|
Вирус...
|
|
| Химик | Дата: Четверг, 14-Янв-2010, 09:53 | Сообщение # 1 |
Группа: Удаленные
| Вот и пришло 4 января – день выхода в мир с домашнего ноута. Интернет подключен, цифровое ТВ есть, локалка работает. Радости полно, до 12 ночи зависалово в инете.
И тут 10 января вечерком, при открытии сайта и попытке просмотра видео, меня просят установить флэш плеййер 10. Ну я шо, конечно «Да». Видео посмотрел и дальше страдать ерундой.
Прошло некоторое время и появляется окно на весь «телевизор», типа отправьте смс так как вы подписали соглашение на месяц. А хер вам, ниче я не подписывал. Вырубаю в ручную комп, загружаюсь и вот она жопа: диспетчер задач недоступен, выключить комп «правильным путем» не могу, перейти на другого пользователя не могу, инет не работает, перегрузится не могу. Антивирусники не видят енту хрень. Окно то свернулось но кусок висит на столе и при нажатии (два клика) опять разворачивается. И че делать?
Пришел на работу и полез в инет инфу искать. Оказалось знаменитый этот вирус. Решил загрузится с диска и проверить антивирусником. Диск мне не принесли, память у некоторых пропита ваще. Но, некий Моцарт убрал этот вирус удалив все установки флэш плеййер 10. Пришел домой удалил – ничего, удалил оперу – ничего. Все думая, пипец.
На работе снова полез искать инфу. И так вирус уже двое суток у меня живет. Хотя в инете писали он умирает за это время. Полазил по форумам и выписал способы борьбы:
- перенести дату на месяц назад
- удалить все tmp из профиля пользователя
- программно изменение значения параметра типа DWORD с 1 на 0. Это откроет доступ к диспетчеру задач
- генерация кода разблокировки по тексту в смс. Получил код и забрал домой.
- запуск DR Web с диска, скачал на работе с http://www.freedrweb.com/cureit/ Ну все, хана вирусу. Пришел домой, засел и нашал шаманить. Итог:
- перенести дату на месяц назад
Выжил зараза - удалить все tmp из профиля пользователя
Не позволил удалить один файл (вот он скотина) - программно изменение значения параметра типа DWORD с 1 на 0. Это откроет доступ к диспетчеру задач
Разблокировал диспетчер, но окно висит ровно пол секунды. Не могу так быстро удалить сторонний процесс. - генерация кода разблокировки по тексту в смс.
Не разблокировал!!! - запуск DR Web с диска
Вот оно. Нашел даже при быстрой проверке.
Kui70AD.tmp – Trojan.Winlock.591
Перенесен в карантин, мною удален весь. Я победил вирус без переустановки. Все работает теперь, кроме Интернета. Все настройки затерты, буду сам настраивать Вывод:
Сразу запустить антивирусник с диска!!!
|
| |
| |
| Александр777 | Дата: Четверг, 14-Янв-2010, 10:23 | Сообщение # 2 |
 Президент ХОСЛ
Группа: Администраторы
Сообщений: 5188
Награды: 19
Страна:Украина
Город:Харьков
Статус: Offline
| Quote (Химик) Вывод: Сразу запустить антивирусник с диска!!!
Вывод 2- не шариться по порно сайтам 
Чтоб буй стоял и лодки плыли! 
|
| |
| |
| Lerich | Дата: Четверг, 14-Янв-2010, 10:26 | Сообщение # 3 |
|
Злобный карлик из Гваделупы
Группа: Заблокированные
Сообщений: 363
Награды: 0
Страна:Гваделупа
Город:Харьков
Статус: Offline
| Quote (Химик) Вывод:
Сразу запустить антивирусник с диска!!!
Вывод 3-смотрим источник откуда скачиваем 
|
| |
| |
| Александр777 | Дата: Четверг, 14-Янв-2010, 10:28 | Сообщение # 4 |
|
Президент ХОСЛ
Группа: Администраторы
Сообщений: 5188
Награды: 19
Страна:Украина
Город:Харьков
Статус: Offline
| Quote (Lerich) Вывод 3-смотрим источник откуда скачиваем
Так я ж о нём и написал во 2-м выводе 
Чтоб буй стоял и лодки плыли!
|
| |
| |
| Химик | Дата: Четверг, 14-Янв-2010, 10:59 | Сообщение # 5 |
|
Группа: Удаленные
| В том то и дело. Данный вирус пролазит через аську, инет (загрузка любых файлов). А самое оригинальное, что порносайты тут вовсе не причем. Quote (Химик) Вывод:
Сразу запустить антивирусник с диска!!!
