Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 08.12.2009, 23:54   [включить плавающее окно]   #1
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Очередной смс-вымогатель

Сегодня один из юзеров словил нового смс-вымогателя.
Экран, текст и номер телефона - в инете не нашел их.
При загрузке вылетают с ошибками все приложения, которые в автозагрузке.
В безопасном режиме антивирус банально выбивает в bsod.
Проверка avz - тоже bsod
Загрузка с live cd dr web (сегодняшний) ничего не обнаруживает
Загрузка с erd commander - в автозагрузке ничего подозрительного.

Как прибить эту тварь?
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.12.2009, 00:24   [включить плавающее окно]   #2
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Цитата (Potapicus) »
Загрузка с erd commander - в автозагрузке ничего подозрительного.
реестр весь осмотрел?
Potapicus ливСД - почистить все "темпы" (их аднака ой много... ), пройтись по c:\ , windows, windows\system32, windows\system32\drivers, Docs&setts - удалить все левые и не имеющие подписи .exe && .dll && .sys + поискать еще чего левого на винте добавилось... в среднем на осмотр уходит часа 2.
иногда помогает.

Bazel добавил :

Цитата (Potapicus) »
Проверка avz - тоже bsod
подозреваю что грузится какая-то левая длл...
если исключить проблемы с железом
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.12.2009, 05:29   [включить плавающее окно]   #3
Alexandra
Женский Недосягаемый
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Цитата (Potapicus) »
В безопасном режиме антивирус банально выбивает в bsod.
А ProcessExplorer?
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.12.2009, 07:06   [включить плавающее окно]   #4
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Bazel - надеюсь что сегодня ливсд от веба пофиксят - потому как вчера он именно эту разновидность не знал

Alexandra - тоже не запускает
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.12.2009, 09:04   [включить плавающее окно]   #5
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
Цитата
erd commander
что то есть в winlogon?
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.12.2009, 13:56   [включить плавающее окно]   #6
Voplexx
Мужской Заслуженный
 
Аватар для Voplexx
 
Регистрация: 27.04.2003
Цитата
Экран, текст и номер телефона - в инете не нашел их.
не плохо б для идентификации знать
__________________
MSI GT780DXR i7-2670QM/16Gb DDR3/750Gb WD-7200rpm/120Gb OCZ Vertex 4 VTX4-25SAT3-128G/NVidia GTX570M 3GB DDR5/17.3" FHD/DVD-Multi/XAI
Voplexx вне форума  
Ответить с цитированием
Непрочитано 09.12.2009, 22:15   [включить плавающее окно]   #7
M@DDOc
Мужской Общительный
 
Аватар для M@DDOc
 
Регистрация: 12.04.2009
Potapicus у меня похожая проблема, увы пока только решалась переустановкой(((((((((
__________________
FRANGAS NON FLECTES!!!!
M@DDOc вне форума  
Ответить с цитированием
Непрочитано 09.12.2009, 23:26   [включить плавающее окно]   #8
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Проблему решил так:
поставил зараженный хард на предварительно собраный стенд, на котором прогнал зараженный хард AVPTool. Было найдено штук 30 dll'ок в %user%/Temp, кои были удалены.
После этого зараженная система стала грузится - но по-прежнему вылетали ошибки. Тем не менее AVPTool запустился, нашел еще штук 10 троянов в почте и еще немного в system32. Потом HIJack - пофиксить автозагрузку.
Все, система вылечена.
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2009, 00:21   [включить плавающее окно]   #9
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Intel 3DN Clan, Небытие
Potapicus
Образы, чистых систем нуно иметь, чтоб вирусы образами морить.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2009, 17:05   [включить плавающее окно]   #10
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott - да каждый раз все хочу так сделать - да забываю...
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2009, 20:10   [включить плавающее окно]   #11
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Intel 3DN Clan, Небытие
Potapicus
В России есть вид спорта - наступать на грабли
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.12.2009, 21:19   [включить плавающее окно]   #12
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
Хм, я нашел сайт, который это создает
http://d-acc.com/
вход безопасен

il72 добавил :

M@DDOc в семерке ничего сделать эта зараза не смогла
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.12.2009, 22:44   [включить плавающее окно]   #13
Бизя
Женский Общительный
 
Регистрация: 14.09.2007
может поможет эта инструкция: forum.kaspersky.com/ index.php?showtopic=148547
Бизя вне форума  
Ответить с цитированием
Непрочитано 24.12.2009, 22:54   [включить плавающее окно]   #14
Demonikus_psk
Мужской Начинающий
 
Регистрация: 28.02.2009
у меня была такая "шляпа" проблему решил так:
вытащил винт и проверил на вирусы другим компом
стоял каспер 2010 бета...проблема была решена.
также можно решить проблему с помощью скрипта в AVZ, но я не помню...

