Новый вирус

[vanish 3 019]

Заразился новым вирусом. Может кто боролся с таким.

Сидел смотрел кино, выскочило сообщение (примерное содержание): "Вы нарушаете авторские права смотря видео более 6 часов. Туда-то пошлите смс и все будет хорошо." Окно это почти во весь экран, не передвигается, не убирается. Мигает, т.е. постоянно проверяется чтобы было на переднем плане. Диспетчер задач не пускается, пишет что запрещен. Avast Pro не находит в запущенных процессах вируса. Вообще почти ничего включить нельзя, т.к. это окно почти во весь экран. Соединение с интернетом устанавливается, но не работает. Пинг не идет ни на один DNS-сервер. Безопасный режим Windows не включается, видимо в его автозапуск тоже чего-то прописал. При перезагрузке комп ругается "не могу выключить route.exe"

*39* Первый раз такой "умный" вирь вижу.

[Ермола 67]

На прошлой неделе такой же поймал.

Пришлось переустонавливать.

[bocandzo 19]

если антивирь не справился, ставь вот эту прогу v16 PowerTools и с ее помощью удаляй Get Accelerator, и потом еще раз пробуй антивирем, хотя возможно антивирь придется поставить заново, попробуй потыкайся

[roan 0]

Попробуй загрузится из под доса и переименовать route.exe .

[Акнот 1]

если не сложно, можно описать поподробнее.

фильм смотрели с нета???

подключение к интернету в данный момент было или нет?

ermola1203 выявили ли этот процесс?

интересно узнать хоть примерно откуда он просочился?

[vanish 3 019]

Запустился он когда я смотрел фильм с жесткого диска. Проигрыватель из К-Лите Кодек пак.

Откуда он мог взяться.

У меня есть 2 варианта -

1. Я играл в простеньку онлайн игру через Инет Експлорер. (в опере она не работала) Типа сапера что-то.

2. Друг принес странный фильм "JigSpinn.avi" Сказал, что только что скачал и сам не смотрел. Он у меня не пустился, причем при попытке запустить вешал систему полностью, не зависимо от проигрывателя. С момента его запуска как раз примерно 6 часов видео я просмотрел.

[Ермола 67]

интересно узнать хоть примерно откуда он просочился?

Всех подробностей не знаю так как произошло это когда сын сидел.

Но также говорит, что смотрел какой-то фильм.

Я не являюсь специалистом в уничтожении вирусов.

Зашёл старый знакомый, тоже не стал рассуждать просто снёс всё с компа и установил заново.

[DJM 0]

Ну могу посоветовать несколько решений:

судя повсему это окно с надписью выводит отдельная прога, и скорее всего она сидит в автозагрузке, рекомендую посмотреть ветки в реестре

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run,

HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

на наличие сторонних программ.

далее, c:\WINDOWS\system32\drivers\etc\hosts - открыть данный файлик на редактирование в блокноте, его можно полностью очистить и сохранить.

route.exe - это служба роутера, попросту брандбауэр виндоус, его можно отключить как службу, Мой компьютер правой кнопкой, Управление- службы -брандмауэр - отключить...

после проведение всех операций можно посмотреть на последствия, что изменится. И ко всему прочему я бы посоветовал сменить антивирус.

Кстати, сталкивался почти с такойже штукой. Программа резидент маскировалась под программу Download Master/

[arhont 200]

сам пользую такой набор для чистки компов

cureit(от dr.web) + AVZ

обе утилиты бесплатны

кюреит более проста в использовании и чаще обновляется

в АВЗ больше функционала для "ручной" чистки системы, если несправляются антивирусы

[Фидер 13]

Похожий вирус Пожарник словил.Приехал Семен (Hook) вроде вылечил.

[ДедМазай 8 121]

В выходные ставил кучу софта на свежую систему.

Каспер периодически блокировал "лишние" попытки изменения реестра, автозапуска, разок выскочила мессага о фишинге,

а после установки скачанного Неро сообщил о попытке установки нового драйвера ... я малость подождал ... Неро закончил ... снес нах этот некий драйвер.

[MrFrost 135]

Ребят, Вы не забывайте что эта зараза всегда висит поверх ЛЮБЫХ окон и занимает 3/4 экрана. Практически любые проги (и антивирусные естественно) при установке будут хоть раз требовать что-то нажать или что то подтветрить в установке. Эта бяка Вам такой возможности не даст. Поэтому идеальный вариант загрузиться с CD (где винда полностью грузится с компакт-диска) и там уже лечить. Ловит его и DrWeb CureIt, ловит даже старенький Ad-Aware. А ещё вот тут на сайте Доктор Веба есть даже утилитка которая генерит тот самый код активации (там много всяких, хотя когда я лечил эту заразу одному знакомому, нужного мне номера не оказалось)

[Priest 13]

Я б начал так.

1. Качаем свежий AVZ.

2. Запускаем сканирование.

3. В меню Файл выбираем Просмотр списка подозрительных объектов.

4. Разбираемся с каждым - смотрим свойства, ищем в интернетах. Напоминаю - они всего лишь подозрительные.

5. Внимательно просматриваем список установленного в Установка и удаление программ.

[Di_Mok 35]

Ребят, Вы не забывайте что эта зараза всегда висит поверх ЛЮБЫХ окон и занимает 3/4 экрана

Ну, это тоже не проблема. Можно загрузится с сидишногоили флешного загрузчика.

Если его нет, нажми [win]+, выскочит окошко "Диспечер служебных программ", выбери "Экранная клавиатура", нажми [Запустить], выскочит клавиатура и окошко с сылкой "Веб-Узел Microsoft" ткни по этой ссылке, откроиться IE или Opera или... Запусти из строки адреса CureIt или AVZ, иди курить

Изменено 7 Декабря 2009 пользователем Di_Mok

[vanish 3 019]

Di_Mok, Не получиться так. Окошко постоянно обновляется и становиться поверх всех окон. Соответственно нажать кнопку "Сканировать" скорее всего не получиться.

С утра кое-как бытрыми движениями мышки удалось вытащить чуть-чуть в бок сканер Avast. И чудом запустил проверку при загрузке. Сейчас пойду смотреть чего нашла эта проверка.

Если ничего не нашла то думаю запустить regedit. Снизу его чуток видно, попробую активизировать Диспетчер задач, и вырубить вредоносный процесс.

[MrFrost 135]

Di Mok - без обид конечно, но прочти мой пост внимательно. Грузиться с CD я и написал, а если ты загрузишься по обычному... Если ты работаешь с CureIt-ом знаешь что он тебе сналала два окна выкинет, первое с лицензией, второе с надписью пуск - ты этих окон НЕ увидишь и НИЧЕГО и НИЧЕМ ты там не нажмёшь

to vanish - скорее всего не увидишь ты этого процесса в диспечере задач :(

Изменено 7 Декабря 2009 пользователем MrFrost

[Di_Mok 35]

Кстати, кроме веток про которые DJM написал, может быть еще как параметр к explorer.exe:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell

Di Mok - без обид конечно, но прочти мой пост внимательно. Грузиться с CD я и написал

Ага, пардон, прочитал только начало :)

Изменено 7 Декабря 2009 пользователем Di_Mok

[Priest 13]

Очень высока вероятность, что это левая dll, цепляющаяся к процессу эксплорера.

[vanish 3 019]

avast победил эту бяку. Даже ничего не спросил. Причем устранил и все последствия - диспетчер запускается, безопасный режим тоже, интернет работает, скрытые файлы видно. Вобщем полезная опция в Avast -сканирование во время загрузки. Жаль иногда удаляет лишнего.

Одно не понимаю - если он пронеё знал, зачем он ее в систему пропустил.

[Priest 13]

Потому что 'антивирусный Сканер' не равно 'антивирусный Монитор'.

Надо будет вспомнить, как из командной строки запускать скан-на-рестарте, вдруг пригодится...

[Макс-f 20]

да спасёт Дохтор Веб лайв CD.... :)

[артемий 0]

включил щас компъютер и nod с ходу замочил вот это C:\System Volume Information\_restore{1B055840-16C2-46A3-916B-D252C02616AE}\RP485\A0199904.exe Win32/TrojanDownloader.Small.OKR троянская программа очищен удалением - изолирован

это оно?

[Priest 13]

Не похоже. Комп домашний или в конторской сетке?

[артемий 0]

домашний

[Fidel 1 103]

Вот таким антивирусником Malwarebytes Anti-Malware сканируете комп, потом восстановление системы до последней точки и нефиг бесплатное порно смотреть. *01*

[Акнот 1]

Вот таким антивирусником Malwarebytes Anti-Malware сканируете комп, потом восстановление системы до последней точки и нефиг бесплатное порно смотреть. *01*

Согласен. При установке какого либо обновления и проги, система создаёт контрольную точку, восстановление системы ИМХО в таком случае лучше включить в безопасном режиме и откатиться ДО критического достояния

Точно *24* смотрите платное *32*

вот тут однодневка бесплатная http://www.freedrweb.com/cureit/?partner_i...&npp_type=1

Изменено 9 Декабря 2009 пользователем Акнот

[McARROW 2]

Вчера словил новый вирус -и вовсе не с порносайта,а на пустом месте практицки... *1*

Выскочило окно,закрывшее 90% экрана с информацией:

iLite Net Accelerator типа не лицензионная,отправьте СМС M204112300 на номер 3649 и будет вам счастье

в виде кода разблокировки.