Quote ( Lerich) Вывод 3-смотрим источник откуда скачиваем Антивирусник который лежит на личном компе блокируется (полная проверка) трояном моментально. Поэтому скачать нужно на другом компе и записать на диск.
|
| |
| |
| Александр777 | Дата: Четверг, 14-Янв-2010, 11:02 | Сообщение # 6 |
|
Президент ХОСЛ
Группа: Администраторы
Сообщений: 5188
Награды: 19
Страна:Украина
Город:Харьков
Статус: Offline
| Quote (Химик) Данный вирус пролазит через аську
Поэтому Аську я у себя и удалил, а пользуюсь Скайпом. И всем советую это сделать
Чтоб буй стоял и лодки плыли!
|
| |
| |
| Alex_V | Дата: Четверг, 14-Янв-2010, 11:03 | Сообщение # 7 |
|
Группа: Проверенные
Сообщений: 118
Награды: 0
Страна:Украина
Город:Харьков
Статус: Offline
| Или отправь платное SMS на указанный номер
|
| |
| |
| Alex_V | Дата: Четверг, 14-Янв-2010, 11:05 | Сообщение # 8 |
|
Группа: Проверенные
Сообщений: 118
Награды: 0
Страна:Украина
Город:Харьков
Статус: Offline
| Quote (Химик) порносайты тут вовсе не причем |
| |
| |
| Химик | Дата: Четверг, 14-Янв-2010, 14:08 | Сообщение # 9 |
|
Группа: Удаленные
| Какая вероятность, что троян закрыл порты для инета? Как с этим бороться?
|
| |
| |
| Fisher | Дата: Четверг, 14-Янв-2010, 14:44 | Сообщение # 10 |
|
Группа: Заблокированные
Сообщений: 944
Награды: 0
Страна:Украина
Город:Харьков, Клочки
Статус: Offline
| Виталя, поищи на форуме Касперыча инфу по лечению  Я как-то тоже подхватил хитрого вируса. На форуме была полностью расписана процедура оживления компа  Удачи 
|
| |
| |
| Fisher | Дата: Четверг, 14-Янв-2010, 14:58 | Сообщение # 11 |
|
Группа: Заблокированные
Сообщений: 944
Награды: 0
Страна:Украина
Город:Харьков, Клочки
Статус: Offline
| Почитай еще здесь 
http://www.cyberforum.ru/viruses/thread50848.html
|
| |
| |
| Химик | Дата: Четверг, 14-Янв-2010, 15:12 | Сообщение # 12 |
|
Группа: Удаленные
| А это что? 9. Как сбросить настройки подключения к Интернету? Сначала экспортировать ветку реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
Пуск-Выполнить(Запуск программы)
netsh winsock reset
Ок
|
| |
| |
| Химик | Дата: Четверг, 14-Янв-2010, 21:18 | Сообщение # 13 |
|
Группа: Удаленные
| Восстановил соединение без каких либо программ. Троян затер номер основного шлюза. Путем поиска нашел где восстановить данные для подключения. В моем случае это "Протокол Интернета версии 4 (TCP/IPv4)". И вот я снова в инете дома...
|
| |
| |
| Demko | Дата: Пятница, 15-Янв-2010, 11:02 | Сообщение # 14 |
Группа: Проверенные
Сообщений: 83
Награды: 0
Страна:Украина
Город:Харьков
Статус: Offline
| Попробуйте для борьбы с такими вирусами утилитку, или сканер доктор веб cureit
Сообщение отредактировал Demko - Пятница, 15-Янв-2010, 11:08 |
| |
| |
| Химик | Дата: Пятница, 15-Янв-2010, 11:32 | Сообщение # 15 |
|
Группа: Удаленные
| Внимание! Данный файл может содержать вирусы. Перед запуском файла на компьютере обязательно проверьте его программой-антивирусом.
|
| |
| |
| Химик | Дата: Пятница, 15-Янв-2010, 11:33 | Сообщение # 16 |
|
Группа: Удаленные
| Quote (Химик) - запуск DR Web с диска Вот оно. Нашел даже при быстрой проверке. Kui70AD.tmp – Trojan.Winlock.591 Перенесен в карантин, мною удален весь.
Я так и сделал... в среду. 
|
| |
| |
| Mechanic | Дата: Суббота, 16-Янв-2010, 14:04 | Сообщение # 17 |
Группа: Проверенные
Сообщений: 120
Награды: 0
Страна:Украина
Город:Лозовая
Статус: Offline
| Такая херня напала и на меня, думаю что на сайте «улетный софт» долго мучился и наконец придумал как обмануть данный Троян!!! Благо не все он блокировал. Окно которое открывается не полностью перекрывает экран и есть возможность запустить редактор реестра. А действия таковы находите в реестре ненужную ветку (которую можно удалить) открываете ее и при выключении компа (кнопкой на системном блоке) после завершения работы Трояна удаляете ветку (нужно успеть это сделать, у меня не с первой попытки получилось) и система при этом не завершает работу, а Троян завершает. Накручиваете на всю катушку каспера и делаете проверку (по умолчанию может не найти) и все гуляй (Вася конь ты мой сердешный)
К стати Троян затер номер основного шлюза. Ну да это восстанавливается быстро!!
А так все в норме. Смысл в чем принудить Трояна выгрузиться при завершении работы системы, а системе не дать завершить работу. Можно и другими методами к стати, но реестром наверняка. Если Трояна не убить при повторной перезагрузке все повторится, Троян загрузится снова. У кого защиты нет, можно поставить. 
Сообщение отредактировал Yurik - Суббота, 16-Янв-2010, 14:08 |
| |
| |
| RGB | Дата: Суббота, 16-Янв-2010, 14:51 | Сообщение # 18 |
Группа: Проверенные
Сообщений: 430
Награды: 1
Страна:Украина
Город:Харьков
Статус: Offline
| Ставьте 7винду!Любая прога которая хочет внести изменения в реестр не запустится без вашего разрешения.А на какой фиг запускать еще какой-то флешплеер если уже стоит у вас в браузере?!
Убивается еще утилитами аutoexe и Flash Desinfector-ом.
|
| |
| |
Новости 
