Как стать автором
Обновить

Комментарии 33

сколько не встречался с подобными вирусами — все они стартовали из HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon/Userinit
это для них самый удобный способ, заменять експлорер или винлогон собой, тогда «обычный» пользователь не догадается как исправить это,
для профилактики всем кому ставлю винду настраиваю параметры безопасности целой ветки HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon как READ ONLY
так же самое делаю для папки %windir%\system32\drivers\etc и риск заразится всякими скучными вирусами по идеи пропадает
Людей не путайте, если выставить на всю ветку винлогон права только чтение, венда перестаёт грузиться.
надо ставить права запрета изменения значений только для текущего пользователя и только для ветки Winlogon без подветок
Сколько не пытался встретится с подобными вирусами чтобы посмотреть — не встретился… :(
Зато девушка подцепила такой сегодня, спасибо, как раз собирался лечить :)
сегодня качал трейнеры к test drive unlimited и таки нарвался. Если очень хотите, даж могу постараться найти ту самую ссылку )
Был бы благодарен, не первый месяц в поисках, а никто из «пациентов» так и не признался где «заболел» :)
нет, ну бывает же такое) на виртуалке решил пройтись по тем же ссылкам и поставить те же сомнительные проги — и хоть бы хны)
Воот примерно тоже самое и у меня… То ли вирусы меня избегают, то ли их на компе уже так много, что они не пускают конкурентов :)))
блин, даже запускал explorer.exe с зараженной системы в виртуалке — один фиг тишина) лан, если все-таки найду, дам знать, а то уже спать пора )
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
+1 был такой же вирус, 1в1! код сгенерировал с помощью спец. утилиток, которые можно найти в нете.

>> Попытки загрузиться в безопасных режимах приводили точно к такому же результату
странно, у меня без проблем грузится safe mod и я мог удалить вирус

>> Форматируем диск в NTFS
как по мне, так это _самый_ крайний вариант, форматировать диск…
как по мне, так это _самый_ крайний вариант, форматировать диск…

Под форматированием диска думается имелся ввиду Flash-накопитель :)
это я понял ))
но все равно форматирование должно быть самым крайним в любых случаях )
Флешка с Fat, Ext, или другими системами в описанном случае не загрузится без дополнительного «шаманства» в виде записывания на нее каких-нибудь загрузчиков :) Да и не думаю, что форматирование какой-нибудь ненужной 4Gb флешки это «самый крайний случай» ;)
НЛО прилетело и опубликовало эту надпись здесь
Спасибо! Не догадался :)
вот тут AVZ (с этим вирусом) не прокатывает — как только выделяешь какой-нить объект, в названии которого есть avz (каталог, файл) — комп вырубается мгновенно, меня не спасало даже переименовываение logonui (я так и не понял почему)

Я ее вылечел по другому — воспользовался ERD Commander — вручную в реестре нашел все подозрительные места, где он пропислася (помимо классических мест — у него есть своя тулбар в IE и скрипты при логине любого пользователя + впервые созданного — по этом не прокатывает создание чистой учетки (даже гостевой)

после всех этих манипуляций умудрился из под органиченной записи запустить таки AVZ (с правами админа) — стало полегче, но все равно система после очистки стала неадекватная (задувается иногда на несоклько секунд) и прочие мелочи — в итоге снес и поставил 7
ооо спасибо за статью :) как раз в пятницу пришёл такой вирус :))

кстати год прожил без антивируса, проверял раз в месяц куреитом и чистота, всё думал как люди с касперским цепляют, потом поставил касперского обновил прожил месяца и тут бах эта зараза, пользуюсь ФФ по плохим сайтам не хожу :)

слава богу дуал бут и любимя убунту приютила меня :))

Из неё снова куреитом сканировал всё. вроде чего-то наудалял dll преимущественно, ребут в венду и снова оно вылазит повторная чистка inf файлов и драйверов в безопасном грузимся, стоит альтернативный таск менеджер, запускается убиваем «лишние процессы» дальше запускается куреИТ но он ничего не видит, запуск АВЗ даёт синий экран.
Я лечил обычно так:
1. Найти код в сети.
2. Деактивировать вирус.
3. Проверить систему CureIt или аналогами.

Сколько машин вылечил везде была одна проблема: старые базы антивируса или его отсутствие. Правда одна попалась с DrWeb и его последним обновление, вирус тот же что в топике.
Был этот у меня вирус.
Лечила интересным способом — перевела часы на пару дней назад (до заражения). Система разблокировалась, ну а дальше дело за антивирусниками)
Была подобная проблема, только вымогатель был Download Manager… что то подобное. Избавился просто — откатился до точки восстановления, которая была сделана автоматически несколько часов назад.
У меня хавал код исчезал и сразу заного запускался.
И так отдельный топик писать нет желания хотелось бы поделиться своим решением.
у меня dualboot стоит убунта. собсвенно виндовс грузится в безопасном режиме и ничего не даёт запустить.

Запуск cureit не дал результата нашёл вирусы удалил, но очередная загрузка в венду показывает фигу :)

У меня стоит альтернативный таск менеджер от sysinternals штука очень полезная :)

И о чудо через меню программы он запускается. он позволяет посмотреть какие файлы использует процесс (процесс вируса виден на глаз, ну либо методом перебора), Вот в этом списке есть файл с альтернативным потоком
обознается он примерно так
C:\windows\inf\brm****.inf:asdasdfafgDSF_asdfasdf
Гружусь снова в убунту удалю данный файл и вот оно счастье. запускается куреит уже из венды, запускается HiJackThis
Который снимает блокировку на запрет редактирования реестра. ещё много чего полезного умеет :)
Дальше попутка запустить касперского (установленного со свежими базами) не удалась, мол политика безопасности установленная администратором {sdfasd;flkjsdlkrj23453lk4nzsdf}, кстати являюсь единственным пользователем в системе с 11 значным паролем, использую только свежий софт :))

в реестре даю поиск по этому самому ключу и вот они политики эти по соседсву удаляю всё, ребут касперский с радостью воскрешается. Зановес
Коллеги, а ни у кого случайно нет ссылки где можно скачать зверя?
Куда тебе выслать? :-)
можно в личку
Добавлю свой опыт, по точно такой же твари.

Эта штука, пока вы боритесь с ее разблокировкой, ищет на компе FAR и если там есть сохраненные FTP аккаунты, заходит на сервера ищет файлы в именах которых есть слова «main», «news», «catalogue», «index» с расширениями htm, html, php, inc, а так же все без исключений файлы .js и внедряет в конце зашифрованный Javascript код начинающийся с /*LGPL*/. Через него то и происходит заражение и распространение вируса.

Во время заражения у меня стоял бесплатный Avira AntiVir Personal он успел выкинуть окно с варнингом о трояне, но тут же видимо был блокирован вирусом, окно пропало и среагировать я не успел. Заразился под Google Chrome. Разблокироваться мне помог сервис докторвеба, главное вбивать код в правильном регистре с большой «К». После разблокировки CureIT и Avira не могли ничего найти, потому что тут же запускался процесс svhost который создавал 99% нагрузку на ЦП. Не стал сильно бороться форматнул диск и переставил систему. Сейчас стоит свежекупленный Avira Premium Security Suite, в его составе есть WebGuard вот он эту штуку точно блокирует, проверил на своих зараженных страницах.
Пробовали подбирать код на всех сайтах — не помогает. Заражен этой хренью комп-р друга, который живет в другом городе.
мне помог именно сервис от докторвеб, посмотрите нод вроде тоже организовал сервис попробуйте:

esetnod32.ru/support/winlock.php
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории