23 ответов в этой теме

[v.martyanov]

Всплыло окно: отправьте смс M204102000 на номер 3649... диспетчер задач не запустить, regedit тоже, но можно попробовать открыть свойства рабочего стола, окно блокера исчезает , свойства не открываются но после этого возможно запустить проводник!HDD снимал и проверял Drweb на другом компе, выгреб много всего включая какойто accelerator... В задаче спрашивается, есть ли методы против этой заразы?!

Убрать окно описанным выше способом и сделать логи по правилам.

[v.martyanov]

Логи!... логи чего?

А, еще и не втой теме... Hijackthis как минимум.

[Driver]

Пройти http://forum.drweb.com/index.php?showtopic=277652 прочитать и выполнить. И вообще тему надо открывать в Помощь по лечению

[HaStuR]

На комьютере зараженном этим вирусом невозможно запустить антивирус. Ни проинсталировать, ни запустить бемплатные модули (NoD, kaspersky, drweb, avz). Вирус закрывает окна. В safe mode тоже самое. Если жесткий диск с этого компьютера подсоединить к другому компьютеру и на нем запустить антивирус (autorun отключен). То ни drweb, kaspersky, nod не видят вирусов на зараженном жестком диске. Если в зараженный комп. вставить флешку, то jyf инфицируется этим фирусом. На флешки появляется файл autorun.inf и в папке recycled появляется dll файл. Далее если зараженной флешку вставить в другой комп. с отключенным автозапуском и принудительно просканировать флешку антивирусом (NoD, kaspersky, drweb, avz), они не видят тела вируса. Но, если вставить зараженную флешку в другой комп. с включенным автозапуском. То Drweb засекает его на "взлете". Идентифицирует его как trojan.winlock.594. Как вылечить зараженный комп???

[Harmonic]

Как вылечить зараженный комп???

Недавно сталкивался с похожими блокировками после удаления вируса. Удалось кое-как запустить AVZ, которая навела на ветку реестра в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs . Подробнее можно почитать тут http://zerosoftware.narod.ru/autoruns/appinit/appinit.html . После чистки списка dll в реестре (видать ошметки вируса) все нормализовалось. Реестр на заблокированной системе можно попытаться редактировать с помощью Far, либо средствами загрузочного диска типа ERD Commander.

[tips]

Столкнулся с той же дрянью, что описана у HaStuR. Только на флэшку вирусняк ничего не писал.

Harmonic, как удалось запустить AVZ? Вирусняк блокирует все исполняемые файлы, вместо файла запускается новая копия информера. Загружался с WinPE проверял CureIt-ом, он ничего не нашёл. "Вылечился", переписав реестр из C:\windows\repair, информер пропал, но драйвера и многие проги пришлось переустанвливать. Последующая проверка Нодом с последними базами также ничего не дала.

[OiG]

это тот который iMax downloader?
выполнить(Win+R) - notepad - набираем любой символ - жмем power на системнике
Windows пробует уйти в shutdown и блокировщик закрывается, а винда ждет действий от юзера в несохраненном блокноте . Жмем отмена и пользуемся всеми средствами диагностики системы в том числе и avz и прочими

[Borka]

это тот который iMax downloader?
выполнить(Win+R) - notepad - набираем любой символ - жмем power на системнике
Windows пробует уйти в shutdown и блокировщик закрывается, а винда ждет действий от юзера в несохраненном блокноте . Жмем отмена и пользуемся всеми средствами диагностики системы в том числе и avz и прочими

Класс!

[tips]

это тот который iMax downloader?

Нет. Какой-то из accelerator-ов.

выполнить(Win+R) - notepad - набираем любой символ - жмем power на системнике
Windows пробует уйти в shutdown и блокировщик закрывается, а винда ждет действий от юзера в несохраненном блокноте . Жмем отмена и пользуемся всеми средствами диагностики системы в том числе и avz и прочими

Хитро. Только с данным информером не помогло бы т.к. Блокнот вряд ли бы запустился. Надо было вместо IE или Explorer-а подсунуть AVZ, но теперь-то уже поздняк.

[OiG]

 

Хитро. Только с данным информером не помогло бы т.к. Блокнот вряд ли бы запустился. Надо было вместо IE или Explorer-а подсунуть AVZ, но теперь-то уже поздняк.

почему не запустился бы?


что плохого в блокноте для вируса?

[Harmonic]

Harmonic, как удалось запустить AVZ? Вирусняк блокирует все исполняемые файлы, вместо файла запускается новая копия информера. Загружался с WinPE проверял CureIt-ом, он ничего не нашёл.

В моем случае самого вируса видимо уже не было, т.к. предварительно HDD зараженного компа был проверен сначала CureIt из под LiveCD, а потом еще и Kaspersky Virus Removal Tool на другом ПК - обе утилиты чего-то нашли и прибили, но запуск большинства программ по прежнему блокировался. Было видно, как окно запускаемой проги открывается, и тут же захлопывается. Заражение флешек тоже не было замечено. Far работал, если его запустить сразу после старта Windows. В безопасном режиме Windows все было аналогично. AVZ удалось запустить тоже сразу после старта системы, переименовав avz.exe в calc.exe. А вот почему ни Доктор, ни Каспер не выявили прописанную в реестре dll-ку - не знаю, возможно она сама по себе не была вредоносной и выполняла для вируса посреднические функции. Наверно далее управление должен был брать вирус, который был уже прибит, вот проги и не запускались.

[hekto]

В моем случае самого вируса видимо уже не было, т.к. предварительно HDD зараженного компа был проверен сначала CureIt из под LiveCD, а потом еще и Kaspersky Virus Removal Tool на другом ПК - обе утилиты чего-то нашли и прибили, но запуск большинства программ по прежнему блокировался. Было видно, как окно запускаемой проги открывается, и тут же захлопывается.

Если блокирование запска программ выборочное, значит кто-то всё-таки живёт в системе.

[Harmonic]

Если блокирование запска программ выборочное, значит кто-то всё-таки живёт в системе.

Наверно, калькулятор то точно запускался. Значит этого "кто-то" антивири на тот момент не знали. Лишь AVZ подсказала о подозрительном способе запуска dll-ки.

[HaStuR]

Блокнот и калькулятор запускаются. Через пуск -> выполниь мне удалось проинсталить бесплатный модуль Касперского. Но запустить не удалось. Вирус перехватывает. Мне удалось проинтсалить так же программу jv16 PowerTools 2009, самое интересное, удалось запустить. Вирус ее не блокирует. Правда при запуске вылезает куча ошибок памяти. Но программа запускается. И работает.

В safemode окно вируса сразу при загрузке не появляется. Т.к. нету программ в автозапуске. При запуске любой оконной программы - появляется "окно" вируса (на блокнот и кальклятор вирус не реагирует). Чтобы избавиться, можно выполнить выход из системы. Но это закроет и окно вируса и другие открытые программы. Если загрузиться в обычном режиме, то окно вируса поялвяется сразу при запуске. Блокнот загружается. Но нажатие клавиши power приводит к выключению компьютера.

п.с. Интересно, а если переименовать в calc.exe бесплатный модуль drweb. Он запустится?

[HaStuR]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs


В этом параметре может хранится список из нескольких DLL, разделённых пробелом или запятой. Так как пробел здесь является разделителем, в именах файлов не должно быть пробелов. Если DLL лежит в системном каталоге Windows (например, C:\Windows\System32), то достаточно указать только имя файла. Вы также можете указать полный путь до библиотеки, но учтите, что система принимает во внимание путь только первой DLL из списка; остальные пути она игнорирует. Поэтому лучше всего копировать все библиотеки, которые вы хотите внедрить, в системную папку и указывать в списке только имена файлов.

После перезагрузки компьютера (на Windows NT 4) или завершения сеанса (на Windows 2000 и старше) система сохранит изменения. Теперь при проецировании библиотеки User32.dll на АП любого нового процесса, она последовательно вызовет LoadLibrary для каждой библиотеки из списка, что, в свою очередь, приведёт к загрузке этих библиотек и вызову их функций DllMain.

Напоследок хочу заметить, что этот способ работает только на Windows семейства NT. Windows 9x просто игнорируют этот параметр реестра.

Суть метода заключается в модификации специального ключа реестра, содержащего список библиотек. Все библиотеки, указанные в этом списке, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

На зараженной машине имя параметра:
1. AppInit_Dlls значение параметра C:\WINDOWS\system32\jvspie.dll
2. LoadAppInit_Dlls значение параметра 1


На "чистом" компьютере:
1. AppInit_Dlls значение параметра не определено
2. Отсутствует.

А) Проинсталил в safemod программу jv16 PowerTools 2009 (Проще конечно все сделать ERDcommander). Запустил ее. В ней сделал поиск параметров реестра по названию AppInit_Dlls.
Б) Удалил оба параметра. Удалил файл jvspie.dll
Машина заустилась.

Последствия. Не могу запустить regedit. Выскакивает окно "Редактирование реестра запрещено администратором системы". Как вернуть доступ?

p.s. Огромное спасибо Harmonic за идею!

p.s.s. Предположу, что тела вируса не было. Когда этот вирус заражает флешку. На флешке появляется файл autorun.inf и в папке recycled появляется dll-файл. В autorun.inf прописан на запуск этот dll-файл с ключем setup. Откуда взяться основному телу вируса?

[Borka]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
На зараженной машине имя параметра:
1. AppInit_Dlls значение параметра C:\WINDOWS\system32\jvspie.dll
2. LoadAppInit_Dlls значение параметра 1
На "чистом" компьютере:
1. AppInit_Dlls значение параметра не определено
2. Отсутствует.
Если я удалю оба параметра (AppInit_Dlls и LoadAppInit_Dlls) это критично для ОС ?

Удалите (если вирус позволит ) только параметр AppInit_Dlls - имя либы (jvspie.dll) с путем. Саму либу зашлите в Вирлаб.

[HaStuR]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableRegistryTools параметр ставим 0
Там же второй параметр включает и выключает диспечер задач.