кстате неплобы если ты выложилбы фотку этого вируса...

Demonikus_psk добавил :

так же забыл добавить что делаю проверку на вирусы на другом компе...я делал в настройках каспера полную проверку...я имею ввиду уровень проверки....он ставится в настройках каспера.
Demonikus_psk вне форума  
Ответить с цитированием
Непрочитано 27.12.2009, 18:06   [включить плавающее окно]   #15
Makwein
Мужской Интересующийся
 
Аватар для Makwein
 
Регистрация: 16.03.2009
Адрес: CCCP
Мне приносили комп с похожей проблемой. Где-то месяц назад (может меньше), после загрузки, независимо от того подключен от к инету или нет, на экране появлялась надпись о необходимости отправить СМС на короткий номер. Причем клиент сказал что СМС отправлял (сняли со счета 30 гривен... и все!). Диспетчер был отключен, командная строка тоже, окно с этой заразой было всегда на первом плане. Решил просто - загрузился с диска (Acronis Disk Direktor) и почистил папки TEMP в корне диска С и в Doc&Sett. Как потом выяснилось (через два дня был комп с такой-же проблемой), эта гадость сидела в папке TEMP в корне С в виде "кучки" файлов во главе с dll, причем NOD SmartSec, AVZ, CurIt, AdWare её не видели!!!
__________________
Сколько волка не корми, а у ишака всеравно больше...
Makwein вне форума  
Ответить с цитированием
Непрочитано 01.01.2010, 12:12   [включить плавающее окно]   #16
Alexandra
Женский Недосягаемый
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Makwein
Чё врём жрём?,я ,конешно не фанатка DrWeb,но попрашу......,он всех видел.

Alexandra добавил :

Winlocker.Ага.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.01.2010, 17:10   [включить плавающее окно]   #17
Makwein
Мужской Интересующийся
 
Аватар для Makwein
 
Регистрация: 16.03.2009
Адрес: CCCP
Для Alexandra повторяю: антивири, включая CureIt эту гадость НЕ ВИДЕЛИ! (может быть на то время) но это факт!
__________________
Сколько волка не корми, а у ишака всеравно больше...
Makwein вне форума  
Ответить с цитированием
Непрочитано 13.01.2010, 16:15   [включить плавающее окно]   #18
Alexandra
Женский Недосягаемый
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Makwein
Цитата (Makwein) »
Для Alexandra повторяю: антивири, включая CureIt эту гадость НЕ ВИДЕЛИ! (может быть на то время) но это факт!
Надеюсь с понятием "активное заражение" ВЫ знакомы,так какого фига тут лечилки из под окон?
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.01.2010, 12:04   [включить плавающее окно]   #19
jane
Женский Абсолютный
 
Аватар для jane
 
Регистрация: 01.11.2004
Адрес: Флудер c 3DNews, VIA C3 Clan, Cell Forever! Москва
Здрассьте всем!
Вот и у нас на работе товарисч подцепил такую шнягу.
Короче, типа "я крутой антиврь, твой комп заражён по самое не балуйся, а ты отошли смс и я это всё вылечу, бла-бла-бла...".
Симптомы такие: блокирует таск менеджер, регедит, короче всё до чего дотянется. Антивири, естественно, не запускаются. При попытке просто открыть папку с авз-ткой просто вырубает комп.
Что предпринималось: загрузка с live-CD, чистка всех темповских папок, проверка АВЗ (правда, пока без скриптов), запуск лив-CD Касперыча (ничего не нашёл).
Сегодня попробую: провериться ДрВебовским Лив-CD, из под загрузочного проверить свежим Курить, попробую запустить скрипты в АВЗ. При наличии времени попробую полазить по system32 поискать шнягу вручную.

Есть какие-нибудь соображения по этому поводу?

Alexandra
Ежели чего не так, не ругайси, плиз.
__________________
Предохранитель не воробей - вылетит, не поймаешь. (Народная мудрость)
Beefeater... & CoffeeDrinker
jane вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.01.2010, 15:09   [включить плавающее окно]   #20
Kraft
Мужской Модератор
 
Аватар для Kraft
 
Регистрация: 03.06.2004
Адрес: Северный берег Белого моря
Была (давно) рекомендация переименовывать папки и командные файлы антивирусов, чтобы звери не могли нарушить работу антивируса. В Винде эта рекомендация, как думается, не работает ?
Kraft вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 01:00. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey