ, но ловил он эту гадость давненько!!! совершенствуюца они сволочи!!!
21 января 2010, 17:55Plast:
Извиняюсь за некомпетентность, но (следуя инструкциям с видеоролика) реестр не поднимается из под установленной системы… т.е. на первом же шаге все обламывается у меня
Igorka Reply:
января 21, 2010 at 21:54
Если речь идет о ролике с называнием Restore_reestr_winXP.mpeg, то вначале там действительно запущена система. В верхней части ролика я пишу пояснения к действиям в ролике. Сначала я имитирую порчу реестра, чтобы показать как восстановить его загрузившись с диска WinPE. Уточните об этом ли ролике идет речь и если да, то досмотрите его до конца.
Plast Reply:
января 21, 2010 at 22:09
в таком случае все объяснить проще! System volume information (вроде так) у меня ОТСУТСТВУЕТ!!!
Igorka Reply:
января 21, 2010 at 22:32
Файлы в C:\Windows\repair также отсутствуют?
Plast Reply:
января 21, 2010 at 23:25
не помоголо. система грузится с теми же параметрами…
все по опрежнему заблокировано.
из авторана (как писал прежде) грузитя winunloker(или что то похожее) через пару перезагрузок системы и он не работает.
смысл следующий:
грузится система (с вирусом)
грузится анлокер (яко бы помогает разблокировать реестр ипрочее)
тыкаю в любую прогу - все по новой… сейчас скнирую досовским ДРвебом
Igorka Reply:
января 21, 2010 at 23:32
Просьба скопировать мне файлы с вирусом и выслать на почту упаковав в архив с паролем 123. Хочу проверить возможно ли заразить систему. Если получится, то заодно и попробую вылечить систему.
Plast Reply:
января 22, 2010 at 11:12
dll хватит? или екзе тоже искать?
Igorka Reply:
января 22, 2010 at 11:22
Уже, наверное, не нужно, так как прислали и не получилось… Некоторые изменения в реестры были внесены, но не все и до баннера дело не дошло. Продолжаю искать прямые ссылки где можно подхватить вирус…
zay 06:
ДЛЯ ВИРУСА INTERNET SECURITI !!!
Я код не подбирал боролся следующим образом:
1) Выполнил рекоменации со страницы _http://forum.kaspersky.com/index.php?showtopic=148547:
**********************************************************************************************
Скачать: _http://narod.ru/disk/16822348000/rescuecd.iso.html и записать образ на CD.
Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля(если будет доступен интернет) и пролечить систему.
**********************************************************************************************
2) Это помогло,но не полностью окошко опять выскакивало, видимо часть вируса осталось в системе, после этого я воспользовался следующим :
Создал загрузочный диск на основе WinPE (можно загрузочную флешку), как это сделать описано здесь:
http://igorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe/
3) Загрузился с диска WinPE, очистил полностью папку Windows/Temp !!!
4) Загрузился обычным образом, окошко исчезло, программой Total Comander Podarok отключил в автозагрузке два вирусных файла (их видно ошибиться просто нельзя), хотя в компе их уже не было но при загрузке системы выдавалась ссылка на невозможность их загрузки.
5) ВСЁ ЗАРАБОТАЛО !!!!! Вручную включил диспетчер задач и редактор реестра через политики групп.
С остальными вирусами этого типа (за Новый год ловил их дважды!!!) вполне справлялся п.п.1 , больше ничего не требовалось.
Igorka Reply:
января 21, 2010 at 22:09
Хорошо, что все получилось. Только можно было начинать с пункта 3 дополнив его скачанным CureIT-м сброшенным на флешку. А пункт 4,5 можно было заменить восстановлением реестра, как описано здесь http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/ (если сохранились копии реестра).
Но главное, что все получилось! Спасибо за столь подробный комментарий.
Генадий:
Всем доброго времени суток!!
Подхватил это гадость сегодня, когда вернулся с работы(с утра сидел вконтакте и почитал новости)
Сейчас сижу с мобильного,прочитав всё, что здесь описано голова идёт кругом.К сажелению имею очень мало опыта в борьбе с такими проблемами, а знакомых компьютерщиков нету.Мне там как и всем дали сутки для отправки смс,но сутра я заступаю в смену и вот боюсь что случится по истечению этого срока!!Вобщем я щас в полной растерености…
Очень надеюсь что в ближаишие дни появится лекарство с помощью которогго всё можно будет очень просто исправить(ну наивный я что поделать)Ибо вариант с преустановкой винды испульзую в крайнем случае так как не прошло и двухь месяцев как менял…
П.С
Зарание всем спасибо!
Igorka Reply:
января 21, 2010 at 23:36
Геннадий, с компьютером и данными ничего не случится, но сетевой (компьютерный сетевой) шнур желательно отключить. Есть ли у вас возможность за другим компьютером (у друзей, знакомых), скачать и создать загрузочный диск (флешку) и скачать свежий антивирус?
Генадий Reply:
января 22, 2010 at 7:14
Такая возможность конечно же есть, но вот только не раньше завтрошнего дня!
bkmz:
В общем все почистил, но остался заблокирован антивирус аваст - пишет относительно политики ограничения применения программного обеспечения. Что надо слелать в реестре, чтобы решить эту проблему?
Igorka Reply:
января 21, 2010 at 23:44
Прочтите http://igorka.com.ua/2010/01/12/nevozmozhno-otkryt-dannuyu-programmu/
Если не поможет отпишите пожалуйста. Также прочтите мой комментарий там же (подробнее написал, что нужно удалить)
bkmz Reply:
января 22, 2010 at 9:31
Помогло - все запустилось и работает. Относительно лечения вируса 4460 скажу следующее. 1. Не заморачивайтесь с поиском кода - больше времени убьете - используйте загрузочный диск. 2. Куреит лечит не все, но запуск его обязателен. 3. Чистка ТЕМПов обязательна. 4. Видео о дальнейших действиях по чистке реестра очень помогло, хотя содержит не все. 5. После этого я уже вошел нормально в систему и запустил Каспера - который дочистил остальное. 6. Разблокировка антивирус через журнал событий и поиска в реестре управляющей строки и ее удаления.
Igorka Reply:
января 22, 2010 at 9:39
Большое спасибо, что отписались и поздравляю, что все получилось!
Только предложу 2 и 3-й пункт поменять местами - сначала чистка временных папок, а затем проверка CureIT.
Очень интересует такой вопрос.
Есть ли у вас информация в каталоге System Volume Information ?
Некоторые посетители пишут, что она пуста и хочу выяснить удаляет эту информацию вирус, или восстановление системы изначально было отключено в системе.
Заранее спасибо.
bkmz Reply:
января 22, 2010 at 9:52
отказано в доступе
Igorka Reply:
января 22, 2010 at 10:07
Чтобы получить доступ необходимо дать разрешения (только на чтение!, а затем снова убрать) для своей учетной записи на этот каталог или загрузиться с WinPE - тогда доступ будет. Очень прошу посмотреть там должна быть папка (папки) примерно с таким именем _restore{E3A7CD9E-C3A2-4256-A6FB-466C5E3F6FB9} в которой должны быть папки с именами RPxx, где xx - цифры.
bkmz Reply:
января 22, 2010 at 9:42
Действия:
Нужно иметь - загрузочный CD диск с ERD Commander. Флешка с куреитом.
Куреит лучше скопировать в основную систему. Все запуски производите из ERD Commander - чистку темпов, запуск куреита, чистку реестра. Обо всем здесь есть информация.
После этого загружаетесь с жесткого диска и запускаете спайбут и касперского. Они дочистят систему. Потом ручками еще немного реестра и все работает. Я еще не до конца по всем позициям разобрался, но в целом решено все.
bkmz Reply:
января 22, 2010 at 9:46
По реестру:
HKLM\SOFTWARE\Microsoft\Windows NT\Winlogon:
Shell - только explorer.exe
UIhost - только logonui.exe
UserInit - только C:\windows\system32\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\Windows:
AppInit_dlls - должно быть пустым.
Igorka Reply:
января 22, 2010 at 9:53
Как насчет информации в System Volume Information ?
Если она есть, то все еще проще - так как достаточно просто восстановить реестр.
bkmz Reply:
января 22, 2010 at 10:17
setup_9.0.0.722_19.01.2010_17-50drv.isw
tracking.log
Igorka Reply:
января 22, 2010 at 10:21
Спасибо большое!
И последний вопрос (надеюсь) в каталоге C:\Windows\repair также пусто?
bkmz Reply:
января 22, 2010 at 10:48
ехе-шников нет.
autoexec.nt; config.nt; default; ntuser.dat; sam; secsetup.inf; security; setup.log; software; system
Семён:
Тоже хватанул… на форуме прочетал, что люди звонили на номер 8 800 555 01 02 и им там код говорили. Но не знаю может тоже кидалово, стремно звонить… может кто звонил спрашивал? Там пишут что говорят код и денег не снимают.
22 января 2010, 0:03Игорь:
Позовчера вечером подхватил такой вир.. Не стал особо заморачиваться по этому поводу и лёг спать. Утром пошёл на работу, нашёл в инете эту статью, скачал по ссылкам всё необходимое для убийства вируса, подготовил загрузочную флэху.Когда пришёл домой решил для начала посмотреть что там на компьютере у меня (ведь время отсчёта уже истекло) Пришлось восстановить диспетчер, регэдит и запуск антивира по указанным здесь инструкциям(спасибо автору), а в остальном всё работало как будто и не было этого вируса. Всё таки запустил скачанный CureIT, но он не нашёл указанного автором вируса, нашёл только один троянчик но он был другой разновидности и шестисотой серии) Наверно мне повезло и этот вир самоуничтожился)
22 января 2010, 6:05Leoo:
Помогите пожалуйста…
У меня код K210315100 на номер 4460…
Все перепробовала… ни чегоне помогает лайфСД удалил тока 4 вируса… но программы по прежнему не запускаються…
Курит вообще не запускаеться, AVZ4 тоже не запускаеться… востановить систему не дает, и войти в реестр тоже…
Помогите пожалуйста….
У меня остался один выход переустановка с форматированием….
Что еще можно попробывать? Меня тоже на работе скоро сожрут)))
Igorka Reply:
января 22, 2010 at 9:07
Попробуйте позвонить на указанный номер, если я правильно понимаю в России звонки на эти номера должны быть бесплатны. Может и правда там подскажут код и помогут разблокировать…
Aponja:
CМС с кодом K204415300 на номер 4460
Ответный код 61J185233
22 января 2010, 8:21Vladimir:
И снова здраствуйте! CureIT закончил проверку и к моему сожелению ничего н еобнаружил!!! подскажите что длать???
22 января 2010, 9:00Igorka:
Уважаемые посетители!
Вчера выполнив поиск, введя в яндексе предложенный Семеном телефон, нашел, что это телефон некой компании А1 АГРЕГАТОР. Зашел к ним на сайт и написал письмо, о том, что якобы заразился таким вирусом и попросил у них код.
Сегодня мне пришел следующий ответ (цитирую):
“Поддержка А1 Агрегатор №14 2010-01-22 02:00:34
Добрый день.
Вам необходимо обратиться в техподдержку.
8-800-555-01-02 для России.”
Поискав еще по этой теме действительно нашел информацию о том, что люди звонили и код им сообщали, но Интернет - это Интернет, поэтому насколько это правда не знаю…
Сам из Украины, поэтому позвонить не могу, если, кто захочет рискнуть и попробовать, отпишитесь пожалуйста.
22 января 2010, 9:05Aponja:
Тех поддержка есть, сам сегодня звонил и в течении минуты получил у них ответный код.
22 января 2010, 9:14Leoo:
я звонила… мне тожже сказали код…
Но до этого я уже попробовала лайфСД..который удалил 4 вируса и этот банер куда надо было вводить код исчез.. а программы по прежнему не запускаються…
Ни чего вообщем не помогает…пришлось винду переставлять..(((
Igorka Reply:
января 22, 2010 at 11:35
Спасибо, что отписали!
Если еще кто попробует отпишите.
В любом случае после того как код подойдет и баннер исчезнет, скачайте последний CureIT (или средство другого производителя), отключитесь от интернет и проверьте компьютер. Как разблокировать работу программ я уже писал, а также писал и посетитель bkmz.
Leoo:
так что у кого эта проблемма тока возникла лучше позвонить и все… темболее что вроде бесплатно.. ане пытаться что то удалить самой…
Igorka Reply:
января 22, 2010 at 11:39
Да, неопытным пользователям лучше, наверное, попробовать позвонить, вот только возникает вопрос, а надолго ли исчезнет вирус и почему? И зачем все это затевалось? В общем вопросов больше чем ответов…
Plast:
на всякий случай. народ пишет “При загрузке Java приложения подхватил какой то вирус” и дальше его точное описание…
22 января 2010, 11:51может поможет найти источник
Igorka:
Уважаемы посетители, только, что нашел, что на форуме компании A1 Агрегатор _http://forum.a1agregator.ru/viewtopic.php?f=8&t=1429 (скопируйте ссылку без первого знака подчеркивания) идет обсуждение ситуации с вирусом. Все это нечисто… И нужно как, то действительно давить на этих товарищей. Так как они обязаны знать кому из партнеров принадлежать обслуживаемые ими короткие номера. Там уже есть сообщения о том, что при отправке СМС было снято 600 рублей… Так, что ни в коем случае не отправлять СМС!
22 января 2010, 11:56Лейсан:
добрый день!
22 января 2010, 12:36При попытке проверить компьютер на вирусы он просто выключается. антивирусник тот который вы указали. Что дальше делать?
Plast:
странно!!! неужели никого не привлекут?
22 января 2010, 13:19AlexRed:
Почистил всё через загрузочный диск cureit’ом
Проверил всё в реестре,вирус пропал. но теперь у меня не запускается мой антивирус (drweb) пишет : “c:pr_files\drweb\drweb32w.exe невозможно открыть данную программу изза политики ограничения применения прог. обеспеч. За доп инфой обратитесь к сисадмину или откройте Просмотр событий”
(названия я сократил)
И когда хочу запустить таскменеджер пишет :”Диспечер задач отключён администратором”. Но в HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem указанного файла нету.
Igorka Reply:
января 22, 2010 at 13:40
Посмотрите здесь: http://igorka.com.ua/2010/01/12/nevozmozhno-otkryt-dannuyu-programmu/ чтобы запустить антивирус.
Посмотрите такой же ключ только в HKEY_LOCAL_MACHINE (по диспетчеру задач)
Реестр запускается? (regedit.exe)
gpedit.msc - запускается?
AlexRed:
regedit и gpedit запускаются.
таск менеджер нашёл в HKCU ( я препутал и почемуто искал в прошлый раз в HLM)
Антивирус тоже заработал. Спасибо большое,очень помог!!!
Igorka Reply:
января 22, 2010 at 14:17
Отлично!
Если можно скажите, есть ли у вас информация в каталоге System Volume Information ?
Чтобы получить доступ необходимо дать разрешения (только на чтение!, а затем снова убрать) для своей учетной записи на этот каталог или загрузиться с WinPE - тогда доступ будет. Очень прошу посмотреть там должна быть папка (папки) примерно с таким именем _restore{E3A7CD9E-C3A2-4256-A6FB-466C5E3F6FB9} в которой должны быть папки с именами RPxx, где xx - цифры
Bona25:
Нашел dll которая является вирусом это zald.dll сидела в папке C:\Windows\TEMP
С помощью диска ERD Commander 2005 зашел в автозапуск зараженной винды.
Вот с этой ветки грузится при старте винды
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“AppInit_DLLs”=”c:\\windows\\temp\\zald.dll”
Только надо сначала удалить путь к dll а потом грохать ее файл иначе винда нестратанет вообще.
22 января 2010, 15:27Потом грузился в безопасном режиме и через AVZ открыл реестр и по поиску нашел еще одну ссылку в рестре на zald.dll удалил ее и потом шлифанул Куритом свежим.
Shoom:
Igorka, спасибо за отличную статью!
У меня вот как было: тоже “заболел” сегодня, нашел вашу статью. А у меня 2 системы стоит, одна чистая (там только kido, который я заодно подлечил)) Сначала я почистил все temp, это не помогло.Все также regedit, taskmanager недоступны, а при запуске TotalCommander, Word и других популярных приложений начинается “работа Internet Security”. Потом посмотрел ваше видео по замене файлов реестра, сохранил болезную копию реестра, затем скопировал дефолтные из папки Repair, запустил…
Система долго ругалась на новое оборудование и ставила персональные настроики, но все путем. Никаких окон, подвисов и проч.
Из неприятного только повторная установка пары драйверов и сброс кряков, но это все мелочи, работать можно.
У меня к вам вопрос - а есть ли программа, с помощью которой можно было бы отредактировать сохраненные параметры реестра? А потом просто перезалью реестр обратно и все.
Igorka Reply:
января 22, 2010 at 16:03
Скажите в каталоге System Volume Information как я понимаю информации не было?
>>Система долго ругалась на новое оборудование
Да так и должно быть.
На самом деле редактировать реестр можно с помощью того же диска WinPE мое видео на эту тему здесь http://depositfiles.com/files/zsdy7ui2w Но в этом случае нужно точно знать где сидит вирус. Я к сожалению не помню все-все ключи куда его можно засунуть, но основные в статьях перечислены.
В вашем же случае сейчас можно открыть сохраненный “старый” реестр с помощью той же утилиты regedit уже из вылеченной Windows. Запускаете regedit. Выбираете в нем раздел HKEY_USERS, затем пункт меню - Файл - загрузить куст. Выбираете файл сохраненного реестра, например, SOFTWARE нажимаете Открыть и даете ему какое-то любое имя, например old_software. После этого раскрываем раздел HKEY_USERS и видим в нем раздел old_software. Ищем в нем ключи правим, но опять же нужно знать, что искать. Затем не забываем выбрать old_software и выполнить выгрузку куста. И т.д.
Shoom Reply:
января 22, 2010 at 16:47
> Скажите в каталоге System Volume Information как я понимаю информации не было?
Да, он все подмел, конь педальный…(( А вот за подсказку про редактирование через regedit - отдельное спасибо! Не думал, что можно так просто. У меня вот еще один вопрос остался: чистый реестр - это здорово, я уже убедился) Но не вылезет ли вир потом через какие-нибудь щели? Антивир Avira не нашел его следов в Windows… Или это потому, что я так хорошо Temp’s почистил? Ведь вряд ли.
Igorka Reply:
января 22, 2010 at 17:39
Все может быть… Если почитать комментарии к статье http://igorka.com.ua/2010/01/12/fajly-virusa-trojanwinlock715/ , то люди указывают еще некоторые места, где находили файлы вируса.
Можно также выполнить поиск по дискам на предмет файлов с временем создания за последние сутки (или когда появился вирус). Придется правда пробежаться по ним глазами и поискать подозрительные по названию (что-то наподобие как те что в статье), если найти хотя-бы одну dll, то можно посмотреть ее размер и задать для поиска файлы с таким размером (как правило dll для одного вируса одного размера).
Просканируйте компьютер несколькими бесплатными антивирусными утилитами, благо они есть почти у каждого производителя. В общем пробуйте, но осторожно :)
Shoom:
Сделал, как вы сказали. Помогло) Нашел пару-тройку длл. Буду смотреть, не появятся ли новые. Лучшим он-лайн сканером мною был признан http://www.kaspersky.ru/scanforvirus . А вот онлайн-Dr.Web смотрел на нехорошие dll, как на новые ворота.
Igorka Reply:
января 22, 2010 at 20:06
Спасибо за информацию!
А как касперский обозвал вирус в dll ?
Shoom Reply:
января 22, 2010 at 23:59
Packed.Win32.Krap.w
Bona25:
На мою например Касперский ругнулся так Trojan.Win32.Agent.dgba
Igorka Reply:
января 23, 2010 at 0:09
Спасибо, запишем :)
Николай:
Igorka, умоляю вас) расскажите как установить WinPE .. я скачал ваш, поставил на диск, после запуска через Ф8 при загрузке и выборе загрузка через СД привод он выводит что файл поврежден и невозможно запустить winpe .. это идет после вопроса на нглийском :”Загружать или не загружать… вот в чём вопрос..”
Igorka Reply:
января 22, 2010 at 23:45
Николай, тут есть несколько вариантов:
1. При закачке действительно был поврежден файл pebuilder.iso
2. Файл в порядке, но некорректно записался на CD-диск (писали на большой скорости, диск плохого качества и т.д.)
3. У вас sata-диск и в биосе выставлен режим работы enhanced (необходимо выставить compatible)
4. У вас настолько специфическое железо, что диск не может запуститься, так как не хватает драйверов (но я таких компьютеров еще не встречал)
Возможно есть еще варианты…
Предлагаю следующее. Я вышлю вам на почту маленький файл с расширением md5 с помощью которого можно проверить целостность файла pebuilder.md5. Для проверки можно использовать либо консольную утилиту md5sum http://mirror.centos.org/centos/dostools/ или утилиту с графическим интерфейсом http://www.md5summer.org/download.html
Если контрольная сумма не совпадет, значит проблема с файлом (нужно будет качать заново и желательно с другого компьютера), если совпадет, значит или плохо записан или и т.д…
Анна:
Спасибо за подробное описание решения проблемы, только благодаря им и ERD Commander избавились от этой гадости :)
Igorka Reply:
января 23, 2010 at 0:03
Анна, примите мои поздравления!
Алекс:
Привет пипл… Сталкиваюсь с этой проблемой во второй раз. В первый раз отправил смску, хоть и сняли 600р, но ничего, инет был срочно нужен. На код К206814000 дал код активации 1185793888.
Во второй раз решил подобрать код, но безуспешно.
итак попорядку…. пользовался Dr.Web CureIT и AVPTool. запустил винду в безопасном режиме, очистил папку Temp, в свободном пространстве от окна security воспользовался CureIT. Нашел 3 трояна, двух из них удалось удалить, третий почему то сослался в карантин. Окно security торжественно исчезло. сделал тем же дк. вебом полную проверку, но почему то винда пошла на перезагрузку. загрузившись, вновь показал это окно. AVPTool бесполезен, вышибает.
в компьютерных делах я не большой экспрет, но все же хочется разобраться с этой проблемой самому. Что посоветуете
Igorka Reply:
января 23, 2010 at 0:08
Читать статьи на сайте (кроме этой есть еще как минимум две), комментарии. Информации здесь уже достаточно, чтобы самому разобраться. Только просьба читать внимательно и не торопиться. Желаю удачи! Если нужна все же нужна будет помощь - помогу, но уже завтра. Организм требует отдыха…
IgorKa - Информационный ресурс » Сохраняем копию реестра Windows XP:
[...] (вымогатель СМС). Обсуждение его деятельности в статье Internet Security вирус позволяет сделать почти 100%-й вывод (почти потому, что к [...]
23 января 2010, 11:20alexxx:
Мда..
23 января 2010, 15:03Сегодня поймал такую вешь.
предпологаемо что с Контакта (приложений)..
если такое возможно…
k207115500 4460
Попробовал сделать чччто с помощью своей головы не помогло..
не какие приложения не работают.. как только доходишь до исходной папки с .exe файлами….
думаю сейчас винду снесу =) если не найдду решения =_=”"
Олег:
Когда пытаюсь записать WinPE с помощью Deep Burner в окошке инф-ии (где скорость указана и т.д.) пишет ошибку в виде
WRITER ERROR [ILLEGAL REQUEST(COMMAND SEQUENCE ERROR)]
В чём дело, подскажите???!
Igorka Reply:
января 23, 2010 at 17:05
Ответил в http://igorka.com.ua/2010/01/15/kak-zapisat-fajl-iso/comment-page-1/#comment-1790
Михаил:
Привет всем! Прочел все советы и тупо позвонил в службу поддержки, там мне любезно предоставили код разблокировки, вирус выключен, сканирую систему с целью его удаления! Всем спасибо!
Igorka Reply:
января 23, 2010 at 18:07
Михаил, спасибо за информацию!
Генадий:
Убедительная просьба помоч с кодом активации,позвонить не могу так как живу в прибалтике
код K207115600
Зарание большое спасибо!
Igorka Reply:
января 23, 2010 at 19:27
Геннадий, с кодом помочь не могу так как сам живу в Харькове. Возможно найдутся посетители, которые помогут вам и отпишут.
Андрей Reply:
января 26, 2010 at 15:41
Геннадий. Позвонил в службу поддержки.
Для 26.01.2010 код J16886436
Жмешь активировать, комп перезагружается и должно быть ОК.
Если это еще актуально
Александр:
Спасибо, тебе igorka большое, за эту статью, сегодня лечил свой, по твоему видео уроку.
вроде все встало на свои места, правда после чистки реестра (в winPe) не запускалась система с выбором пользователей раза 3 (ошибка и отрубание), потом запустил в безопасном, и после этого все вроде как гладко..
вообщем спасибо!
Igorka Reply:
января 23, 2010 at 21:29
Александр, вам спасибо за комментарий. Если можно также ответить на вопрос была ли информация в папке System Volume Information на диске C: ?
Рекомендую также обратить внимание на статью по сохранению файлов реестра http://igorka.com.ua/2010/01/23/soxranyaem-kopiyu-reestra-windows-xp/ , к которой также есть видео http://depositfiles.com/files/uzm8ju416 . При наличии таких копий достаточно было бы восстановить реестр из архива, но как сообщают посетители вирус уничтожает файлы в стандартном месте размещения…
Александр Reply:
января 23, 2010 at 22:06
На счет папки Sysytem Volume Information сказатьне могу, тк у меня стоит отметка “отображать скрытые файли и папки” все равно не видно ее, пробывыл в строку прописать прав нету…
а копирывать мой покалеченный реестр наверное нету смысла..??
Igorka Reply:
января 23, 2010 at 22:13
Александр необходимо еще выбрать снять “птичку” в свойствах папки “скрывать системные и защищенные папки”, тогда System Volume Information будет видна и тогда на нее можно будет дать права, чтобы посмотреть сохранилась ли там информация. Если нет возможности скачать видео на эту тему, то можно еще посмотреть Пуск - Программы - Стандартные - Служебные - Восстановление системы. Если точек восстановления нет, значит и копий реестра нет…
Копировать реестр с компьютера на котором был вирус не очень желательно, но если сейчас все работает, то можно, только отметить как-то, что это за реестр.
Александр Reply:
января 23, 2010 at 22:22
Спасибо, посмотрев видео доступ открыл..
Там обитают 2 файла : MountPointManagerRemoteDatabase и tracking (тесктовый документ)
Igorka Reply:
января 23, 2010 at 22:28
Тоже чисто… что позволяет сделать вывод, что раз вирус чистит эту папку значит его запуск действительно полностью зависит от реестра. Кстати проверьте в свойствах “Мой компьютер”, на вкладке “Восстановление системы” не установлена ли “птичка” - “Отключить восстановление системы на всех дисках”, и если можно отпишитесь :) Спасибо.
Александр Reply:
января 23, 2010 at 22:32
У меня восстановление системы отключено связанно с груповой политикой..
Кстати я пробывай разблокировать Аваст, удалил все файли из каталога с котодом из Просмотра событий, не вышло все равно блочит он его …
Igorka Reply:
января 23, 2010 at 22:43
То есть это вы отключили восстановление системы?
>>Удалили все файлы из каталога с кодом…
Имеется ввиду из раздела реестра?
Александр Reply:
января 23, 2010 at 23:28
НЕт, у меня вкладки такой нету, а пунк восстановление системы не открываеться.. выдает что отключенно из за политики..
да удалил все файлы из раздела реестра помойму весь раздел удали (типа {8a111-f48210…})
после перезагрузки аваст заработал.. (какой вообще антивирус посоветуете?)
Александр Reply:
января 24, 2010 at 11:28
Еще хочу добавить, вчера была полная проверка авастом, обноружил два нехороших файла, но лечить/удалить их нельзя..
http://s59.radikal.ru/i165/1001/58/500b49158e19.jpg
Bona25:
Для инaормации. Только с сегодняшнего дня Курит стал определять эту заразу, сам тестил на заразной dll, Каперский уже вчера внес в свои обновления ее.
Плиз кто поймал его напишите как вы его словили? соглашались с загрузкой чего нибудь типа обновления флеш плеера? или просто перешли по ссылке? работал у вас при этом антивирус были обновлены базы?
Igorka Reply:
января 23, 2010 at 21:59
Хочу сделать уточнение, что речь вероятно идет о более новой модификации вируса. Та модификация, которую подхватил работник нашего предприятия (скриншот в статье) CureIT опознал еще 11 января (см. скриншоты http://igorka.com.ua/2010/01/12/fajly-virusa-trojanwinlock715/ ). Вероятно у вас была более новая модификация, которую CureIT не опознавал.
Скажите, а как вы поймали этот вирус?
Bona25 Reply:
января 23, 2010 at 22:34
Ща все расскажу :)
У меня поймали на работе в бухгалтерии, там был подведен инет для отправки отчетов в налоговую, но там сидит бабка которая в нете вообще не лазит. Но есть в окружении расшареные папки с других компов вот и думаю как либо через сетку либо все-таки кто просто с её компа лазил куда-нить.
Bona25 Reply:
января 23, 2010 at 22:39
А меня позвали когда уже все было сделано и на экране горела знаменитая табличка :)
Виктор:
Здравствуйте!
Вот, к примеру, такие выловил СureItом сегодня…
И сейчас еще сканирую.
rasadhlp.dll C:\Program Files\Internet Explorer; Trojan.Winlock.938
rasadhlp.dll C:\Program Files\Mozilla Firefox;Trojan.Winlock.938
A0018557.dll C:\RECYCLER\S-1-5-18\Dd1\RP68;Trojan.Winlock.938
A0018558.dll C:\RECYCLER\S-1-5-18\Dd1\RP68;Trojan.Winlock.938
Dc1.dll C:\RECYCLER\S-1-5-21-299502267-1606980848-725345543-
1003;Trojan.Winlock.938
gz.dll C:\WINDOWS\system32;Trojan.Winlock.938
hakgtg.dll C:\WINDOWS\system32;Trojan.Winlock.938
hzgocnkeu.dll C:\WINDOWS\system32;Trojan.Winlock.938
jkv.dll C:\WINDOWS\system32;Trojan.Winlock.938
l.dll C:\WINDOWS\system32;Trojan.Winlock.938
mssrv32.exe C:\WINDOWS\system32;Trojan.DownLoader.26661
nldk.yxo C:\WINDOWS\system32;Trojan.Siggen.48405
pr.dll C:\WINDOWS\system32;Trojan.Winlock.938
sdra64.exe C:\WINDOWS\system32;Trojan.PWS.Panda.217
wzcneum.dll C:\WINDOWS\system32;Trojan.Winlock.938
xjh.dll C:\WINDOWS\system32;Trojan.Winlock.938
xsfh.dll C:\WINDOWS\system32;Trojan.Winlock.938
Igorka Reply:
января 24, 2010 at 9:52
Виктор, спасибо большое за информацию! Надеюсь с вирусом справились.
Женя:
Игорь, огромное вам спасибо за вашу помощь!! В течение трех часов следуя вашей инструкции вирус был удален,Trojan.Winlock.938.
Обновил AVG fre edition 9.0 и делаю еще один скан , рестер почистил, диспетчер вернул!!Впредь постараюсь не попадатся на этом!!
Удачи вам, здоровья, счастья!!
Igorka Reply:
января 24, 2010 at 18:42
Всегда пожалуйста. Заходите еще, только уже просто так (не на тему борьбы с вирусом) :)
Надеюсь, что больше он вас не потревожит :)
И спасибо за идентификацию мерзавца. Прошло две недели, а он уже с Trojan.Winlock.715 до Trojan.Winlock.938 дорос…
владимир:
Три дня уже убил и ничего не помогает.
24 января 2010, 19:13Ни Касперский и кто другой,ставил полтора десятка антивирусов никто ничего не видит ,видимо ребята которые его создали действительно гении ,будь они не ладны,а у КАСПЕРСКОГО и других работают ИДИОТЫ!За что дают им госпремии….
Роман:
IgorKa, спасибо огромное :))
Аналогично предыдущему комментатору словил я Trojan.Winlock.938 и, следуя Вашим инструкциям, благополучно его удалил.
Единственно, не запускается у меня теперь “восстановление системы”. Напишите, пожалуйста, где какую галочку нужно поставить, чтобы оно запускалось :) И что делать, если другие программы вдруг тоже откажутся работать? Диспетчер задач, реестр и антивирус уже разблокировал, опять же по Вашей инструкции.
И еще вопрос: целесообразно ли при помощи “восстановления системы” делать откат реестра на 2 дня назад (на момент “до заражения”)?
Роман Reply:
января 24, 2010 at 19:47
Вот, кстати говоря, о природе этих вирусов, (если кто не знает).
Прячутся они, насколько я могу судить во всяких программках, которые все мы периодически скачиваем из сети: утилитах, кряках к играм итд.
Я тут недавно в совершенно неожиданном месте прокололся. Искал жене материалы по экономике, зашел на какой-то сайт с электронными книжками, там мне предложили скачать специальную программу для скачивания электронных книжек с этого сайта. Подумал еще, что больно всё мудрёно как-то. Скачал, установил. При установке мне, как обычно, предложили принять лицензионное соглашение. Принял, конечно. А на следующий день выяснилось, что в самом конце этого соглашения, после уймы пунктов на тему того, что я обязуюсь не использовать продукт в коммерческих целях итд, есть пара абзацев следующего содержания:
прога является платной, но вы можете не платить, тогда вы обязуетесь 1000 раз посмотреть нашу рекламу (порнографической продукции, естественно). Чтобы её отключить, отправьте смс итд итп. Окно с рекламой выскакивало примерно каждые 10 минут поверх всех окон, и ни сдвинуть его, ни свернуть. Закрыть можно, но закрывается только через минуту после нажатия. В общем, практически полностью парализует работу за компом, пока тыщу раз не просмотришь. Причем, этой проги нет в списке “установка и удаление программ”, никак её не сотрёшь. Пришлось сделать откат реестра на сутки назад - помогло. Так что читайте лицензионные соглашения всяких подозрительных продуктов :))
“Интернет секьюрити”, как оказалось, сделан гораздо более грамотно, чем вышеупомянутый вирус - блокирует всё напрочь. А поймал я его, похоже, тоже вместе с каким-то лицензионным соглашением. Любим мы дважды на одни грабли наступать :)
Igorka Reply:
января 25, 2010 at 8:03
Роман, спасибо большое за подробный, развернутый и полезный комментарий.
Роман Reply:
января 24, 2010 at 21:55
АПД: с восстановлением разобрался, нашёл в “групповой политике”. :) Вопрос о целесообразности отката остаётся в силе
Igorka Reply:
января 25, 2010 at 8:15
Роман, вопрос с откатом интересный, так как если все правильно пишут посетители сайта, то вирус очищает каталог c:\system volume information в котором хранится информация для отката системы. То есть у вас не должно быть точек восстановления.
Было бы интересно узнать так это или нет?
Если бы точки отката сохранялись, то достаточно было бы (теоретически, практически к сожалению не проверял) восстановить реестр как это показано здесь http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/ . Тогда вирус не активировался бы, приложения запускались бы и достаточно было удалить сами файлы вируса с жесткого диска.
Роман Reply:
января 25, 2010 at 11:18
Да, точек восстановления действительно нет, Вы правы :)
Обнаружилась ещё одна проблема - перестал обновляться антивирус (НОД). Может, тоже где-то запрет стоит, но я пока не нашёл. Не подскажете, с чем это может быть связано?
Igorka Reply:
января 25, 2010 at 11:20
По ноду не подскажу, так как я его не использую давно.
Роман Reply:
января 25, 2010 at 20:39
Игорь, Вы удивительный человек. Потрясающее терпение и готовность бескорыстно помогать людям - большая редкость в наше время. Было бы побольше таких людей - мир был бы гораздо светлее. Пусть у Вас всё всегда получается. Спасибо Вам ещё раз :)
ЗЫ: с нодом разобрался
Igorka Reply:
января 29, 2010 at 9:48
Роман, стыдно признаться, но только сейчас увидел ваш комментарий…
Спасибо большое за теплые слова.
Павел:
Спасибо огромное автору! благодаря советам поборол зловещую бяку=)
24 января 2010, 22:36Витя:
Здравствуйте,а если CureIT не хочет запускаться в WinPE, что делать? Спасибо.
Igorka Reply:
января 25, 2010 at 8:08
Виктор, варианты есть разные. Можно править реестр, руками, а затем запускать антивирус из Windows (не забывайте отключать компьютер от сети). Можно восстановить реестр из каталога С:\windows\repair, но тогда придется переустанавливать почти все приложения и т.д.
Витя Reply:
января 25, 2010 at 18:40
Спаибо большое разобрался. Кроме Trojan.Winlock.938 ,был найден Backdoor.Tdss.565 и Backdoor.Tdss.1866 и Win32.HLLW.Autoruner.based, ещё раз большое спасибо.
Димас:
Тоже подцепил 938 вирус, сегодня его убил с помощью выше описанного способа- через ERD Commander 2005, через куреиТ НАШЕЛ НЕСКОЛЬКО длл файлов в систем 32, все удалил. потомнашел еще одну проблему- не запускается каспер, даже установив заново- выдавало сообщение о “невозможно открыть данную программу из-за политики ограничения применения и т.д”
поискал в инете и нашел что вирус делает запрет на запуск приложений из папки каспера и нода. Думал дело где то в групповой политике, оказалось что в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers])
очистил папку CodeIdentifiers и все исправилось.
Igorka Reply:
января 25, 2010 at 10:04
Да все верно.
О том как разблокировать антивирус писал здесь http://igorka.com.ua/2010/01/12/nevozmozhno-otkryt-dannuyu-programmu/
Ключик скорее всего вот такой HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
Спасибо за отзыв!
Анна:
В общем рано я радовалась…
Сейчас опять похожие симптомы: диспетчер и любые приложения не запускаются, реестр изменен, но дрянь с активацией не вылезла. С момента заражения компьютер стоял без подключения к интернету. Symantec и свежий CureIt в упор ничего не видят…
Igorka Reply:
января 25, 2010 at 11:16
Вот это уже интересно. Спасибо, что отписали. Значит сидит еще где-то… Эх мне бы хоть один такой компьютер, еще раз…
Igorka Reply:
января 25, 2010 at 11:22
Анна, если возможно, коротко какие шаги вы делали, чтобы избавиться от вируса?
Анна Reply:
января 25, 2010 at 11:40
В общем-то шагов никаких и не было, т.к. антивирусы его не видят..
1. LiveCD и проверка на вирусы
2. ERD Commander и настройка реестра
3. Фуллскан CureIt.
В первый раз, начитавшись отзывов в инете, что вирус удаляется сам через 2 часа, успокоилась. Все выходные никаких проблем, а сейчас опят началось.
В реестре прописывается только в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, пункт AppInit_DLLs.
Остально вроде все чисто. К сожалению, мои знания компьютера не могут позволить покопаться более глубоко.
Igorka Reply:
января 25, 2010 at 12:29
Странно, что CureIT не видит… Пишут люди, что CureIT находит этот вирус только уже с названием Trojan.Winlock.938. Может быть вы ищете CureIT, который входит в LiveCD с сайта DrWeb? Пишут, что антивирус с LiveCD с сайта DrWeb действительно этот вирус не видит.
Анна Reply:
января 25, 2010 at 13:12
Сейчас проверила винт на здоровом компьютере авастом. Нашел profiles_admin_file[1].exe, говорит Trojan.Packed
Igorka Reply:
января 25, 2010 at 13:14
Анна, напишите пожалуйста путь, где был найден файл.
Анна Reply:
января 25, 2010 at 13:21
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5
Igorka Reply:
января 25, 2010 at 13:32
Анна, спасибо!
Только сейчас заметил, что в статье была ошибка вместо C:\Documents and Settings\имя профиля\Local Settings\Temporary Internet Files\Content.IE5 написал C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5
Жаль, что никто не поправил до этого времени…
zhir:
Всем привет! Вчера вечером заполучил на свой ноут такой вирус. Хорошо что я заходил с рабочего стола простого пользователя. Спасибо создателю сего сайта за полезную информацию. Я решил проблему следующим способом - позвонил по указанному выше телефону и получил код для разблокировки компа.
25 января 2010, 15:33Antoha:
Тоже поймал…Обязательно звоните 8 800 5550102,дают код разблокировки…потом почистил клинером,нод ничего не находит…возможна реинкарнация?
25 января 2010, 15:42Bona25:
Для информации файл запуска вируса из ветки
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“AppInit_DLLs”=”…………”
прописывался на одной машине в папку Temp, на другой в папке Windows\Fonts
вылавливал еще в папке dllcache
Igorka Reply:
января 25, 2010 at 16:16
Спасибо за информацию!
LeX:
На прошлой недели удалял такой вирь у друга. Большое спасибо вам за статью, очень помогла. Возможно была какая то модификация этого виря т.к. gpedit.msc запустить не удалось.
Igorka Reply:
января 25, 2010 at 17:11
Пожалуйста.
А какая операционная система у друга?
LeX Reply:
января 25, 2010 at 21:30
Да, забыл указать - xp sp3 pro
zeny86:
Здравствуйте, помогите пожалуйста!!!
Два дня назад появилась таблица internet security обнаружил вредоносное по…. и просит отправить смс с кодом К212015200 на номер 4460.
Проверили онлайн антивирусом , обнаружили trojan.winlock938 1950шт, на утро еще раз проверили и обнаружили еще 951. Все успешно удалились с помощью антивируса. Но проблема в том что теперь не загружается ни один антивирус и часть сайтов в интернете не открывается, а особенно официальные сайты антивирусов.
