Вирус Internet Security - есть контакт
28 января 2010, 7:39
Наконец, мне посчастливилось - один из посетителе прислал мне ссылку на файла, который 100% оказался носителем модификации вируса Internet Security (не бойтесь - это ссылка на статью о вирусе). Это оказался обычный exe файла по видом крэка к одной из программ. Вирус активируется при запуске файла. Причем сам файл exe тут же удаляет. Вирусу Internet Security необходима для полной активации - перезагрузка системы. До перезагрузки он блокирует запуск редактора реестра, и диспетчера задач, но программы (AVZ, браузер с полным доступом к интернету) запускаются и, что важно, еще не удалены точки восстановления.
После перезагрузки вирус Internet Security уже не дает запускать приложения, а при попытке зайти в проводник - вирус Internet Security завершает работу операционной системы. Баннера не было. Возможно потому, что перезагрузку я делал без подключения системы к интернету и вирусу не удалось скачать дополнительные файлы. После перезагрузки точек восстановления, а соответственно и файлов реестра в системе уже нет.
Из хороших новостей, то что восстановление реестра как описано здесь полностью восстанавливает работоспособность операционной системы, вопрос только в том есть ли у вас эти копии. Еще раз рекомендую, сохранить их в альтернативное место, когда восстановите работоспособность компьютера.
Что еще успел заметить - после восстановления реестра AVZ не находит подозрительных объектов. До перезагрузки AVZ находил три файла с двоеточием в имени (предположительно это тело вируса).
К сожалению вчера было уже поздно, поэтому это то что за 10 минут удалось посмотреть. Завтра будут уже исследовать более подробно и дополнять эту статью. Так, что заходите - думаю получиться раскопать, что-то интересное. Главное, что один из способов заражения уже ясен - исполняемые файлы, которые мы сами и запускаем.
Сообщите пожалуйста, друзьям, знакомым, кто не заразился этим вирусом, чтобы воздержались сейчас от установки всякого рода крэков и подозрительного ПО в целом (в том числе игрушек). И пусть обязательно сделают копию реестра. Это поможет быстрее вернуть работоспособность системы после заражения вирусом Internet Security.
Продолжение завтра…
Добавлено 29.01.2010
К большому моему сожалению, CureIT определяет данный вирус не как Trojan.Winlocker, а как Trojan.Packed.19647 :( Даже не знаю имеет ли смысл продолжать его исследовать… Хотя ведет себя очень похоже. Только баннер не появляется и CMC не просит. В любом случае пока выкладываю отчет программы Process Monitor в котором показано какие ключи реестра менял вирус Trojan.Packed.19647. Будет полезно принять это к сведению, чтобы обратить внимание на них при ручной чистке. Когда копии реестра нет. Еще раз подчеркиваю это ключи, которые меняет вирус определяемый CureIT как Trojan.Packed.19647. Если нужен в более читабельном формате, пишите на почту вышлю csv-файл.
Operation Path Result Detail
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 86 70 1E C7 F0 6C 4D 14 52 89 52 A0 A2 C3 01 2D
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore NAME NOT FOUND Desired Access: All Access
RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis NAME NOT FOUND Desired Access: All Access
RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\TrendMicro SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 SUCCESS Type: REG_SZ, Length: 126, Data: O20 - AppInit_DLLs: C:\DOCUME~1\admin\LOCALS~1\Temp\ifcrdz.dll
RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\IgnoreNum SUCCESS Type: REG_SZ, Length: 4, Data: 1
RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden SUCCESS Type: REG_DWORD, Length: 4, Data: 0
RegCreateKey HKCU\Software SUCCESS Desired Access: All Access
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 50 E6 B6 90 76 59 6F F2 2B BE 00 42 77 C6 7F 15
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 57 FC 10 45 6A 92 54 FB F5 7C E8 97 A0 D6 F6 CF
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 7F 85 20 AF 60 E7 D7 70 6D 23 12 A0 3C E6 00 F8
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: B0 BD 8F 72 12 C8 D1 8F F7 50 0C 86 0D 66 4E DD
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 7D 81 E0 79 D5 E2 5E 57 CE 51 66 30 5A 44 F3 16
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 3D 3F EF 79 DF 29 2E D3 1F C5 5E 76 76 2D 30 D6
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 01 32 88 0B E8 CC 30 5E 17 EC BA 1F 81 00 D1 99
RegSetValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SUCCESS Type: REG_SZ, Length: 88, Data: C:\WINDOWS\Help\colormgt.chm:HxhXBEoxL73LED
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NAME NOT FOUND Desired Access: All Access
RegCreateKey HKCU\Software SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System SUCCESS Desired Access: All Access
RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden SUCCESS Type: REG_DWORD, Length: 4, Data: 0
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths SUCCESS Desired Access: All Access
RegDeleteKey HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33} SUCCESS
RegCreateKey HKLM\Software\ODBC\ODBC.INI SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\ODBC\ODBC.INI\(Default) SUCCESS Type: REG_SZ, Length: 30, Data: hw4Xe6plkWKUoD
Теги: 
Рубрика: 
Отзывы
Pablov:
Привет Игорь. Я тоже 26.10 имел “счастье” подцепить эту заразу. Победил ее сам, т.к. имею опыт.И уже потом наткнулся на твой сайт. Хочу разобраться с методами заражения и поделится своими наблюдениями.
На счет заражения: 26.10 с 8:00 до 11:00 я просматривал почту, просматривал несколько конференций(все проверенные и надежные), короче кроме Оперы и TheBat не запускал ни одного приложения(это точно) В 11:00 принесли обновление “Консультант+”. В терминальном режиме зашел на сервер и поставил Консультант на обновление. Когда вернулся на свой рабочий стол Опера была закрыта, а вместо нее красовалось окно Internet Security. Ни каких сомнительных файлов последнее время не скачивал и тем более не запускал. Да и любой подозрительный файл я сначала смотрю спец тулзами (занимался когда-то крекингом). Поэтому возникает вопрос, как вирус проник на компьютер и как активировался. Наши доблестные антивирусные конторы ничего кроме генераторов кодов предложить не могут. Да и западные тоже.
Вчера эту гадость подцепил мой товарищ. У него стоит AVP с последними базами. Думаю у него версия виря > 938, т.к. префикс начинается на букву A. CureIT и другие авиры у него ничего не находят:( Мужик он опытный, работает в конторе по продаже и ремонту компов. Сам не раз клиентам удалял подобные вирусы. Но за целый день победить не смог. Это наводит на мысли что вирь совершенствуется.
Теперь по поводу самозащиты. Раз все антивирусные программы пропускают эту гадость на комп, нужно бороться самим (спасение утопающих…) Единственное что пришло в голову и тебе и мне тоже это резервирование каталогов snapshot в папке System Volume Information. Но руками это делать муторно и подумал написать небольшую утилитку, которая бы при определенных условиях делала архивную копию последних точек восстановления. В принципе я ее для себя уже написал. От вируса она не спасет, но существенно сократит время лечения. Выскажи свое мнение нужна она или нет. Кстати идея с Sandboxie неплоха, надо попробовать.
Ответить
Igorka Reply:
января 28, 2010 at 9:57
Спасибо за отзыв и за развернутый рассказ о ситуации.
По утилите. Скажу честно, мне не очень нужна, так как я работаю уже больше года в Ubuntu, и в XP захожу все реже и реже, да и реестр у меня меняется редко (последние пол-года ничего не устанавливал, устройства не добавлял). Если нужно что-то сделать, то пользуюсь виртуалкой. Возможно она пригодилась бы посетителям? А на чем написана утилита? И в чем ее преимущество?
По поводу заражения. Так как есть файл носитель буду завтра (может и сегодня вечером), смотреть, что он делает и как себя проявляет. Могу сказать еще одну особенность о которой пока не упомянул в статье: до перезагрузки после заражения тот же AVZ находит три файла с вирусом вида password.chm:QYMX8hknYYg9KMcgNR2 (то есть с двоеточием в имени). После перезагрузки AVZ не запускается. После восстановления файлов реестра. Все работает, НО AVZ уже эти файлы не находит. В общем есть пока над чем задуматься.
Ну а по поводу самозащиты я почти в каждой статье на эту тему пишу: бекапы, бекапы, бекапы… Даже ролики сделал, чтобы понятнее было начинающим http://igorka.com.ua/video-uroki/
Ответить
Ирина:
Вспомнила еще 1 деталь, вдруг окажется полезным: в процессе борьбы с заразой попыталась скопировать с флэшки папку AVZ4 (до этого на нетбуке этой программы не было), что вроде бы удалось!
НО при открытии папки оказалось, что в ней отсутствует avz.exe (на флэшке он был), и буквально через 30 секунд нетбук как-то странно “крякнул”, выдал “синий экран смерти” и пошел на перезагрузку.
Повторная попытка открыть папку с AVZ привела к тому же.
CureIt и Virus Removal Tool от Касперского (тоже были “подсунуты” на флэшке) вирус просто игнорировал, но с AVZ, может, только в моем случае, у него сложились какие-то особые отношения…
P.S. флэшку потом проверяли, вроде чисто.
А ОС на нетбуке все-таки решили переустановить, а то как-то он странно работать начал после всего этого.
Ответить
Igorka Reply:
января 28, 2010 at 14:16
На виртуальной системе также при выполнении некоторых действий тут же завершает работу системы.
Ответить
alex:
Привет! Сегодня в очередной раз попалась бука с этим вирусом. Много времени экспериментировать не было, но кое чем поделюсь:
1. Вирус действительно с каждым разом сложнее вычислить. По всей видимости его только обкатывают и самое интересное будет ещё впереди.
2. Методы удаления в целом те же, что и ранее: LiveCD и чистка реестра в ручную, далее по стандартной схеме…
3. Формат флешки на не заражённом ПК. Вставляем в заражённый ноут - на флешке autorun.inf Далее вставляем флешку в чистую виртуалку с XP, перезагружаем её, пытаемся запустить свежий Cureit и видим, что вместо него уже запустился Internet Security.
4. Вставляю эту же заражённую флешку в комп с обновлённым NOD32 (с другими к сожалению не тестировал) и последними обновлениями ОС, запускаю сканирование флешки - NOD32 блокирует угрозу с обещанием удалить вирус после следующей перезагрузки.
Думаю, что никого не напрягу, если позволю себе ещё раз напомнить, что антивирусные базы выпускают позже, чем выходят вирусы, ещё позже выпускают заплатки к ОС. Но это не значит, что нужно пренебрегать и тем и другим. Вовремя обновлённая ОС + нормальный регулярно обновляющийся антивирь (не бесплатный для домашнего использования, а НОРМАЛЬНЫЙ!!!) + элементарные меры предосторожности и всё у вас будет хорошо, а если ещё параллельно и Ubuntu изучать, то вообще горя знать не будете и вирусы будут вызывать у вас только здоровый интерес или полный пофигизм.
Вот такие пироги. К сожалению заражённый ноут у себя долго держать не могу (нужно возвращать заказчику), но что успел, так сказать, в боевых условиях интересное и новое протестить - поделился.
P.S. Из тех знакомых, что подцепили эту заразу многие упоминали про то, что всё началось после скачивания игрушки. Так что Игоря предложение по поводу воздержания от установки ПО неизвестного происхождения - полностью поддерживаю. Если вы не чувствуете в себе силы удалить вирус самостоятельно в случае заражения - помните, что всегда проще, быстрее и дешевле предохраниться, чем вылечиться :-)
Ответить
28 января 2010, 23:45Ирина:
Видимо, и впрямь как-то модифицируется эта гадость…
У меня при перезагрузке было подключение к интернету, наверное, он что-то докачал дополнительно,поэтому было окно с смс и т.п.
Ответить
29 января 2010, 12:46Антон:
Здравствуйте, можете мне помочь избавиться от этого банера и вируса. Можете мне подобрать код или дать совет какой нибудь. То что написано в этой теме ( http://igorka.com.ua/2010/01/11/internet-security-virus ) мне (ламеру) не понятно. Вирус требует отправить код K205615700 на номер 4460. Заранее спасибо.
Ответить
Igorka Reply:
января 30, 2010 at 21:52
Здравствуйте, Антон
Попробуйте подобрать код на сайте DrWeb (в указанной вами статье есть ссылка) Продублирую: http://www.drweb.com/unlocker/index/?lng=ru
Если не поможет поищите в комментариях номер телефона на 8800 куда можно позвонить и где могут сказать код разблокировки.
Ответить
Михаил:
Здравствуйте! А у меня история такая. У меня выскочил порнобаннер с заявлением, что я вошёл на сайт (какой не указан) и дал согласие на месячное размещение сайта, а далее как и положено смс с просьбой денег. На порносайтах не был, но по торренту с _tfile.ru что-то скачивал и eщё где-то отказывался от установки флешплеера. Утром включил комп, а оттуда на меня вывалилось. Перезагрузка, выключение блокированы и откатиться тоже не удавалось, хотя точки восстановления обозначены. Панда запускалась и что-то удалила, а также Spy&Bot. Но в итоге возникли следующие проблемы: при загрузке Windows всплывает окно RUDLL о невозможности найти модуль nldk.yxo, при выходе выскакивает окно о незавершении программы Centinei VxD? , браузеры FF и opera не могут открыть антивирусные сайты. Просканировал последним CureIT, который записал на внешний диск на другом компе, нашел кучу вирусов + исправил изменения HOST. Однако ситуация не изменилась. Может кто знает решение? Найти в инете не смог.
Ответить
admin Reply:
января 30, 2010 at 23:36
Здравствуйте, Михаил!
Если точки восстановления есть и есть копии файлов реестра, то можно попробовать восстановить реестр как написано здесь http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/
Чтобы картина была более полной прочтите также эту статью http://igorka.com.ua/2010/01/23/soxranyaem-kopiyu-reestra-windows-xp/
Главное помните если заменяете текущие файлы реестра обязательно сохраняйте их (текущие) копии.
Хотя вирус другой, но восстановление реестра может помочь.
Ответить
Михаил Reply:
февраля 2, 2010 at 17:01
Спасибо за оказанное внимание. Буду пробовать.
Может кому пригодиться, с всплывающим модулем nldk.yxo справился по следующей методике от jora_good (огромное ему спасибо):[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр «Shell»=”Explorer.exe rundll32.exe, nldx.yxo bxwjh”
После удаления «, nldx.yxo bxwjh»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
«AppInit_DLLs»=”C:\\WINDOWS\\win.ini:ZJZX2WU7″ — этот параметр удалил
Ответить
Igorka Reply:
февраля 2, 2010 at 17:46
Михаил спасибо, что отписали.
Только возможно опечатка небольшая вышла. В параметре Shell нужно оставить только explorer.exe, и удалить все остальное - rundll32.exe, nldx.yxo bxwjh
Ответить
aleks_shi:
Доброго дня. Может подскажете, как исправить. Суть: Прошелся AVZ-ом по системе в т.ч. с воостановлением системы, исправлением ошибок и т.д., теперь все службы запускаются, работают, все нормально. Но чем-то отключилась кнопка выключения компьютера (теперь ее просто нет) при выходе из системы с помощью кнопки: “Завершение сеанса …”. Можно-ли ее восстановить? Спасибо.
Ответить
Igorka Reply:
января 31, 2010 at 13:33
Добрый день,
Какая у вас операционная система?
Ответить
IgorKa - Информационный ресурс » Вирус Trojan.Packed.19647:
[...] 25262728293031 Каталог сайтов Каталог TopPING SiteAdmin тематический каталог сайтов online.ua « Вирус Internet Security - есть контакт [...]
31 января 2010, 13:16aleks_shi:
Win XP Pro SP3. И еще интересно, У меня на двух компах винда с одного диска, но на одном после выполнения команды: gpedit.msc и пошагово: Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система, так вот папки “Система” вообще нет ни в Конфигурации пользователя, ни в Конфигурации компьютера, есть только “Компоненты Windows”. А на другом все есть, нормально.
Ответить
Igorka Reply:
января 31, 2010 at 13:49
Откройте реестр и выполните поиск по имени параметра NoClose. Найденные параметры нужно будет установить в 0. После перезагрузки должна появиться кнопка выключения.
Ответить
Igorka Reply:
января 31, 2010 at 14:12
По поводу групповой политики. Откройте gpedit.msc и зайдите в меню Вид - Фильтрация. В открывшемся окне снимите галочки “Фильтрация по полю требования” и “Показывать только настроенные параметры политики”.
Ответить
aleks_shi Reply:
января 31, 2010 at 14:23
Галочки не были установлены.
Ответить
aleks_shi Reply:
января 31, 2010 at 14:57
Что еще можно попробовать?
Ответить
aleks_shi:
В реестре везде установлено в 0. Я может не правильно объяснил… Не “Выключить компьютер”, а именно : “Завершение сеанса admin (к примеру)” комп из системы выходит и предлагает сменить пользователя, но раньше в левом нижнем углу экрана была кнопка выключения компьютера, теперь исчезла.
Ответить
admin Reply:
января 31, 2010 at 15:01
Ответил по почте
Ответить
aleks_shi Reply:
января 31, 2010 at 15:38
Нет ответа до сих пор.
Ответить
Igorka Reply:
января 31, 2010 at 17:14
Проверьте в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр ShutdownWithoutLogon. Установить в 1.
Ответить
aleks_shi Reply:
января 31, 2010 at 17:44
Большое спасибо. Кнопка с выключением появилась. Помощь от Вас реальна и достаточно быстро реагируете на вопрос - и тут-же практически ответ. А как на счет команды: gpedit.msc и пошагово: Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система, так вот папки “Система” вообще нет ни в Конфигурации пользователя, ни в Конфигурации компьютера, есть только “Компоненты Windows”.
Ответить
Igorka Reply:
января 31, 2010 at 18:28
Ну реагирую как получается, так как не постоянно за компьютером сижу тем более в воскресение :)
По поводу политики. Проверьте, что есть на месте (C:\WINDOWS\system32\GroupPolicy\Adm), файл, который называется system.adm.
Ответить
aleks_shi Reply:
января 31, 2010 at 19:29
Такого файла там нет.
Ответить
Igorka Reply:
января 31, 2010 at 20:06
Ну тогда все логично.
Можно еще посмотреть в C:\Windows\inf. Если там есть, то скопировать в C:\WINDOWS\system32\GroupPolicy\Adm. Если нет, можно взять с другой системы.
Ответить
aleks_shi Reply:
января 31, 2010 at 20:28
Опять спасибо. Скопировал и все встало на свои места.
Ответить
Степан:
Писал в другом топике, может кому пригодятся некоторые соображения, или глюки:
1) LiveCd который тут выложен под названием WinPE грузился на моём компе, но потом вылезало окошко о недостаточной памяти, что подрузамевалось я не знаю, поэтому плюнул;
2) Пробовал через Live CD от доктор Веба, он ни в какую не хотел чистить, я не знаю с чем было связано, тоже плюнул.
3)Интересная особенность Кьюр ит можно открыть под безопасным режимом через администратора, но дальше рекламного окна не пройти;
4)Так как есть пару старых жёстких дисков, как раз ради таких случаев с голой WinXP загрузился с такого диска без подгрузки драйверов под мастером, вставил флешку с кьюр ит, и начал проверять заражёный диск. Интересная особенность, видимо когда Cure IT наткнулся на этот вирус копьютер пошёл на перезагрузку, но после этого все файлы вычистил добросовестно. Но мне очень не понравилась эта перезагрузка.
Итог: Я , лично считаю, надо ждать обновлений антивирусов, так как все файлы не были вычищены
Ответить
31 января 2010, 14:38Rebel:
Спасибо за помощь в сражении с этим паршивцем! Вирус был чуток новее той версии, которая описана вверху. С меня требовалось sms на номер 5221. Код увы не переписал и скрины откатил, но в тот злополучный вечер был открыт только один файлообменник … ссылку вышлю на ящик.
Система XP zver sp3
Еще раз спс за помощь.
Ответить
Igorka Reply:
января 31, 2010 at 17:20
Не за, что!
За ссылку заранее спасибо.
Ответить
Katuga:
Здавствуйте уважаемые заразившиеся!
Вам, Igorka, отдельное, огромное спасибо за ваш бескорытный труд.
Хочу поделиться своими наработками.
Первый раз я поймал “Internet Security” 27.01.2010. Код был к208115900 на №4460.
Второй раз - 30.01.2010, код - а507115900 на №5121.
Методы лечения: вручную (вашими методами), при помощи загрузочного WinPE. Удаленная загрузка реестра, поиск подозрительного ПО и библиотек DLL. CureIT помог найти основной запускаемый файл (в первом случае qakwa.dll, во втором - ktjoupft.dll) Обзывает его как Trojan.Packed.19647
Создает куст и запускается вот от сюда (смотрел изменения реестра):
RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 SUCCESS Type: REG_SZ, Length: 126, Data: O20 - AppInit_DLLs: C:\DOCUME~1\###\LOCALS~1\Temp\***.dll
### - User
*** - имя трояна
И еще повыкидывал из разных системных каталогов подозрительных (на мой взгляд) файлов, размер - 128 КБ, дата создания - день заражения, далее список:
xrbxbu.dll - (в первый раз заражения)
oba.dll - (в первый раз заражения)
qxxvhk.dll - (во второй раз заражения)
zqpdqbc.dll - (во второй раз заражения)
Мои подозрения падают на сайты с флэш-играми. Оба раза посещалась страничка: _www.playground.ru/flash
Спасибо всем, еще раз!!!
Ответить
Igorka Reply:
января 31, 2010 at 21:51
Спасибо большое, за комментарий.
В статье указан не только ключ который вы указали, но и все ключи которые меняются в реестре системы (Windows sp2 без антивируса). Обратите на них также внимание. Ключи выявлены во время тестового заражения с помощью программы Process Explorer.
Ответить
Ellesar:
Здравствуйте! Сегодня песочница таки пропустила данный вирус. Но, опять же, ведет он себя преинтереснейше. Окошко запустилось у меня на фоне рабочей системы, с антивирусом и прочим фаршем. Таскманагер работал, поэтому я запросто завершил процесс Rundll, коим и оказался наш вирус. Это преамбула. Теперь, собственно, то, что я хотел рассказать. Вирус запустил себя из песочницы. То есть, просто удалив файлы песочницы, уже можно запросто от него избавиться. Или просканировать их антивирусом. Таким образом, песочницу могу порекомендовать как своего рода аналог респиратора. Вся гадость будет оседать в ней.
З. Ы. Хочу сразу извинится за непрофессиональный язык. В теме про sandboxie я это продублирую.
Ответить
Hotstay Reply:
февраля 3, 2010 at 13:18
Ellesar:
Скажите пожалуйста а что такое песочница.
Ответить
Igorka Reply:
февраля 3, 2010 at 13:25
Добрый день,
О “песочнице” можно прочесть здесь http://igorka.com.ua/2010/01/27/pesochnica-sandboxie-zashhita-ot-virusov/
Ответить
Hotstay:
Добрый день Igorka
Сегодня избавился от Trojan.Packed.19647 с помощью загрузочного диска и CureIT после входа в систему открыл доступ к реестру, выполнение программ (c помощью”sp_regedit_unlock.exe”и ” Razblocker1.5.4.exe” ),диспетчер задачь, запуск антивирусника (AVAST),появилось окошко “восстановление системы” правда функции на нем не активны. Как их активировать и может я еще какие-то файлы\ключи реестра пропустил??? так как в этом
(В статье указан не только ключ который вы указали, но и все ключи которые меняются в реестре системы (Windows sp2 без антивируса). Обратите на них также внимание. Ключи выявлены во время тестового заражения с помощью программы Process Explorer.)
я не смог разобраться.
Ответить
Igorka Reply:
февраля 3, 2010 at 13:59
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
Удалите параметры DisableConfig и DisableSR или весь раздел SystemRestore.
Отпишитесь о результатах.
Ответить
Hotstay Reply:
февраля 3, 2010 at 14:34
Удалил весь раздел (так как значения были “0″ )
Функции на вкладке активировались. Спасибо
Ответить
Igorka Reply:
февраля 3, 2010 at 14:44
Не за что. Вам спасибо.
Ответить
Elena:
Вылечила с Вашей помощью свой нетбук и домашний компьютер, на последнем, правда, была иная интерпретация вируса, но с той же просьбой отправить смс на короткий номер. В обоих случаях на требовалось обновление флэш-плеера, предлагалось сохранять что-то вроде адобфлэшплеер.exe что и было, к сожалению, сделано((( после чего интернет перестал работать, а при перезагрузке вылезло зловещее окно с просьбой отправить смс…
Благодарю Вас еще раз, я перерыла кучу информации в интернете по этому вопросу, однако самая доходчивая и действенная - Ваша. Спасибо!
Ответить
Igorka Reply:
февраля 4, 2010 at 8:45
Елена, спасибо за теплые слова и подробный комментарий. Очень рад, что все получилось.
Ответить
Igorka:
Михаил Reply:
февраля 4, 2010 at 10:09
Здравствуйте, Игорь.
Оставить комментарий не получилось, поэтому пишу здесь.
(потом удалите)
Вы высказывали желание заразить вирусом свою виртуальную ос.
Есть способ (кхм) - отключить все файрволы и антивирусы, запустить IE и покликать по разным (простите) сайтам непристойного содержания…
Говорят очень способствует…
(ходить налево вредно не только в реальности)
Если что, прошу прощения …
Михаил, спасибо за совет :)
Но все вами сказанное я уже пытался сделать - не помогло :) Я ведь делал все это с операционной системы установленной с нуля, без всякого дополнительного ПО. В любом случае мне уже прислали ссылку на подобный вирус. Спасибо, что посещаете сайт.
Ответить
4 февраля 2010, 11:54Hotstay:
Доброе время суток
Еще раз спасибо Igorka вчера вылечил комп от вируса…
У меня тоже как и у Elena попросился установится якобы Адобфлеш плеер для просмотра «данной страницы» когда я искал интерактивную карту гор.Волгоград, по скольку я сильно торопился то по запарке нажал да :(
Ответить
4 февраля 2010, 14:17Pavlexey:
Доброе утро
Вчера также подхватил trojan.packed.19647, когда был на работе жена сидела в инете. KIS 2010 пропустил эту заразу, как я позже увидел поместил в отчет записи о доступе программ NYya.exe netprotdrvss.exe и еще что то, может она их сделала доверенными…
В итоге перестали запускаться какие либо программы, вернее открываются секунд на 5 и сразу закрываются. CureIT также при запуске пытался обновиться, но окно браузера сразу же закрывалось и сам сканер.
После перезагрузки в безопасном режиме с загрузкой сетевых драйверов удалось обновить CureIT и просканировать комп. В итоге были найдены 7 объектов этого вируса и удалены. После обычной загрузки все так же ничего не запускается.
Как я понимаю пипец пришел моему реестру? Точек восстановления системы нет, что делать или проще нафиг формат диск С и снова поставить ОС.
ОС Win XP SP3 Extrime 2009
Ответить
Igorka Reply:
февраля 11, 2010 at 7:45
Доброе утро
Спасибо за комментарий.
С реестром все в порядке, просто в него внесены соответствующие изменения. Я бы вашу систему скорее всего восстановил бы. Начал бы с ключей реестра которые выложил в статье - часть нужно удалить, часть изменить значения на первоначальные.
Что для вас будет проще и быстрее я не знаю, поэтому тут решайте сами. Я как всегда готов помочь. Реестр и диспетчер задач удалось разблокировать?
Ответить
Pavlexey:
Диспетчер задач работает, в реестр не пробовал.
Дело вчера было, а на ваш сайт сегодня утром только напал.
Вобщем то мне проще ось переустановить чем в реестре копаться (чет не дружу я с ним), так для общего развития спросил.
Ответить
11 февраля 2010, 9:52Deff 7'NT:
Добрый вечер.. Поскажите пожалуйста.. У меня был WINLOC я снял его с помощью генератора ключей на сайте доктора Web’а.. Почистил комп, почистил реестр, сделал полную проверку. Вроде как всё нормально, но локальные диски E:\, F:\, D:\ отображаются как съемные, и не хотят открываться. Открываются только через проводник и FastStone.. Выдаёт вот такую ошибку что не может найти файл mb.exe.. Подскажите как исправить?
Ответить
Igorka Reply:
февраля 12, 2010 at 19:22
Добрый вечер,
Поищите в корне дисков файл autorun.inf. Найдете - удаляйте. Скорее всего в этом проблема.
Ответить
Екатерина:
Где и как подхватила вирус не знаю. Пыталась удалить посредством подключения своего жесткого диска к другому компу и проверкой его антивирусами (аваст, касперский, нод32, кюрет и какой то еще,названия не помню), но в процессе проверки ОС другого компьютера сначала стала тормозить, потом подвисла вовсе и не подавала признаков жизни. Испугались, мой диск отключили, на той ОС сделали откат, ибо при перезапуске подвис не прекращался. Пробовала загрузиться с лайфСиДи, эффект тот же, виснет система.
Кстати, для справки: при первоначальном появлении окошка с вирусом отчим испугался и отправил смс - сняли около 400 рэ и попросили прислать еще одно. Вот такие вот заразюки!
Решать наверно буду с помощью переустановки винды, а для надежности еще и диск форматну - хуже не будет.
Ответить
13 февраля 2010, 17:57Dark Prince:
Приветствую. Прочитал я всю статью про удаление вируса, всё скачал, но вот вопрос : А как запустить Загрузочный Диск WinPE? Я записал образ с помощью Nero 9 HD (Прожёг) на болванку (Образ кстати скачал отсюда), но не как не пойму, а как загрузить то WinPE? Вставил диск в дисковод, но при загрузке, загружается как обычно :( В инете находил статью, что вроде как надо установить в биосе First Device - CD-Rom, ну а потом уже HDD и Floppy. Нь и это не помогло :(
P.S.Заранее Благодарен :)
Ответить
Igorka Reply:
февраля 21, 2010 at 16:28
Здравствуйте,
В самом начале загрузки на экране должна появиться надпись press any key to boot from CD
Во время показа этой надписи необходимо нажать на любую кнопку на клавиатуре, иначе загрузка будет выполнена с жесткого диска. Может быть в этом все дело?
Ответить
Dark Prince Reply:
февраля 22, 2010 at 16:32
Только что, после прочтения вашего ответа, сначала перезагрузил компьютер и сделал в биосе First Device - CD-Rom, ну а потом уже HDD и Floppy, вставил загрузочный диск в CD-Rom, но ни какой надписи не увидел, да и сразу же при загрузке начал жать на пробел и Интер - безрезультатно :(
У меня кстати, если что - 2 дисковода : CD-Rom и DVD-Rom
P.S.Ну и заодно, увидев, что тема ещё жива, и что самое главное автор до сих пор поддерживает тему, то тогда проконсультируюсь, рассказав о своём вирусе подробнее. Итак :
Я гулял в интернете, как вдруг появляется окошко, которое напомнило мне окошко, которое отсчитывает одну минуту до перезагрузки, но не успел я даже толком рассмотреть это окно, как буквально через считанные секунды перезагружается Компьютер, а после перезагрузки, когда я зашёл своим пользователем (У меня 2 пользователя : Сначала был общий, потом брат создал свой, и тоже сделал себя администратором, после этого мне система даже иногда говорит, что мол я не администратор, т.е. получается что мы оба администратора, но он главнее что ли, в общем не чувствовал я себя обделённым, но такая ситуация в дальнейшем сыграет свою роль в моём рассказе :) Да кстати, ещё Гость есть) у меня появилось окно, причём ладно бы как тут на скриншоте, а оно было чёрное, на весь экран (не было видно, ни ярлычков, ни меню пуск с панелью внизу, ничего кроме этого окна) и было написано, что то такое же, что и тут, что мол Internet Security от Лаборатории Касперского обнаружил какой то вирус, кароче отправляй смс на такой то номер, что бы получить код, причём тоже с таймером до дешифрирования чего то. при нажатии кнопки на клавиатуре, которая открывает пуск (забыл название её) - ничего не открывается, впрочем как всё и остальное, включая даже диспетчер задач. Когда его запускаю, пишет Заблокировано Администратором. Но я потом наконец то кое-какой выход, я при загрузке выбрал пользователя брата, и там уже сразу же начал нажимать на Cntrl+Alt+Delete и выскочил диспетчер задач, там я выключил приложение, которое отвечала за этот чёрный экран : “PR”. Но мне рано было радоваться, ведь окно то исчезло, но появилась только картинка с рабочего стола и всё (Опять же никаких ярлычков, пуска и т.д.). Уже через диспетчер задач (Новая задач -> Обзор -> Выбрал первую попавшуюся папку, нажал на правую кнопку мыши, выбрал “Проводник”, появилась ошибка, нажал “Ok”, но после всё-таки папка открылась и там я уже мог лазить по компьютеру) я нашёл файл, который отвечал за чёрный экран, он назывался : “User 32.exe”. Проверил я его просто - Запустил :) , а после всё так же через диспетчер задач, и потом уже удалил и его и другие файлы с названием User 32 (User32), причём захотели удалятся не все файлы. Собственно говоря, это всё, чего я смог сам добиться. Причём сначала даже Локальный Диск “D” показывался как Съёмочный Диск и не открывался (открывался только через Путь). Но потом вроде как он вернулся в прежний облик жёсткого диска и начал открываться. Далее я уже отчаявшаяся, позвонил Мастеру по компьютеру, но он честно признался, что да знаком с такой напастью, такое не только у меня, но сам он ещё не знает как его лечить и будет сам в интернете смотреть как люди с ним борются. И мне так же и посоветовал поступить. Так я нашёл эту статью про этот вирус. У меня всё скачано уже, что приведено в статье, всё делаю чётко по вашей инструкции (Только вот записал я образ вашего загрузочного диска с помощью Nero 9 HD (Black Edition) и не получается загрузится с этого загрузочного диска (если что она CD-R), Утилита с сайта Dr.Web нашла порядка 35 инфицированный объекта, которые я переместил в карантин, какой то файл HOST сначала нажал на “Нет”, что бы вернуть его в стандартном виде, а потом и на “Да”, нашёл наконец то вирус Winlock (только какой то маленький по счёту : 117 что ли) работают у брата команды : “gpedit.mse и Диспетчер Задач, но я всё равно отключил их, а вообще, там везде была выбрана опция : “Не Задано”, во всех вкладках). Ну вроде всё рассказал, если что, спрашивайте - Отвечу, Уточню :)
P.S. Заранее За Ответ Буду Очень Благодарен :)
Ответить
Igorka Reply:
февраля 22, 2010 at 17:10
Спасибо, что отписались. Даже не знаю, что и сказать.
Из рассказа понятно, что вирус который у вас не тот о котором идет речь в статье, а значит нет гарантии, что выполняя все инструкции можно от него полностью избавиться. Поэтому нужно смотреть как говорят “на месте”, что к чему. Удаленно такие вопросы решать тяжело, хотя и можно, но я на этом (удаленные консультации по удалению вирусов) не специализируюсь :) Хотя помочь всегда готов по возможности.
В любом случае диск подобный WinPE желательно иметь. Попробуйте скачать подобный образ из другого источника. На всякий случай спрошу: записывали как здесь написано http://igorka.com.ua/2010/01/15/kak-zapisat-fajl-iso/ ?
Ответить
Dark Prince Reply:
февраля 22, 2010 at 17:48
Ну да, я и эту статью прочитал, скачал файл : pebuilder.iso весит столько же, прожигал с помощью Nero 9 HD (Black Edition) :) Ну и с того же Депозита, да и когда я смотрел диск, открывал этот образ (он как архив на том компьютере выглядел, то там всё присутствовало ( Я просто и ваш видео-урок скачал :)) )
P.S. Ну я сейчас пока что остановился на программе AVZ, сейчас просканировала диск “C” какие то красные строчки были, написано было что то вроде : Нашла перехватчика, но не опознано откуда он. Сейчас буду ещё смотреть, ну а потом CCleaner-ом пройдусь и так дальше по статье :)
Ответить
Dark Prince Reply:
февраля 22, 2010 at 18:18
Ну теперь уже всё выполнил, что указано в статье, теперь буду выполнять как указано в видео уроке, при помощи WinPE, только уже при загруженной Виндоус :)
P.S. Ну и буду с нетерпением ждать ответа :)
Ответить
Dark Prince Reply:
февраля 22, 2010 at 17:32
Ах да, чуть не забыл, когда я запускаю программу regedit, то у меня вместо HKCU - HKEY (И там дописано к примеру HKEY_USERS)
Ответить
Igorka Reply:
февраля 22, 2010 at 17:43
HKCU - это сокращенно от HKEY_CURRENT_USER
HKLM - HKEY_LOCAL_MACHINE
и т.д.
Ответить
Dark Prince Reply:
февраля 22, 2010 at 17:50
Ясно, Спасибо, На Будущее - Буду Знать :)
Ответить
Dark Prince Reply:
февраля 23, 2010 at 20:36
Всё выполнил как в статье и в видео :)
Ну всё в принципе тоже самое и осталось, вот только я тут подумал и решил поделится мыслей : Может где то в реестре или ещё где, надо установить значения, что бы показывался пуск, с панелькой внизу, ярлыки на рабочем столе ну и т.д. ? Может просто вирус заблокировал в параметрах системы и надо просто вернуть старые параметры?
В общем, буду ждать ответа…
Ответить
Igorka Reply:
февраля 23, 2010 at 21:31
Проверьте в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр UserInit. Значение параметра должно быть C:\WINDOWS\system32\userinit.exe. Проверьте, что в папке C:\WINDOWS\system32\ есть файл userinit.exe
Ответить
Dark Prince Reply:
февраля 24, 2010 at 15:28
Да, всё правильно : И файл есть и в реестре так же написано, я даже запитую убрал :)
Но Вот я обнаружил в той же папке (Winlogon) интересный путь : %SystemRoot%\system32\user 32.exe Этот путь интересен тем, что User 32 - Ни кто иной, как вирус, когда я его запускал, именно он запускал чёрный экран с Internet Security. Так что может надо стереть и оставить поле пустым? Пока что, я сделал именно так, предварительно скопировав этот путь в текстовом документе, на всякий пожарный :) И заодно, а можно ли как найти ещё такие пути к указанному вирусу User 32.exe ? (Ну в реесте и т.д. а в папках, я через поиск поищу :) )
Ответить
Igorka Reply:
февраля 24, 2010 at 15:39
В каком параметре был указан путь %SystemRoot%\system32\user 32.exe ?
Ответить
Dark Prince Reply:
февраля 24, 2010 at 16:29
shell
Ответить
Igorka Reply:
февраля 24, 2010 at 16:34
Параметр shell должен быть таким: explorer.exe
Ответить
Dark Prince Reply:
февраля 24, 2010 at 16:44
%SystemRoot%\system32\explorer.exe ?
И Второе, чё т у меня при загрузке виндоус, после того как чёрный экран исчезает и по идее, должна быть загрузка другая - У меня перезагружается Виндоус сам :(
Ответить
Igorka Reply:
февраля 24, 2010 at 16:53
explorer.exe
Ответить
Dark Prince Reply:
февраля 24, 2010 at 16:55
А что можно будет предпринять, если виндоус так и будет сам перезагружатся? (Биос Запускается) Или это временно и пройдёт?
Ответить
ALEKS:
Подскажите пожалуста, при загруске windows после приветствия выскакивает уведомления от windows “не удолось найти файл csrcs.exe , найдите через меню пуск ” . Что это может означать?
Ответить
Igorka Reply:
февраля 26, 2010 at 20:43
Как правило csrcs.exe - это вирус. Скорее всего в реестре или в автозагрузке есть ссылки на этот файл, а самого файла уже нет. Посмотрите либо в реестре(поищите по значению параметра csrcs.exe) или в запустите msconfig и посмотрите там.
Ответить
ALEKS:
Спосибо….
Ответить
27 февраля 2010, 8:48ALEKS:
В автозагруске посмотрел, там есть несколько позрительных загрузок например -
1)NvCpl RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Есть ещё 1 файл, но с названием csrcs в автозагруске нет…
Ответить
Igorka Reply:
февраля 27, 2010 at 9:35
Если у вас видеокарта от Nvidia и установлены стандартные драйвера, то ничего подозрительного в NvCpl нет. Это всего лишь запуск маленькой утилиты для управления некоторыми видео-настройками. В трее изображение монитора с синим экраном (не путать со значком сети) и есть данная утилита.
Ответить
ALEKS:
Благадарю застоль быстрые ответы. Да у меня видео карта Nvidia и драйвера стандартные. А второи процес ctfmon. Другие процессы относится к антивирусам.
Ответить
Igorka Reply:
февраля 27, 2010 at 18:17
Если по простому, то ctfmon.exe - это языковая панелька. Стандартный Windows-процесс.
Ответить
Yaxx:
Сегодня “посчастливилось” в очередной раз попасть на страницу, с которой можно получить этот вирус. Искал книгу для скачивания. {http://}188.131.105.153/ sex/ category.php?id=main&s=782 Фигурные скобки мои. В какой момент открылась эта страничка, я даже не заметил, она была позади главного окна браузера. Закрыл её и прошёлся повторно по посещённым ссылкам, чтобы выяснить на какой из них происходит её появление, но больше она не открывалась.
Ответить
27 февраля 2010, 22:41Валерий:
Спасибо огромное за статью!
С вирусами очень помогает LiveCD !Dr.Web CureIt - рулит!
Так же огромное спасибо за видеоролик на тему как восстановить реестр Windows XP! Всё восстановлено и работает.
Осталось одна маленькая проблемка.Не работает командная строка.
Пишет:”отказано в доступе……Возможно,у вас нет нужных прав доступа к этому объекту.”
Может подскажете пожалуйста как восстановить cmd.exe ?
Ответить
Igorka Reply:
февраля 28, 2010 at 19:23
Спасибо за отзыв. Рад, что мои статьи помогли.
По поводу cmd.exe проверьте, что есть исполняемый файл (cmd.exe) в C:\WINDOWS\system32 и посмотрите права доступа на него.
Ответить
Валерий Reply:
марта 12, 2010 at 23:20
Командная строка восстановилась,хот и не понял за счет чего сделал.Накачал каких то Comodo,ESET Online Scanner,BitDefender,WinsockXPFix,.NET Framework 2.0 .
Что то из них запускал.Вроде сейчас всё работает.
Правда теперь другой вирус,не такой страшный как этот.Появляется в С:\Program files\ название Plugin.exe размер 366 Кб
Так же с порно-банером который требует отправить код 6139030 на номер 8353. ещё есть кнопка Суппорт которая высвечивает данные:icq-558812836,e-mail lex-doroti@mail.ru
И немогу убрать галочку с Планировщик пакетов QoS Инет тормозит по страшному.Получилось лишь с помощью gpedit.msc в Administrative templates включением Limit reservable bandwidth (0%)
Ещё очень беспокоят В диспетчере появились новые процессы:wuauclt.exe,spoolsv.exe ???Откуда?Вирус подменил?
Ответить
Ира:
Добрый вечер! Подскажите, пожалуйста, как можно включить редактор реестра. У меня весь экран черный, и пуск не включается!
Ответить
Igorka Reply:
марта 21, 2010 at 19:32
Добрый вечер,
Напишите на мой почтовый ящик ( http://igorka.com.ua/o-sebe/ ), что у вас случилось более подробно.
Ответить
Алина:
Здравствуйте!У меня такая проблема: диск D, открывается и через 2секунды закрывается…Может ли быть эта проблема связана с вирусами?
Ответить
Igorka Reply:
апреля 5, 2010 at 9:15
Здравствуйте. Может.
Ответить
Евгений:
Здравствуйте! Есть такая проблема.
Поймал вирус Internet Security. При открытии любого сайта начинает ссылаться на “Вконтакте”, типа меня взломали, просят активировать свою страницу путем отправки смс сообщения на определенный номер.
В реестре все пути проверил, ничего подозрительного не нашел. Подскажите что можно сделать.
Ответить
Igorka Reply:
ноября 18, 2010 at 16:30
Добрый день,
Прочтите эту заметку http://igorka.com.ua/2010-05-22/soedinenie-zakryto-udalennym-serverom/ , возможно у вас похожая ситуация и получится решить ее описанным там способом.
Ответить
Евгений:
Еще раз привет!!!!
Проблема такая. На сайт все равно не заходит. В файле hosts прописано все как надо, но когда я начинаю ping-овать то IP адрес один и тот же выскакивает. Что делать уже незнаю… Подскажи!!!! Заранее спасибо.
И еще у меня сайт есть. Вот на него я зайти могу, но не более.
Ответить
18 ноября 2010, 17:37Евгений:
Может через cmd как нить можно побороться???
Ответить
18 ноября 2010, 17:39Галя Маленькая:
вылез баннер на номер 89167062281, через диспетчер задач зашли и поставили Касперский Virus Removal Toll 2010, он нашел вирус и удалил, баннер удалили, но при загрузке нет рабочего стола. нет отражения значков. что сделать?
Ответить
17 декабря 2010, 11:16