X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> "Режим усиленной защиты Антивируса", троян. симптомы и лечение
Staurus
Staurus
Topic Starter сообщение 6.6.2011, 11:02; Ответить: Staurus
Сообщение #1


Доброе время суток.
На выходных столкнулся с одним интересным, новым троянцем и хочу поделится как зверя утихомирить.

И так, история:
Пишет мне подруга по аське, что она кажется подцепила вирус какой то и перезагружается. После перезагрузки было следующее:

Касперский 2011, хотя у нее всегда стояла 7 версия Касперыча.

Я спросил что случилось:
Сидела ВКонтакте, и тут ей подруга присылает ссылки на видео с текстом, это ты.
Она зашла, якобы на Youtube, комментарии на видео, все ее друзья из ВК писали. А на самом видео надпись: У вас старая версия Flash плеера, пожалуйста обновите и ссылка.
Она нажала! Скачался Flash плеер весом 1.2 Мб. Нажала на него, и тут антивирус зарычал, что вирус вылечен и нужно перезагрузить компьютер.
После перезагрузки Мега Супер Пупер Касперский ЗДОХ! все службы касперыча и сама программа не запускались.

Доступ ВКонтакте, Одноклассники, МойМир, были заблокированы. Вообще не открывались эти сайты.
Доступ к реестру закрыт, доступ к свойствам папки - закрыт (потому что, он делает некоторые папки скрытыми)
При загрузке антивирусов на некоторые exe`шники была нулевая реакция. На другие антивирусы, аналогичная табличка "Усиленной защиты"
Кстати посмотрев в интернете увидел, что рубится не только касперский, но и Avast, Nod, DR.web, MSE



И так, лечим:
Качаем FAR
Качаем AVZ
Качаем Malwarebytes Anti-Malware
Качаем Avira

Ctrl+alt+del - убиваем служебные программы, которые запущенны от пользователя (Вроде Srvservice и svvhost)
FAR`ом - заходим в папочку Windows и ПЕРЕМЕЩАЕМ на рабочий стол две скрытые папки Update1 Update2
Запускаем AVZ, заходим в службы
Убиваем службу xWpDrivers (Сервис - Диспетчер служб и драйверов), и смотрим дальше, все подозрительные службы, которые выделены черным цветом, тоже убиваем.
Заходим в Автозагрузку (Сервис - Менеджер Автозапуска) И убиваем все левые пути автозагрузки, они почти все будут идти из папки Windows
Перезагружаем.
Удаляем две папочки Update, которые мы раньше перекинули на рабочий стол.
Запускаем Проверку AVZ и Malwarebytes Anti-Malware.
Затем Устанавливаем AVira и тоже запускаем на проверку.
По идее все должно вылечится, но если нет, то вот предполагаемый список зараженных файлов:


Развернуть/Свернуть



c:\\windows\\aadrive32.exe - Trojan.MSIL.Crypt.dq
C:\\WINDOWS\\jodrive32.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\l1rezerv.exe - Trojan.Win32.Scar.dzcv
c:\\windows\\system32\\ac32.exe - Backdoor.Win32.VB.npc
C:\\WINDOWS\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.cnqn
C:\\WINDOWS\\system32\\Tarantula.cpl - подозрительный,
C:\\WINDOWS\\system32\\40.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\system32\\42.exe - подозрительный,
C:\\WINDOWS\\system32\\72.exe - подозрительный,
C:\\WINDOWS\\system32\\78.exe - подозрительный,
C:\\WINDOWS\\system32\\86.exe - Trojan.MSIL.Crypt.do
C:\\Documents and Settings\\user\\Application Data\\46.tmp - Trojan-Downloader.Win32.Small.bzua
C:\\Documents and Settings\\user\\Application Data\\47.tmp - Trojan-Downloader.Win32.Small.bztz
C:\\WINDOWS\\l1rezerv.exe - Trojan.Win32.Scar.dzcv
C:\\WINDOWS\\system32\\40.exe - Trojan.MSIL.Crypt.ej
C:\\WINDOWS\\system32\\42.exe - подозрительный,
C:\\WINDOWS\\system32\\72.exe - подозрительный,
C:\\WINDOWS\\system32\\78.exe - подозрительный,
C:\\WINDOWS\\system32\\86.exe - Trojan.MSIL.Crypt.do





Можете их удалить ручками через FAR.

Ну вроде все.

P.S. - Не кликайте куда попало


--------------------


Поблагодарили: (3)
7
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 6.6.2011, 11:07; Ответить: jack
Сообщение #2


(Staurus @ 6.6.2011, 10:02) *
P.S. - Не кликайте куда попало

"И самое главное - никаких половых контактов!"
У меня лицензионные аваст + оутпост, ни разу ничего не поймал, хотя с 9 утра и до 2-3 ночи я перелопачиваю тьму-тьмущую сайтов.


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!