Юзер я так себе,но кое что попробовал..

Кнопка Пуск работает,запустил сканер Д Вэб-ничего не найдено.

Запуск Диспетчера задач заблокирован.

Безопасный режим не запускается.

После перезагрузки окно пропадает,но появляется снова при попытке запустить какую либо программу.

Восстановление системы заблокировано.

В БИОСе менял текущее время вперед и назад-бестолку.

Короче-жопа,но, к счастью дома есть еще один комп с интернетом,где и стал искать решение проблемы.. :)

Так и бегал от одного к другому полночи,пока не победил зверя. *24*

Пересказывать весь ход битвы слишком муторно,вкратце:

код разблокировки можно получить у хозяев номера 3649,примерно так-

Комментарий от ilovich [ Декабрь 10, 2009, 19:10 ]

Парни, есть очень простой способ как избавиться от этой фигни. Позвоните по номеру 8(495)3631427 Добавочный 555. Приведу пример моего разговора с ними:

-Здравствуйте.

-Здравствуйте.

-Номер 3649 принадлежит вам?

-Назовите код смс.

-М204111500

-Код активации……(извините не запомнил, был на эмоциях)

-Почему вы творите это дело.

-Это не мы, это наш партнер нарушил правила партнерского соглашения, мы ему уже отказали в услугах и бесплатно раздаем коды активации.

Раз этот номер принадлежит вам, то я на ваше имя могу писать претензии в прокуратуру?

-Пишите, это ваше право.

Я же вылечил комп,изменив предлагаемое сообщение следующим образом:

Комментарий от xonix [ Декабрь 13, 2009, 16:29 ]

Спасибо за информацию, ilovich!

Попробуй для своего номера вот такой код – 7537444833

Всем «обладателям» текста смс начинающегося на М:

по-видимому, логика ответного кода активации (состоящего из 10 символов, как и текста смс) такова – вместо М ставится 7, к остальным цифрам текста смс прибавляется 3.

А весь ход анализа этих вирей,кому интересно,можно посмотреть по ссылке...

http://www.makak.ru/2009/04/29/windows-zab...omer-3649-viru/

Изменено 19 Декабря 2009 пользователем McARROW

[Priest 13]

Вылечил? Уверен? *16*

В нанадцатый раз напоминаю: http://virusinfo.info/forumdisplay.php?f=46

[Sanёk 2]

Словил похожее недавно... Не работало вообще ничего, кроме этого мерцающего окна... Словил при попытке установить Adobe Reader10. Пришлось сносить и переустанавливать... Причём воспринял только лицензионник. Обычный windows даже не воспринимал...

[McARROW 2]

Альберт,конечно не уверен,я же честно написал-юзер фиговый.И хотя сейчас комп нормально работает,какие-то сопли наверняка остались...Что-то изменилось в учетных записях-раньше при включении заходил через свою учетку,теперь сразу включается...

[sudak 2]

Вчера скачивал мелкие полезные проги, через час экран стал зеленым на 100% площади предлагает отправить смс на короткий номер. Комп ни на что не реагирует, при загрузке в любом режиме выскакивает и блокирует всё. После долгих и упорных упражнений подцепил второй жесткий диск с виндой, через него залез и удалил всё "лишнее". Где эта дрянь прописалась сказать не могу , т.к. удалял всё что было получено в этот день в т.ч. и обновления. *01*

[sudak 2]

Кстати мой лицензионный Веб пропустил эту бяку, полагаю я не очень внимательно смотрел что запускаю.

[vanish 3 019]

Эта бяка распространяется с невиданной быстротой. Раз в день-два ко мне с такими стали обращаться. Нагляделся уже на почти все модификации данных троянов.

Вобщем Др.Веб видимо активно борется, и та ссылка, что давал MrFrost в сообщении №12 стала подходить для 95% случаев. Т.е. просто вводишь код - получаешь ответ. Окно пропадает, ну а далее уже обычными методами удаляем остатки.

[Крупный скутерист 29 191]

Давеча тоже ловтл такую херь, и по совету многоуважаемого Базилефса, я набрал в поисковике этот грёбаный номер для отправки СМС, поисковик мне выплюнул кучу ссылок, в том числе и на форумы, гден есть программулина для генерации кодов для этой хрени, получил сгенерированны код, ввёл его в строку, которая была у меня на экране и всё пропало. *32*

[DBK 4 442]

Не эта зверушка ? :)

[Крупный скутерист 29 191]

Не эта зверушка ? :)

Не, не эта, номер для отправки смс был другой.

[vanish 3 019]

У вас хоть картинки красивые - а у меня просто на синем фоне или на белом. *01* *01*

Изменено 12 Января 2010 пользователем vanish

[DBK 4 442]

У меня товарищ на эти картинки красивые 3 дня пялился *1* Вместе с женой и дочкой малолетней. Пришлось выручать :)

[Гость Адепт]

Не эта зверушка ?

Эта ссука!!! При загрузке Adobe Reader10 подцепил вчера. Ладно ещё программист - профи есть знакомый. Быстро вычислил и удалил сию дрянь. Только он так и не мог понять, откуда сия бяка грузится. Скачал её к себе на флэшку, сказал что разберётся.

[andrew 0]

тупо удаляешь (окончательно!) папки IE и, если он есть, второго обозревателя (опера, лис или что там у Вас).

C:\Program Files\Internet Explorer

C:\Program Files\Mozilla Firefox

C:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\Application Data\Mozilla

а также все временные файлы

потом запускаешь восстановление системы на момент ДО поимки этой хрени.

Изменено 12 Января 2010 пользователем andrew

[Гость Тёмыч]

Пипец... уважаемый Андрей, такие советы не давайте лучше... очень непрофессионально.

PS понимаю что временные файлы удалить нужно... но папка эксплорера то вам чем помешала?.. это всё равно что лечить кариес путем отрубания головы.

А если у юзера отключено восстановление системы? а если из-за вируса не сработает восстановление? :)

Изменено 12 Января 2010 пользователем Тёмыч

[Priest 13]

Самое смешное, что в указанных папках того зловреда банально нет. *01*

[Di_Mok 35]

Самое смешное, что в указанных папках того зловреда банально нет.

Плюсадин, живность в их временных папках

[Водоплаватель 3 778]

У моих друзей-товарищей за последний месяц вылезла подобная хрень уже у троих (меня не считая).

Один снес систему, другой отправил СМС (всего за 25 долл.США), третий догодался мне позвонить, вылечили по телефону.

СКУТЕРИСТ -(ай, малацца!), умеет пользрваться яндексом

Просто моя мысль - на другом винте держтите резервную систему, пустую, с выходом в нет, и ИЩИТЕ и ОБРЯЩЕТЕ

[Сталкер 7 780]

Самое смешное, что в указанных папках того зловреда банально нет. *01*

Его там и не будет и быть не должно,

а вот папку temp чистить не помешает никогда *36*

[Сталкер 7 780]

Пипец... уважаемый Андрей, такие советы не давайте лучше... очень непрофессионально.

PS понимаю что временные файлы удалить нужно... но папка эксплорера то вам чем помешала?.. это всё равно что лечить кариес путем отрубания головы.

А если у юзера отключено восстановление системы? а если из-за вируса не сработает восстановление? :)

во время лечения нужно отключать восстановлением системы, все вредоносное программное обеспечение всегда там оседает и со временем может напомнить о себе

[TARAK@N 74]

Покупаю иногда в киосках тоненький журнальчик "Мой друг компьютер". Лучше всяких глянцевых, гламурных, состоящих из рекламы. Так вот там много всякой полезной информации выкладывают. В январском номере есть статья, как удалить вирус-порноинформер. В электронной версии: http://netler.ru/pc/ayrlib.htm Всем удачи...

[Priest 13]

"Найдите и удалите в папке \Windows\system32\ файл PnkBstr*.exe (например, PnkBstrA.exe)." - бедный панкбастер. *1* Вот так, не спрашивая тугаментов - уже три года расстрела...

[ВАЗ 1 405]

Таблица кодов разблокировки для троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации не лицензионной копии Windows лежит здесь:

http://turbobit.net/iassrysqy30v.html

или здесь:

http://rapidgator.net/?file=28836

Размер файла: 1,05 Мб. Таблица совсем свежая, борцы с вирусами выложили её только вчера.

[SmithZhas 0]

Удалял порнобанеры на двух машинах. Абсолютно одинаковые были. К вирусам не относились - просто выскакивали почти во весь экран при загрузке системы и блокировал браузеры и системные утилилиты.

В корне папки Program files (нужно включить показ скрытых и ситемных файлов в свойствах папки) был обнаружен plugin.exe и .html файл с непонятным названием.

Устранял с помощью TuneUp Utilities. Сначала исключил plugin.exe из автозагрузки, а затем удалил оба файла с помощью TuneUp Shreder.

Затем почистил реестр от ключей с именем plugin.exe и запустил докучи Доктор диска из того-же TuneUp.

Все!