Подскажите что делать???
Igorka Reply:
января 25, 2010 at 18:31
Здравствуйте,
Не знаю, что еще можно добавить… все вроде как описал, что знал по этому вирусу.
Нужно править реестр, проверять антивирусом и т.д. В статьях на сайте есть информация.
zeny86 Reply:
января 26, 2010 at 9:56
А где этот реестр находится и как его править?
Igorka Reply:
января 26, 2010 at 10:15
Попробуйте прочесть здесь http://ru.wikipedia.org/wiki/Реестр_Windows или ввести в поиске “Что такое реестр Windows”
zeny86 Reply:
января 26, 2010 at 11:52
Спасибо я поняла, сегодня антивирус ничего не нашел.
А какие файлы удалять из реестра? И как потом восстанавливать все?
Igorka Reply:
января 26, 2010 at 12:02
Если читали статьи
http://igorka.com.ua/2010/01/12/nevozmozhno-otkryt-dannuyu-programmu/
http://igorka.com.ua/2010/01/12/fajly-virusa-trojanwinlock715/
а также эту и ничего непонятно, то, думаю, самым лучшим вариантом будет пригласить специалиста, который поможет разобраться с ситуацией.
К сожалению не располагаю достаточным временем для того, чтобы все объяснить по другому :(
zeny86 Reply:
января 26, 2010 at 14:47
просто там написано для людей которые очень хорошо знают все а я некоторое даже понять не могу((((
prst:
Вечер добрый! сегодня столкнулся с I.S., мучился, но помогла ссылка http://www.drweb.com/unlocker/index/, подобрал код, и вроде все путем, если бы не одно “НО”… полазал в реестре, проштудировал dr.web, AVZ, Malwarebytes, и ничего не нашел! чего делать? восстановление системы сделать не получается! Хотя и было включено, стоит сегодняшняя дата, последние программы которые устанавливал были видеоконвертеры, 21.01. но точку не создало!!! Чего делать-то?
Заранее благодарен за любой дельный совет!
Igorka Reply:
января 25, 2010 at 22:49
Трудно сказать. Пока не будет понятно кто и зачем все это затеял, трудно советовать… Я систему, скорее всего переустановил бы. Но мне просто - я могу ее за 15 минут поднять из бекапа. Что делать вам - вам и решать. Если переустановить систему для вас не составит труда - переустановите, если проблематично, тогда можно рискнуть поработать в этой системе.
prst Reply:
января 26, 2010 at 21:30
продолжение! вчера и сегодня, пытался весь день включить комп! у меня стоит пароль для пользователя, НО вся соль в том, что при загрузке выходит какое-то окошко до входа в систему под именем, с крякозябрами. Нажимаю ок, и вот в чем беда-то… клава не работает!!! (у меня ноут) 2 дня колдовал, бил в бубен, в итоге, дошло, перезапустеить последний удачный запуск! в безопасном режиме работать не хотел! в итоге, перекидываю инфу на другой комп, переустановлю винду. Просто очень интересно… кто-нибудь соображения выскажет? )))
p.s. сам не програмист, просто люблю поковыряться!
Степан:
Добрый день, такая же проблема, скачал с сайта wpе, сделал загрузочный диск, пробовал с него загрузиться, вроде всё пошло, но потом вылетело быстрое окно, типо мало памяти(озу 2 гига) и вылетело всё, может что посоветуете с запуском wpe ?
Степан Reply:
января 25, 2010 at 20:42
Подключил другой жёсткий диск, попробовал с него запустить кьюр ит, начал проверять инфицированный жёсткий диск, найдя видимо что-то система пошла на перезагрузку…
Степан Reply:
января 26, 2010 at 9:44
Проблему почти решил только подключением второго жёсткого диска с чистой системой, почистил всё, проблема осталась только с подключением к интернету, через 192.168.1.1 вроде попадаю в настройки модема, всё настраиваю, а браузеры вообще не реагируют
Карим:
В общем, всё сделал по инструкции, всё работает, всё запускается. Вот только в диспетчере задач нельзя меня приоритет у процессов и отключать некоторые из них. Незнаю даже где проблему искать.
Карим Reply:
января 25, 2010 at 21:59
Выводит при поытки завершить процесс или изменить приоритет такую ошибку:
“Невозможно изменить приоритет.
Операция не может быть завершена. Отказано в доступе.”
По все инструкциям прошёлся, всё сделал, а ошибка вылезает. Странно. Возможно, перезагрузка поможет компьютера, но сейчас аваст сканирует уже второй день полностью компьютер и только до половины дошёл.
Уверен, что раньше такого не было, все процессы(те же самые, что сейчас запрещены) изменяли приоритеты и отключались.
Спасибо.
владимир:
подошел код 544625144
25 января 2010, 22:19для К207815000 на 4460
Igorka:
Доброе утро
26 января 2010, 7:44Могу еще посоветовать использовать для проверки системы такую программу как AVZ. Скачайте ее с официального сайта, обновите базы и запустите сначала обычное сканирование, а затем выполните операцию из меню Файл - Исследование системы. AVZ, спросит куда сохранить файл отчета, укажите куда (это будет html-файл) и после окончания посмотрите отчет. Особенно раздел Подозрительные объекты.
Igorka:
В каком “этом”? Если можно конкретнее.
26 января 2010, 8:23master20031:
trojan.winlock938 был на компьютере, реестр был чист, т.е. проверен через ERDcom, удалить получилось только после ввода уневерсального кода, дальнейшая проверка CureIT выявила 2 файла:
26 января 2010, 8:36connect.hlp:aBO3eC - c:\windows\help и secpol.msc:aBO3eC - c:\windows\system32
CureIT удолил их без проблем.
Сергей:
Что делать? Был смс К206015000 на номер 4460. Позвонил в Агрегатор, дали код 56K32Y64, помогло. Начал чистить и словил 1702007 на номер8353. Снял винт и просканировал CureIT и Касперским. Нашлась разная гадость и удалилась. Принёс винт домой, вставил. Винда грузится, доходит до рабочего стола и всё. Только фон рабочего стола и ни одной кнопки и иконки. Ctrl+Alt+Del выводит табличку “Диспетчер задач выключен администратором”. ERD Comander не видит ни одной точки восстановления.
Igorka Reply:
января 26, 2010 at 9:31
Сергей, наберите в поиске (яндекс, гугл) фразу “Не запускается рабочий стол”, и получите массу вариантов. К сожалению, не успеваю отвечать на все вопросы подробно, поэтому предлагаю поступить так. В двух словах, либо опять же реестр нужно чистить, либо были заражены файлы необходимые для запуска explorer.exe или сам файл explorer.exe. В любом случае будьте аккуратны.
Сергей:
Спасибо за оперативный ответ! Буду пробовать.
26 января 2010, 9:39Владислав:
Большое человеческое спасибо за ваш труд и помощь!!! Благодаря вашим рекомендациям вирус удалил , единственно что с флешкой не получилось, может какие-то определенные параметры должны быть у флешки ?
Владислав г.Хабаровск.
Igorka Reply:
января 26, 2010 at 10:58
Пожалуйста :)
Владислав, по поводу флешки, не могу сказать, что это должна быть какая-то особенная флешка, но как я уже говорил, такие случаи у моих колег в практике были (флешку никак не удавалось сделать загрузочной).
Nik:
Отличные советы.
Стоит только добавить что образы, бекапы, и точки восстановления помогают очень.
А еще сидеть с правами юзера…
А еще хороший сайт вируслист.
Igorka Reply:
января 26, 2010 at 13:35
Спасибо. Стараюсь.
Об образах, бекапах и точках восстановления немного здесь:
http://igorka.com.ua/2010/01/16/ghost-vosstanavlivaem-windows-video/
http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/
http://igorka.com.ua/2010/01/23/soxranyaem-kopiyu-reestra-windows-xp/
Конечно, есть и другие средства и возможности. Но обо все все равно не напишешь :)
Igorka Reply:
января 26, 2010 at 13:37
На работе пользователи так и работают - только с правами юзера.
Валерий:
Добрый день,
Вирус удалил с помощью утилиты AVZ, все вроде чисто, начал выполнять по пунктам что Вы написали для разблокировки реестра -
Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система. Дело в том, что у меня почему-то в папке административные шаблоны две папки - Windows Desktop search и Компоненты Windows, папки Система я не нашел :( Во вложенных папках ярлыки на английском, но про упоминание реестра я ничего не нашел. Есть какие-нибудь мысли по этому поводу? Винда XP Проф SP3.
Спасибо!
Igorka Reply:
января 26, 2010 at 15:12
Валерий, попробуйте запустить cmd (Пуск-Выполнить-cmd)
и в нем выполнить такую команду
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableRegistryTools /t REG_DWORD /d 0 /f
Валерий Reply:
января 26, 2010 at 16:17
Спасибо! Кстати разобрался почему у меня не было такой папки - правая кнопка мыши на адм. шаблоны - добавить шаблон и выбрать файлик system.adm
Все работает, Спасибо большое)
Ali:
Просил отправись смс K212015200 на номер 4460. Позвонила на номер 88005550102, дали код 937774N98, ввела, комп перезагрузился, сейчас все запускается! начала сканировать Dr.Web , находит Trojan.Winlock.938, все в систем 32!
26 января 2010, 14:29Макс:
у меня код был на *********700,
26 января 2010, 15:24за статейку,как сейчас говорят - респект,почти до всего сам дошёл с пом. лайв сд, правда пока другой хард лечил - на свой цепанул.
добавлю - в систем 32 курит нашёл ещё и файлик kilna.dll
пока в процессе - ещё 2 часа до окончания скана ждать=(
Макс:
хочу добавить - блокирует он диспетчер сразу, косвенный симптом - невозможность сменить раскладку, окошко- после ребута.
26 января 2010, 15:31Константин:
Internet securiti, смс К207815100 на 4460 (Trojan.Winlock.938)
подошел 544625144
Не отображаются все вышеперечисленные системные папки=) (Windows,Local Settings) приходится писать адрес вручную.
CCleanerом почистил. Жду завершения работы CureIT.
Что следует еще предпринять?
admin Reply:
января 26, 2010 at 16:41
Константин, в проводнике в свойствах папки снята “птичка” - “Скрывать системные и защищенные файлы” ?
Пётр:
В общем, всё сделал по инструкции, всё работает, всё запускается. Вот только в диспетчере задач нельзя меня приоритет у процессов и отключать некоторые из них. Незнаю даже где проблему искать.
[Ответить]
Карим Reply:
января 25, 2010 at 21:59
Выводит при поытки завершить процесс или изменить приоритет такую ошибку:
“Невозможно изменить приоритет.
Операция не может быть завершена. Отказано в доступе.”
По все инструкциям прошёлся, всё сделал, а ошибка вылезает. Странно. Возможно, перезагрузка поможет компьютера, но сейчас аваст сканирует уже второй день полностью компьютер и только до половины дошёл.
Уверен, что раньше такого не было, все процессы(те же самые, что сейчас запрещены) изменяли приоритеты и отключались.
Спасибо.
Такая же проблема!! Что делать??
admin Reply:
января 26, 2010 at 16:40
Пётр, то что вы не можете завершить работу некоторых процессов, это нормально, вы и раньше не могли завершать работу некоторых процессов. А вот, что с приоритетами не могу сейчас ответить. Нужно смотреть.
Пётр Reply:
января 26, 2010 at 17:01
Просто у многих процессов нельзя теперь меня приориеты, когда раньше можно было. Вылезает та же самая ошибка, всё делал по инструкции.
Вальдемар:
Примерно такая же байда, только после рекламной надписи идет типа сканирования, с выдачей кучи вирусов которых в принципе на машине и отродясь небыло. предлагает лечить (наверное хозяина), удалить, и изолировать. после нажатия любой из кнопок выходит отправьте …… на номер 4460 с текстом К208815200. Отсчет времени с каждой перезагрузкой начинается с 23:35. Блок хороший столкнулся с таким в первый раз ни диспетчер ни редактор не работают, а все остальное частично. Даже самому интересно кто кого.
Пётр Reply:
января 26, 2010 at 20:16
Так вы по инструкции всё сделайте, и тогда уж точно вы его. :)
Андрей:
У всех,кто поймал этот вирус,хочу спросить-ХР у вас позволяла делать автоматически загрузки файлов безопасности от Microsoft-а.!При выключении компа,он попросил поставить обновление и выключился.Совершенно случайно я его тут-же включил и получил по полной программе.При проверке,один из файлов KB955069 содержал вирус. Основной вирус Winlock938 находился в анти-вируснике,и никак не хотел уходить.DrWeb его нашел только при полном сканировании ,и то со второго раза и с другой системы.Не пытайтесь постоянно вводить ключи методом подбора-эта зараза постоянно размножается и забивает все что можно инельзя.Подскажите как вернуть ярлык “Восстановления Системы” в окошко “Система” у через реестор.
Igorka Reply:
января 26, 2010 at 21:47
раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
Найти параметры disableSR и DisableConfig и установить их в ноль (параметр DisableConfig можно удалить вообще) или через групповую политику. Запускаете gpedit.msc
смотрите в Конфигурация компьютера - Административные шаблоны - Система - Восстановление системы
Будут два параметра: Отключить восстановление системы и отключить конфигурацию.
Каждый сначала поставить в значение “Включен, а затем поставить в “не задана”.
karlos:
Igorka, подскажите, мож я че не так делаю. скачал ваш лайв сиди, iso сразу залил на диск через неро, далее вставил в комп и принудительно через esc выбрал cd-rom, винда загрузилась, но данный вирус выполз вновь. Через биос поставил принудительно сидюк, но таже картина. Я все правильно делаю или чего то не допонял?
26 января 2010, 23:06Андрей:
Бальшое спасибо.У меня стоит HOME XP и нет gpedit-а Я открывал эту ветку реестра, там стояли “1″.Переключил в”0″ и перезагрузился,но это не спасло.Тогда я их просто удалил и все заработало.Точек восстановления нет,так-что надежда умерла.После проверки DrWeb.,два раза,на двух ОС,СТОЯЩИХ НА РАЗНЫХ ДИСКАХ, что заняло двое суток, скачал и запустил Malwarebytes” Anti-Malware.Он нашел еще 8(восемь)папок с вирусом на обоих дисках.Остался один вопрос-как вернуть себе права администратора и закрыть их для других и что эти сволочи еще изменили в настройках? Боюсь,что это только разведка боем и ягодки все впереди.Простое введение кода активации от основной напости не спасает,а только продлевает аггонию.Эсли не жалко информации на дисках,то самый быстрый способ -это format,это быстрее,чем трое суток борьбы с поддержкой интернета. И ещо надо учитывать,что эта сволочь блокирует загрузку с флоппи-диска и пришлось отклучать батарейку иставить заводские параметры в БИОСС.Ну и придумали развлекуху! Скоро слова РусХакер начнут склонять по всем матушкам во всем Мире.
27 января 2010, 2:44Андрей:
Такие вирусы мы обычно по доброй воле сами себе ставим, когда какой-либо нужный нам сайт предлагает установить их специальное приложение… Иначе он откажется работать… И оно потом делает нам мозг…
27 января 2010, 6:09ЛЮДИ НЕ СТАВЬТЕ ВСЯКУЮ ХРЕНЬ С ИНЕТА! ПРОВЕРЯЙТЕ ПО ПЕРЕД ТЕМ КАК УСТАНОВИТЬ! И всё будет шоколадно…
simich:
поймал позавчера этот вирус. только версия его уже была девятьсоткакая-то.
27 января 2010, 8:26решил проблему загрузкой винды с диска XPE и проверкой cureit. проверял часов 6. помимо этого вируса нашлись еще 6 каких-то других.
спасибо, Igorka, за информацию о восстановлении диспетчера задач, антивируса и редактора реестра. сейчас буду смотреть чистку реестра.
кстати, поймал его на сайте вконтакте.ру. касперский пропустил его как родного.
Андрей:
не знаю у кого как но лично я скачав новый CureIT загрузившись черз диск, и начав проверку, CureIT ничего не выявил, думал, что где то я ошибся, скачал новый, тоже пусто, сейчас пытаюсь поймать эту заразу через ClamWinPortable, но что то уж очень медленно он проверяет, у кого то ещё были проблемы с выявлением через CureIT? поймал его видимо вчера, но ещё не поборол, сносить винду уж очень не охота….комментариев конечно много, вот мне и интересно, уже есть под заразу, что то, что действительно работает, с наименьшей потерей времени?
27 января 2010, 9:01п/с спасибо за ответ)
Женя:
Эээхх не прошло и два дня как снова меня посетил этот же вирус, ну чтож буду опять искоренять сие зло!
Igorka Reply:
января 27, 2010 at 10:09
А я все никак не могу заразить свою виртуалку… И ноутбук, который приносили, тоже пока работает :( Так бы еще повоевал, посмотрел. А как произошло заражение можете описать?
Женя Reply:
января 27, 2010 at 10:15
Да сутра включаю,смотрю опять на панельке моего AVG 9.0 не видать, я уже начинаю подозревать, жму cureIT и вот он красавчик снова выскакивает!
А как подцепил сложно сказать, в контакте убрал все приложения которые я изначально подозревал как виновники.Перед сном вчера на fishki.net включил флэш игру может из-за неё?
А также какчал игру с piratebay.org
Воот… вроде всё!
Igorka Reply:
января 27, 2010 at 10:19
Спасибо, попробую тоже вечером зайти на эти сайты.
Андрей:
Привет всем! Хочу поделится мыслями.Сына хапнул красного Internet Секьюрити на ВКонтакте. Прошелся по статьям в инете. Люди ругаются, вирус модифицируется. С ранними модификациями можно было откатом системы, восстановлением и т.д боротся. Но этот свежий. Ему все до лампочки. Как будто тот, кто пишет вирусы все читает как там пиплы с ним борятся. Вообщем позвонил по выше указанному телефону и милым голосом мне сказали код разблокировки и что компьютер сам перегрузится. Не послали куда подальше. Единственно что еще не посоветовали доктором потом пройтись, ну это было-бы слишком. Потом по Вашему совету прошелся бесплатным курейтом, сначала быструю, а потом полную проверку. В результате 48 вирусяг последнего поколения и ненавязчивое предложение купить полный пакет (иначе ну ты понял…). Вот думаю это-же чистая реклама. Зачем скажите гению-хакеру писать кучу вирусов (модификация за девятисотый), распространять их в инете, если это только кормит антивирусников, и если он у них не на службе. Да и для этого одного хакера мало. Нужна целая команда. А смс-ки это только для отвода глаз. Думаете это хакер зарегистрировал короткие номера, и денежки снимает. Да его-бы тут-же у кассы и взяли. А кто платит операционисткам и поставляет им свежие генераторы кодов. Вот и подумайте, кто за этим стоит. Но это все-же мои догадки. И спасибо, Igorka за поучительный сайт. Да. А диск WinPE не пошел. на 2 сек. выскочило окно (сфоткал и прочитал) что виртуальной памяти мало.
Igorka Reply:
января 27, 2010 at 10:53
Андрей, спасибо за мнение.
Если интересно мое, то оно в целом совпадает с вашим. Я уверен, что вирус этот заказной. Но вот только кто за этим стоит выяснить будет трудно. Мне тоже непонятно откуда поддержка известной уже всем компании знает коды разблокировки? Это реклама чистой воды причем целенаправленная. Объясню почему. По моей статистике, заходы на эту страничку (и на другие страницы связанные с вирусом) идут на 80%-85% из России (счетчики определяют по IP-адресам страну), оставшиеся проценты из остальных стран.
Вот и возникает вопрос почему так и как вообще так получается?
Есть даже предположение у меня, что вирус активируется на компьютерах по признакам которые позволяют причислить его местоположение к России (тот же IP-адрес, региональные установки и т.д.). Может и бред не спорю, но статистика вещь упрямая.
То есть если продолжить, то реклама эта направлена пока только на Россию.
Кстати может именно поэтому не могу и я заразить никак свой компьютер.
Вот такие мысли… Наверное оформлю их в виде отдельного поста, так как есть, что комментировать…
Андрей Reply:
января 29, 2010 at 12:55
Еще немного информации. После активации кода, полученного по телефону комп перегружается, и в результате ставит все на место. т.е ни регистр, ни настройки не сбилисть. Можно рекомендовать, у кого телефон под рукой. А со вторым компом интересней. Решил, проверить курейтом. Завис бедный на четвертом вирусе. Вырубил. Включаю, и вылезает интересная прога, о проверки винды на наличие пиратской, с лицензионным соглашением, все как положено. Ладно думаю, давай.
Началось обновление, и тут Сумантек (антивирь) поднял голову. Красным сделался, кликай MIX пишет. Ок. Так он этих головастиков всех в карантин. Короче не прошли вири мимо Сумантека. На работе кстати тоже он стоит. Админ доверяет. Не рекламирую, так для инфы. Удачи всем.
Женя:
Ну то что реклама направлена на Россию с этим можно и поспорить, так как я допустим из Эстонии)) И этот вирус меня посетил вновь(щас кстате лечу cureIT жду результатов) , и всёже очень интересно как он пролазит в систему…
Igorka Reply:
января 27, 2010 at 12:18
Спорить даже и в мыслях нет :) Это всего лишь предположение основанное на статистике, не более того. Все-таки ноутбук, на котором я восстанавливал систему, тоже работает не в России :)
Евгения:
Здравствуйте, помогите пожалуйста!!!
Пару дней назад появилась таблица internet security обнаружил вредоносное по…. и просит отправить смс с кодом К212015200 на номер 4460.
Проверили онлайн антивирусом , обнаружили trojan.winlock938 1950шт, на утро еще раз проверили и обнаружили еще 951. Все успешно удалились с помощью антивируса drweb онлайн. Но проблема в том, что теперь не загружается ни один антивирус и часть сайтов в интернете не открывается, а особенно официальные сайты антивирусов.
И помимо этого нашлись еще 3 трояну - удалила.
Расшифруйте пожалуйста отчет AVZ
Igorka Reply:
января 27, 2010 at 15:14
Уважаемая Евгения, большая просьба не вставлять в комментарии отчеты подобные тому который вы пытались вставить (отчет я удалил). Расшифровывать отчет AVZ, к сожалению времени нет, к тому же вы выслали не то, что нужно. Необходимо в меню “Файл” выбрать пункт “Исследование системы” и выслать получившийся html-файл мне на почту, если смогу посмотрю.
Евгения Reply:
января 27, 2010 at 19:58
Спасибо, а можно ваш эл. адрес?
Женя:
Странно не получается востановить regedit:(
В тот раз всё получилось
В пункте “Сделать недоступными средства редактирования реестра” уже стоит “Отключена” видимо с прошлого раза, а так же Отключить автозапуск стоит уже “Включен” “на всех дисководах”. Но regedit так и не работает!
Женя Reply:
января 27, 2010 at 14:31
Всё ок!С этим я справился!
Женя Reply:
января 27, 2010 at 15:13
Ещё раз огромное спасибо вам Игорь, ваш метод действует как швейцарские часы!
Вот правда теперь не знаю как защитится от него))
Уж очень много он у меня время украл этот вирус!
Igorka Reply:
января 27, 2010 at 15:19
Это хорошо, что метод работает и вы его освоили :) Как я уже писал, помогает от многих вирусов. Но вот беда в том, а действительно ли все чистим… То есть знать бы наверняка: вирус прошел как и в прошлый раз или где-то, что-то осталось?
Скажите, можете сделать исследование системы с помощью программы AVZ и выслать мне отчет? Работали с такой программой?
Женя Reply:
января 27, 2010 at 15:33
Да нет, на самом деле я как обыкновенный “чайник” в первый раз слышу, но зделать иследование попробую, токо прогу надо скачать!
Вирус то вроде прошёл, как и в тот раз я выполнил все пункты что тут описаны!
Igorka Reply:
января 27, 2010 at 17:37
Вот есть мысль по поводу защиты от вируса http://igorka.com.ua/2010/01/27/pesochnica-sandboxie-zashhita-ot-virusov/ Но нужно тестировать, то есть нужна ваша (посетителей) помощь.
Женя Reply:
января 27, 2010 at 19:02
Как я понял, принцип работы програмы прост, я закидываю ярлык своего бараузера(Опера) в окошко Sandboxie и мой браузер уже рабатает с этой програмой?
Igorka Reply:
января 27, 2010 at 19:07
Предлагаю перенести обсуждение программы в комментариях к статье о самой программе.
IgorKa - Информационный ресурс » Песочница Sandboxie - защита от вирусов:
[...] события с вирусом Internet Security и вопросы посетителей, как защититься от [...]
27 января 2010, 17:44Юрий:
Тоже поймал этого “коня”, требовал смс к212015000 на номер 4460,запустил LiveCD - непомогло (вирусов не выявил), позвонил по номеру 88005550102 (звонок действительно бесплатный)дали пароль 565132Y64 - баннер изчез. Далее выполнил все пункты описанные выше (был выявлен Trojan Winlock 938, к нему прилагались 26 “паразитов”). Отдельное спасибо автору за содержательную статью!
P.S. Кстати, полностью согласен с вышеописанной статьей Андрея, о том что данный вирус скорее всего “реклама” антивирусных компаний…
Igorka Reply:
января 27, 2010 at 18:28
Юрий, спасибо за отзыв!
Скажите “запустил LiveCD” - о каком именно LiveCD идет речь?
Андрей:
Народ, неужели вам помогает корит, лично у меня ничего он не находит…если наложить новую винду поверх старой заработает ли регэдит и смогу ли я поставить нод? уж очень я намаялся с этими способами через диск загрузка, хочу поставить норм нод и прочии антивирусу и чистить машинку уже на рабочей базе….
Igorka Reply:
января 27, 2010 at 19:24
Андрей, что сейчас работает, а что нет?
Ellesar:
Здравствуйте, Игорь! Хотелось бы задать несколько вопросов про этот вирус. У меня он был, я разблокировал его кодом, подобранным по известному алгоритму, потом сканировал систему нодом, восстанавливал с помощью авз. Теперь по прошествии 3 дней этот красавец вернулся. Я не специалист в компьютерах, но вирус мне показался каким-то больным, что ли? Он всего пару раз выводил свое окошко, к тому же я запустил нод раза с 10, сам не знаю как. Теперь система работает, нод понаходил кучу файлов, подозреваю, что его. Как Вы могли бы объяснить этот феномен? Может, дадите мне какой-то совет? Буду очень признателен.
Igorka Reply:
января 27, 2010 at 21:45
По вирусу много не расскажу, так как не являюсь специалистом по анатомии вирусов и прочей подобной дряни. Об этом нужно на специализированных формах читать. Вот например цитата
“Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере”.
Вирус действительно неприятный. Насчет советов, их очень много, так за 5 минут все не напишешь в одном комментарии. Может и правда на днях в виде отдельной статьи оформлю. Конкретно против этого вируса, можно попробовать воспользоваться программой Sandboxie http://igorka.com.ua/2010/01/27/pesochnica-sandboxie-zashhita-ot-virusov/ Может она и правда сможет его удержать, но это в том случае если вирус проходит именно через браузер.
Ellesar Reply:
января 27, 2010 at 22:19
Большое спасибо! Вот, только что опять восстановил систему после него. Действительно, на этот раз он был какой то ослабленный. И спасибо за совет про песочницу, я ею обязательно воспользуюсь. Разрешите задать еще один вопрос, есть ли вероятность того, что этот вирус «мутирует», как это часто делают его нуклеиново-белковые собратья? Или в мире электронном это невозможно?
Igorka Reply:
января 27, 2010 at 22:28
Скажу честно о вирусах-мутантах пока не слышал :) Если серьезно, то все модификации вируса, пишутся людьми (только вот люди ли они после этого?), вирус все-таки программа, которая выполняет заложенный в нее алгоритм. И самостоятельно она изменить его не может. Поэтому пока, думаю, это невозможно.
Ellesar Reply:
января 27, 2010 at 22:41
Еще раз спасибо! Я поставил Sand Box, надеюсь она будет помогать. Удачи Вам в борьбе:)!
Igorka Reply:
января 27, 2010 at 22:46
Да я свою борьбу с этим вирусом пока выиграл :) Так, что лучше пожелаем удачи в борьбе посетителям сайта.
Если не затруднит, отпишитесь в заметке о sandboxie через недельку-другую (может раньше) помогла ли программа и были ли какие трудности с ней в работе.
Заранее спасибо!
Ирина:
Подцепила этот вирус вчера (26.01) утром, запустив exe-шник, скачанный с сайта с софтом (первый раз за несколько лет так оплошала, но, видимо, когда-то всё бывает впервые).
Симптомы: при открывании экзешника ничего не произошло - перестала переключаться раскладка клавиатуры - комп стал сильно тормозить - не открылся диспетчер задач (антивирус при этом молчит). Перезагрузила комп: симптомы остались, а при попытке открыть Internet Explorer появилось ОНО.. красное окошко.
На одном из сайтов нашла схему подбора кодов активации - не помогло..
Способ с загрузочным диском, к сожалению, был недоступен (т.к. на нетбуке нет cd-привода, а с флэшкой что-то не вышло).
Сегодня днем позвонила в службу техподдержки фирмы А1агрегатор (владелец короткого номера 4460) - попросили позвонить по другому номеру, после 8-минутного ожидания на телефоне девушка уточнила какая дата стоит на моем компьютере (важно, чтобы именно сегодняшняя) и мило сообщила мне код. А также добавила, что “это вовсе никакой не вирус, а окно-блокиратор, после ввода кода оно закроется, компьютер перезагрузится, и от этой программы на вашем компьютере не останется и следа! Но если что - звоните.”
Еслу кому-то интересно: для кода K206915900 код деактивации 6855R52Z.
Все произошло, как она сказала, но свежескачанным CureItом я все-таки решила проверить.. “Окно-блокиратор” оставило после себя 59(!) зараженных Trojan.Winlock.938 файлов.. Полная проверка в безопасном режиме потом выявила еще 2.
Сканирование AVZ после больше ничего не выявило.
После запуска “Мастера поиска и устранения проблем (системные проблемы)” AVZ заработал regedit.
Диспетчер задач, языковая панель - все сейчас функционирует.
Такое наблюдение (хотя кто-то его вроде бы уже высказывал): подбор кодов только ухудшает ситуацию, зараженных файлов становится больше. Если нет возможности справиться по-другому, лучше уж сразу звонить, узнавать код. Врочем, метод тоже спорный, посмотрим на телефонный счет в конце месяца… Хотя на сайте и написано, что звонок бесплатный, но…
Огромное спасибо Вам за статью! И за комментарии. Все 2 дня грело душу то, что способ справиться с этой заразой есть!
Теперь только одно смущает, не проявится ли опять :( Может, для спокойствия, все-таки переустановить ОС..
Igorka Reply:
января 27, 2010 at 23:17
Ирина, спасибо большое-пребольшое за столь подробный комментарий! Я думаю, что лучше переустановить ОС (так бы сделал я). Также рекомендую все таки разобраться с флешкой, чтобы была загрузочная. Она может в будущем помочь. И еще, скажите, а вы помните какой экзешник качали и откуда? Уже вторую неделю хочу заразить свою виртуалку и все никак :) Если вспомните сообщите пожалуйста.
И еще раз спасибо за подробности и описание всего, что происходило с компьютером - это очень важно.
Ирина Reply:
января 27, 2010 at 23:42
Игорь, что и откуда помню! Есть возможность ответить Вам лично?
Кстати, не знаю насколько это возможно, но файл setup.exe самоликвидировался (а, может, перезаписался куда-то.. надо б поискать) оттуда, откуда я его запускала.. И я не помню, чтобы успела его удалить. В Корзине его тоже не было. Странно.
Алексей:
Здравствуйте, Игорь! Я то же поймал этого “красавца”,и хотелось бы поблагодарить Вас за данную статью и за ваш труд! Нижайший Вам поклон, а то я и не знал что и делать, планировал винду уж сносить! А тех кто занимается такой фигнёй (пишет вирусы) на расстрел без суда и следствия!!!
Igorka Reply:
января 27, 2010 at 23:55
Спасибо, но сначала нужно от вируса избавиться, а потом уже и благодарить можно :) Просто не у всех к сожалению получается, избавиться от него таким же образом. А у вас получилось?
Алексей Reply:
января 28, 2010 at 0:28
Да, всё хорошо получилось! с загрузочного диска запустил CureIT (предварительно очистив папку temp), просканировал и он мне нашёл 4 вируса:
1. C:\Windows\setupapi.log.0.old:btjVXkqcGOEd - Trojan.Winlock.938
2. C:\Windows\system32\ocnlckzyg.dll - Trojan.Winlock.938
3. C:\Windows\system32\qlbuesi.dll - Trojan.Winlock.938
4. C:\Windows\system32\ubb.exe - Trojan.Packed.2450
но CureIT не захотел ни чего сам с ними делать, по этому я их удалил в ручную! А дальше по Вашему описанию поправил реестор и всё стало гудд!
И ещё одно, когда правил реестор то в UserInit ветки “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” у меня не было прописано пути к вирусу, просто было “C:\WINDOWS\system32\userinit.exe,”.
Notka:
Спасибо Вам большое! с вирусом справилась, а он делов натворил…что делать если локальные диски D и E стали съемными дисками и не открываются? пожалуйста объясните?! я понесу систему менять но просто хочется важные вещи пока перекинуть….
Igorka Reply:
января 28, 2010 at 7:43
Попробуйте какой-нибудь файловый менеджер, наподобие TotalCommander (например бесплатный Unreal Commander) он сможет открыть диски и получить доступ к файлам
IgorKa - Информационный ресурс » Вирус Internet Security - есть контакт:
[...] который 100% оказался носителем модификации вируса Internet Security. Это оказался обычный exe файла по видом крэка к одной [...]
28 января 2010, 7:41Igorka:
Наконец-то удалось заполучить файл, которым можно заразить операционную систему Windows! Жаль только, что очень поздно вчера его получил, поэтому маленькая статья с предварительными результатами http://igorka.com.ua/2010/01/28/virus-insec-kontact/
28 января 2010, 7:47Завтра будут писать продолжение
ZaDumka:
Здравствуйте,
спасибо большое за статью,
тоже уже второй раз за 2 дня сталкиваюсь с этой гадостью.
Завтра попробую полечить на компьютерах знакомых.
Посмотрим как получится…
Большая просьба:
Вашу эту статью вывесить гдето на зеркале и что-бы в ссылке не было названия Интернет секьюрити, чтобы на зараженной машине можно было открыть или это бесполезно она и на буквы в тексте реагирует?
Igorka Reply:
января 28, 2010 at 14:24
“Зеркал” у меня нет. Но я вам не рекомендую зараженный компьютер держать включенным в сеть… Поэтому лучше просто сохранить статью локально. Надеюсь, что завтра получится более детально исследовать http://igorka.com.ua/2010/01/28/virus-insec-kontact/ , что происходит в системе при заражении и более лаконично оформить способ/способы восстановления работоспособности Windows.
ZaDumka Reply:
января 28, 2010 at 20:28
спасибо большое за советы
попробую завтро отпистаься %)
к сожалению pebuilder на 99% скачки сказал что не может докачать
чтото мой Download Master глюкнул или еще чего
попробюую скачать средствами Windows:(
Артем:
Спасибо огромное! Все получилось!!
28 января 2010, 14:34sergey:
Добрый день! Помогите, плиз! Подхватил тот же вирус. Гружусь с загрузочного, который вы указали, но когда открываю коммандер, он не видит мои диски: С,D и т.д. Видит только А и CD. Что необходимо сделать? Спасибо!
sergey Reply:
января 29, 2010 at 10:37
по-моему у меня винда исчезла, да к тому же весь жесткий отчистился! Подскажите, можно это как-нибудь реанимировать?
Igorka Reply:
января 29, 2010 at 10:59
Сергей, у вас SATA-диск? Если, да, то необходимо в Биос выставить режим совместимости SATA с IDE. Если не понятно о чем речь, тогда лучше всего будет позвать ближайшего знакомого, который хорошо разбирается в компьютерах, чтобы он вам помог.
sergey Reply:
января 29, 2010 at 11:21
У меня IDE….. Подскажите что-нибудь еще, плиз
Igorka Reply:
января 29, 2010 at 11:28
Давайте по почте, чтобы не засорять тему.
Олег:
Сделал всё так-же как Вы описали, всё получилось спасибо!
29 января 2010, 17:34Мой вирусочек назывался - “Pocked.win32.Krap.w”
INDIVIDUM:
У меня точно такой же вирус как в начале этой страница,подскажите с чего начать и как загрузится через ваш диск WinPE,просто я в этом мало что понимаю,а попросить некого
Igorka Reply:
января 29, 2010 at 20:31
Если не совсем понятно то, что написано в этой статье и в статьях на которые я ссылался, то попробуйте подобрать код на странице DrWeb http://www.drweb.com/unlocker/index/?lng=ru
INDIVIDUM:
я позвонил по номеру 88005550102 мне дали код,завтра попробую,отпишусь,я скачал WinPE,и видеоролик в принципе всё понятно,только как зайти(точнее куда в WinPE)чтобы открыть доктора как указано в вашем видеоролике(его я тоже скачал),какую конкретно папку,а то он кроме папок больше ничего не видит,видать что то не то выбрал
Igorka Reply:
января 29, 2010 at 21:33
Вы создали загрузочный диск или загрузочную флешку?
INDIVIDUM:
а как,нет конечно
29 января 2010, 21:40INDIVIDUM:
может лучше по почте,если вам не трудно,вдруг ещё появятся вопросы
Igorka Reply:
января 29, 2010 at 21:49
Ответил по почте
Snake:
Доброго времени суток Igorka.
30 января 2010, 1:10Потратил 2 часа на устранение окна с вымогательством денег (по другому назвать нельзя) Internet Security. Подозрение что заражение произошло при установке флешплеера на одном из сайтов онлайн игр (дитё развлекалось). Каспер ничего не заподозрил. Советуемые AVZ4 & CureIT ничего не нашли, хотя первая включила диспетчер задач, который все равно при первой же попытке запуска был отключен. Окно по прежнему “радует глаз” и не дает ничего сделать. Вывод - за 3 часа можно полностью переустановить систему. Чем сейчас и займусь… Спасибо за интерестный ресурс. Кстати теперь просит отослать 10 рубликов (а может и больше) на номер 5121
Александр(подмосковье):
Привет и спасибо автору полезную статью автору!Она действительно помогла.
Винда схватила точно такой же вирус-рекетир,выманивающий денег на номер 5121 с текстом a51201500,который заблокировал все службы и безопасный режим,все попытки подбора кодов по алгоритмам,любезно предложенным на сайтах каспером и вебом не увенчались успехом(((,я уже было отчаялся,еслиб не эта статья.
Загрузился с dvd WinPE(скачал поновее с тынета на рабочий комп и прожёг на болванку dvd),есть ещё декабрьский Alkid Live cd/usb _http://netz.ru/soft/system/6014-alkid-live-cdusb-21-dekabrya-2009.html с набором нескольких антивирусов и позволяющий грузиться с usb-флешки размером от 2Гб,но мой BIOS как выяснилось не поддерживает загрузку с usb-flash ,на флешку записал на рабкомпе обновлённые CureIT и AVZ4,сначала часа 2 сканил cureIT`ом,который вытащил несколько вошек,среди которых и был как я понял “рекетир”,который Веб обозначил как Trojan.Packed.19647,сам файл назывался schlbki.ttf:v9u5ND и находился он,ВНИМАНИЕ-в c:\windows\fonts ,да-да,в шрифтах,так что если Ваш компьютер не дай Бог заразится аналогичным зверьём, то смело обращайте внимание на папку “fonts”.Потом для закрепления прошёлся AVZ4,который кстати после Веба ничего подозрительного не обнаружил,плюс в конюшню др.Веба ;-),но исправил несколько незначительных ошибок,перезагрузился с HDD и вуаля-система ожила!
admin Reply:
января 30, 2010 at 14:03
Александр, спасибо за отзыв.
Небольшой комментарий. Вирус для которого на сайте DrWeb есть подбор кода называется Trojan.Winlock.xxxx, в вашем случае антивирус называется Trojan.Packed.19647. Эти вирусы очень похожи, я их даже сам спутал http://igorka.com.ua/2010/01/28/virus-insec-kontact/ В этой статье также есть набор ключей реестра который меняет вирус.
whisper:
Огромное спасибо! А то 10 компов словили этот вирус я аж застрелиться хотел переустановкой винды.
30 января 2010, 12:07Igorka:
УВАЖАЕМЫЕ ПОСЕТИТЕЛИ САЙТА!
Ввиду большого числа комментариев, данная страница уже становиться “тяжеловатой” для загрузки. Поэтому я предлагаю оставлять свои комментарии в статье http://igorka.com.ua/2010/01/28/virus-insec-kontact/ .
Статья также на тему означенного вируса или его очень похожего “брата”.
Поэтому на этой странице я комментирование закрываю.
Спасибо всем большое за комментарии!
30 января 2010, 14:08IgorKa - Информационный ресурс » Вирус Trojan.Packed.19647:
[...] семейства Trojan.Winlock. О Trojan.Winlock много написано в статье Internet Security вирус, а также в статье Файлы вируса Trojan.Winlock.715. А вот о том [...]
30 января 2010, 14:56IgorKa - Информационный ресурс » Отключил показ аватарок:
[...] интересная штука и блог с ней веселее и т.д. Но статья Internet Security вирус показала, что использование сервиса существенно [...]
15 февраля 2010, 12:13Igorka: Еще один вирус или как удалить службу Windows:
[...] я его тем же способом, что и нашумевший вирус Internet Security Virus. Только действия все проводил в безопасном режиме, так [...]
28 мая 2010, 13:42