Поблагодарили: (2)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
metkram
metkram
сообщение 6.6.2011, 11:41; Ответить: metkram
Сообщение #3


Друзьям часто такие ссылки приходят. Непосвященные кликают на них, так как интересно посмотреть видео с ними
В результате помогает переустановка винды. Даже не думал, что есть способ избавится от этой холеры, мать ее...
Спасибо большое


--------------------
Купи и эту строчку
Купи и эту строчку
Комплексный прогон сайтов ru и en


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Staurus
Staurus
Topic Starter сообщение 6.6.2011, 11:43; Ответить: Staurus
Сообщение #4


(metkram @ 6.6.2011, 10:41) *
Даже не думал, что есть способ избавится от этой холеры, мать ее...

Я просто не мог, на все забить и переставить винду, это самый легкий способ.
Как бы автор вируса вызвал меня на беспощадную дуэль, в которой я выиграл )))

Единственный вирус который я не победил в жизни, это Sality. Когда еще заплаток не было, и на форумах антивирей, говорили что только переустановка поможет.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebAction
WebAction
сообщение 6.6.2011, 13:25; Ответить: WebAction
Сообщение #5


Спасибо. AVZ вообще силен smile.gif

PS. Флеш плеер обновляю только на офф сайте!


--------------------
--тут может быть ваша реклама--


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
scanread
scanread
сообщение 6.6.2011, 23:50; Ответить: scanread
Сообщение #6


virusinfo.info - форум в помощь, там много всего лечат и подобными методами.

З.Ы. не сочтите за рекламу, просто хороший ресурс, не раз спасал от всяких "насекомых", что завелись на ПК-шке.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
deepmojo
deepmojo
сообщение 14.6.2011, 4:18; Ответить: deepmojo
Сообщение #7


Приветствую, нашел в инете инструкцию по удалению так же, тут чутое может понятнее кому будет

"вспомни ты в последнее время качал какие нибудь файлы из интернета? например exe файл весом 1,16 МБ. если так то это точно вирусняк. у меня такой же был. в общем запусти поиск по C:\ диску на наличие myrar.exe, services32.exe и svchost.exe (только не тот что лежит в папке system32). скорее всего они будут с иконкой FLASH Player и весить они будут 1,16 МБ. если так то смело удаляй их. ах да. вот путь: Панель управления--------Свойства папки-------Вид-------Показывать скрытые файлы и папки---------Применить. посматри C:\WINDOWS\l1rezerv.exe - если есть удаляй файл и процесс в диспетчере задач. Затем C:\WINDOWS\update. 1 (если таковая есть). если там есть svchost.exe - удаляй. выдаст что он используется приложением и удаление невозможно. через диспетчер задач не пробуй удалять процессы svchost.exe. там их штук 7. и некоторые очень важны. лучше скачай Process Explorer. там есть все процессы с иконками и памятью. найди с иконкой FLASH Player svchost.exe. посмотри потребляемую им память. и сверся с диспетчером задач и удали процесс. затем удаляй сам файл. теперь быстрее ставь Norton Internet Security 2011 и полное сканирование. потом любой другой антивирус. "
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
evgeny210
evgeny210
сообщение 14.6.2011, 5:04; Ответить: evgeny210
Сообщение #8


Как я погляжу, тяжела жизнь с виндой. Сидите в нете с линукса и будет вам счастье.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Staurus
Staurus
Topic Starter сообщение 20.6.2011, 3:31; Ответить: Staurus
Сообщение #9


Вот пришло лично в ВК, на такую ссылку:


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
FishBone
FishBone
сообщение 20.6.2011, 4:49; Ответить: FishBone
Сообщение #10


Компьютер - это вещь с помощью которой можно решить те проблемы, которых до его появления вообще не существовало.

Спасибо!
Кстати, кто много сидит в интернете, тот может отличить два сайта. Я всегда смотрю на домен ссылки, на дизайн, и сразу чую различие.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Требуется помощь по сайту на "ВордПресс"
Закрылся доступ в панель администратора
12 Tia2 1518 25.3.2024, 6:54
автор: Skyworker
Открытая тема (нет новых ответов) ✅ sms.chekons.com - ⭐ Сервис для получения SMS на реальные номера USA "Non-VoIP, безлим SMS, API" ⭐
Сервис для получения SMS на реальные номера USA
10 Chekon 3578 24.3.2024, 14:15
автор: Chekon
Открытая тема (нет новых ответов) ⭐⭐⭐ Google Voice | Gmail - OLD аккаунты "SMS и звонки" ⭐⭐⭐
12 Chekon 3808 24.3.2024, 13:56
автор: Chekon
Опрос (нет новых голосов) Опрос: Результаты в упражнении "Жим лёжа" у вэбмастеров
35 Room 4464 13.3.2024, 13:10
автор: Room
Открытая тема (нет новых ответов) "Лежащий" домен - 10 лет. Продать?
8 Wolfhound 2379 5.3.2024, 3:22
автор: Liudmila


 



RSS Текстовая версия Сейчас: 28.3.2024, 14:37
Дизайн