X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> "Режим усиленной защиты Антивируса", троян. симптомы и лечение
Staurus
Staurus
Topic Starter сообщение 6.6.2011, 11:02; Ответить: Staurus
Сообщение #1


Big Brother
******


Группа: Active User
Сообщений: 2179
Регистрация: 12.6.2009
Из: Симферополь
Поблагодарили: 2368 раз
Репутация:   260  


Доброе время суток.
На выходных столкнулся с одним интересным, новым троянцем и хочу поделится как зверя утихомирить.

И так, история:
Пишет мне подруга по аське, что она кажется подцепила вирус какой то и перезагружается. После перезагрузки было следующее:

Касперский 2011, хотя у нее всегда стояла 7 версия Касперыча.

Я спросил что случилось:
Сидела ВКонтакте, и тут ей подруга присылает ссылки на видео с текстом, это ты.
Она зашла, якобы на Youtube, комментарии на видео, все ее друзья из ВК писали. А на самом видео надпись: У вас старая версия Flash плеера, пожалуйста обновите и ссылка.
Она нажала! Скачался Flash плеер весом 1.2 Мб. Нажала на него, и тут антивирус зарычал, что вирус вылечен и нужно перезагрузить компьютер.
После перезагрузки Мега Супер Пупер Касперский ЗДОХ! все службы касперыча и сама программа не запускались.

Доступ ВКонтакте, Одноклассники, МойМир, были заблокированы. Вообще не открывались эти сайты.
Доступ к реестру закрыт, доступ к свойствам папки - закрыт (потому что, он делает некоторые папки скрытыми)
При загрузке антивирусов на некоторые exe`шники была нулевая реакция. На другие антивирусы, аналогичная табличка "Усиленной защиты"
Кстати посмотрев в интернете увидел, что рубится не только касперский, но и Avast, Nod, DR.web, MSE



И так, лечим:
Качаем FAR
Качаем AVZ
Качаем Malwarebytes Anti-Malware
Качаем Avira

Ctrl+alt+del - убиваем служебные программы, которые запущенны от пользователя (Вроде Srvservice и svvhost)
FAR`ом - заходим в папочку Windows и ПЕРЕМЕЩАЕМ на рабочий стол две скрытые папки Update1 Update2
Запускаем AVZ, заходим в службы
Убиваем службу xWpDrivers (Сервис - Диспетчер служб и драйверов), и смотрим дальше, все подозрительные службы, которые выделены черным цветом, тоже убиваем.
Заходим в Автозагрузку (Сервис - Менеджер Автозапуска) И убиваем все левые пути автозагрузки, они почти все будут идти из папки Windows
Перезагружаем.
Удаляем две папочки Update, которые мы раньше перекинули на рабочий стол.
Запускаем Проверку AVZ и Malwarebytes Anti-Malware.
Затем Устанавливаем AVira и тоже запускаем на проверку.
По идее все должно вылечится, но если нет, то вот предполагаемый список зараженных файлов:


Развернуть/Свернуть



c:\\windows\\aadrive32.exe - Trojan.MSIL.Crypt.dq
C:\\WINDOWS\\jodrive32.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\l1rezerv.exe - Trojan.Win32.Scar.dzcv
c:\\windows\\system32\\ac32.exe - Backdoor.Win32.VB.npc
C:\\WINDOWS\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.cnqn
C:\\WINDOWS\\system32\\Tarantula.cpl - подозрительный,
C:\\WINDOWS\\system32\\40.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\system32\\42.exe - подозрительный,
C:\\WINDOWS\\system32\\72.exe - подозрительный,
C:\\WINDOWS\\system32\\78.exe - подозрительный,
C:\\WINDOWS\\system32\\86.exe - Trojan.MSIL.Crypt.do
C:\\Documents and Settings\\user\\Application Data\\46.tmp - Trojan-Downloader.Win32.Small.bzua
C:\\Documents and Settings\\user\\Application Data\\47.tmp - Trojan-Downloader.Win32.Small.bztz
C:\\WINDOWS\\l1rezerv.exe - Trojan.Win32.Scar.dzcv
C:\\WINDOWS\\system32\\40.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\system32\\42.exe - подозрительный,
C:\\WINDOWS\\system32\\72.exe - подозрительный,
C:\\WINDOWS\\system32\\78.exe - подозрительный,
C:\\WINDOWS\\system32\\86.exe - Trojan.MSIL.Crypt.do





Можете их удалить ручками через FAR.

Ну вроде все.

P.S. - Не кликайте куда попало


--------------------


Поблагодарили: (3)
7
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 6.6.2011, 11:07; Ответить: jack
Сообщение #2


----------------
*******

Группа: Super Moderator
Сообщений: 7862
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10733 раза
Репутация:   591  


(Staurus @ 6.6.2011, 10:02) *
P.S. - Не кликайте куда попало

"И самое главное - никаких половых контактов!"
У меня лицензионные аваст + оутпост, ни разу ничего не поймал, хотя с 9 утра и до 2-3 ночи я перелопачиваю тьму-тьмущую сайтов.


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram


Поблагодарили: (2)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
metkram
metkram
сообщение 6.6.2011, 11:41; Ответить: metkram
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 1123
Регистрация: 15.2.2010
Из: Украина
Поблагодарили: 364 раза
Репутация:   38  


Друзьям часто такие ссылки приходят. Непосвященные кликают на них, так как интересно посмотреть видео с ними
В результате помогает переустановка винды. Даже не думал, что есть способ избавится от этой холеры, мать ее...
Спасибо большое


--------------------
Купи и эту строчку
Купи и эту строчку
Комплексный прогон сайтов ru и en


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Staurus
Staurus
Topic Starter сообщение 6.6.2011, 11:43; Ответить: Staurus
Сообщение #4


Big Brother
******


Группа: Active User
Сообщений: 2179
Регистрация: 12.6.2009
Из: Симферополь
Поблагодарили: 2368 раз
Репутация:   260  


(metkram @ 6.6.2011, 10:41) *
Даже не думал, что есть способ избавится от этой холеры, мать ее...

Я просто не мог, на все забить и переставить винду, это самый легкий способ.
Как бы автор вируса вызвал меня на беспощадную дуэль, в которой я выиграл )))

Единственный вирус который я не победил в жизни, это Sality. Когда еще заплаток не было, и на форумах антивирей, говорили что только переустановка поможет.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebAction
WebAction
сообщение 6.6.2011, 13:25; Ответить: WebAction
Сообщение #5


Топовый постер
*******

Группа: Super Moderator
Сообщений: 3059
Регистрация: 18.11.2009
Поблагодарили: 2510 раз
Репутация:   249  


Спасибо. AVZ вообще силен smile.gif

PS. Флеш плеер обновляю только на офф сайте!


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
scanread
scanread
сообщение 6.6.2011, 23:50; Ответить: scanread
Сообщение #6


ДЕТАЛИ В ПРОФИЛЕ
******

Группа: Active User
Сообщений: 1005
Регистрация: 16.12.2009
Поблагодарили: 178 раз
Репутация:   54  


virusinfo.info - форум в помощь, там много всего лечат и подобными методами.

З.Ы. не сочтите за рекламу, просто хороший ресурс, не раз спасал от всяких "насекомых", что завелись на ПК-шке.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
deepmojo
deepmojo
сообщение 14.6.2011, 4:18; Ответить: deepmojo
Сообщение #7


Новичок
*

Группа: Viewer
Сообщений: 1
Регистрация: 5.4.2011
Поблагодарили: 0 раз
Репутация:   0  


Приветствую, нашел в инете инструкцию по удалению так же, тут чутое может понятнее кому будет

"вспомни ты в последнее время качал какие нибудь файлы из интернета? например exe файл весом 1,16 МБ. если так то это точно вирусняк. у меня такой же был. в общем запусти поиск по C:\ диску на наличие myrar.exe, services32.exe и svchost.exe (только не тот что лежит в папке system32). скорее всего они будут с иконкой FLASH Player и весить они будут 1,16 МБ. если так то смело удаляй их. ах да. вот путь: Панель управления--------Свойства папки-------Вид-------Показывать скрытые файлы и папки---------Применить. посматри C:\WINDOWS\l1rezerv.exe - если есть удаляй файл и процесс в диспетчере задач. Затем C:\WINDOWS\update. 1 (если таковая есть). если там есть svchost.exe - удаляй. выдаст что он используется приложением и удаление невозможно. через диспетчер задач не пробуй удалять процессы svchost.exe. там их штук 7. и некоторые очень важны. лучше скачай Process Explorer. там есть все процессы с иконками и памятью. найди с иконкой FLASH Player svchost.exe. посмотри потребляемую им память. и сверся с диспетчером задач и удали процесс. затем удаляй сам файл. теперь быстрее ставь Norton Internet Security 2011 и полное сканирование. потом любой другой антивирус. "
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
evgeny210
evgeny210
сообщение 14.6.2011, 5:04; Ответить: evgeny210
Сообщение #8


Бывалый
****

Группа: User
Сообщений: 335
Регистрация: 29.6.2010
Из: НН
Поблагодарили: 103 раза
Репутация:   18  


Как я погляжу, тяжела жизнь с виндой. Сидите в нете с линукса и будет вам счастье.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Staurus
Staurus
Topic Starter сообщение 20.6.2011, 3:31; Ответить: Staurus
Сообщение #9


Big Brother
******


Группа: Active User
Сообщений: 2179
Регистрация: 12.6.2009
Из: Симферополь
Поблагодарили: 2368 раз
Репутация:   260  


Вот пришло лично в ВК, на такую ссылку:


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
FishBone
FishBone
сообщение 20.6.2011, 4:49; Ответить: FishBone
Сообщение #10


Старожил
******

Группа: Active User
Сообщений: 1520
Регистрация: 5.12.2010
Из: Минск
Поблагодарили: 487 раз
Репутация:   81  


Компьютер - это вещь с помощью которой можно решить те проблемы, которых до его появления вообще не существовало.

Спасибо!
Кстати, кто много сидит в интернете, тот может отличить два сайта. Я всегда смотрю на домен ссылки, на дизайн, и сразу чую различие.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Новости mail.ru появятся в "рекомендациях" Вконтакте?
16 eduarddis 2435 Вчера, 15:55
автор: Pingunio
Открытая тема (нет новых ответов) Переводчик по тематике "Арбитраж трафика, партнерки и т.п." на постоянную основу
1 kuprum 318 9.12.2017, 17:02
автор: pishu-text
Открытая тема (нет новых ответов) Имеет ли смысл такое "присоединение сайтов"?
перенести все статьи на свой сайт, а с прежнего поставить 301 редирект
8 coremission 980 5.12.2017, 11:57
автор: coremission
Открытая тема (нет новых ответов) Куплю "вечные URL" с ваших сайтов с тематикой - Пластиковые Окна!
0 regem 423 5.12.2017, 3:47
автор: regem
Горячая тема (нет новых ответов) Сайт "под ключ" с полной внутренней оптимизацией бесплатно
72 Dr_Tapac 28772 30.11.2017, 21:17
автор: Dr_Tapac


 



RSS Текстовая версия Сейчас: 11.12.2017, 14:05
Дизайн