126 ответов в этой теме

[Dartline]

Новая зараза, файл уже отправил в вируслаб, тикет drweb.com #1124727. Делает вид, что сканирует систему. Затем выводит на панель файлы и пишет, что система якобы заражена кучей вирусов. Ну и соостветственно предлагает отправить денюжку на короткий номер.
ДрВеб запускается с системой, но вируса не видит. Всё остальное как всегда - реестр, диспетчер задач и пр. заблокировано.
Сижу борюсь.
Вот скрины вымогателя.

Прикрепленные файлы:

•  P1.JPG   124,01К   210 Скачано раз
•  P2.JPG   108,68К   193 Скачано раз

[mrbelyash]

А код подходит?

1185593288

[Dartline]

Система пока под ERDComm, сижу чищу. Если вирус останется, то попробую.
Спасибо.

[Valery Ledovskoy]

Dartline, можно ли ссылку, откуда распространяется, ну и сам сэмпл (если ссылки нет) сюда:
https://support.drweb.com/new/feedback/virus ?

[Dartline]

А код подходит?

1185593288

Код не проходит. Нашел в реестре вот такую ветку. Мне кажется какая-то байда.
Пофиксить её или нет?
c:\windows\inf\netngr.inf:QRtlWjyqpID:$DATA

Valery Ledovskoy
Dartline, можно ли ссылку, откуда распространяется, ну и сам сэмпл (если ссылки нет) сюда:
https://support.drweb.com/new/feedback/virus ?

Вот сижу вычисляю. Второй раз такая фигня за полторы недели. Ребенок любитель наруто, вот где-то там он и цепляет заразу. Если на зараженной машине осталась история браузера, то постараюсь её подробно посмотреть.

[mrbelyash]

А код подходит?

1185593288

Код не проходит. Нашел в реестре вот такую ветку. Мне кажется какая-то байда.
Пофиксить её или нет?
c:\windows\inf\netngr.inf:QRtlWjyqpID:$DATA

Valery Ledovskoy
Dartline, можно ли ссылку, откуда распространяется, ну и сам сэмпл (если ссылки нет) сюда:
https://support.drweb.com/new/feedback/virus ?

Вот сижу вычисляю. Второй раз такая фигня за полторы недели. Ребенок любитель наруто, вот где-то там он и цепляет заразу. Если на зараженной машине осталась история браузера, то постараюсь её подробно посмотреть.

А C:\DOCUME~1\юзер\LOCALS~1\Temporary Internet Files ?

[maxwello]

Dartline, можно ли ссылку, откуда распространяется, ну и сам сэмпл (если ссылки нет) сюда:
https://support.drweb.com/new/feedback/virus ?

а ссылка поможет?я так понял через какое то время там уже небудет ни этой ссылки а просто переедет куда нубуть еще...инет большой!

[Dartline]

А C:\DOCUME~1\юзер\LOCALS~1\Temporary Internet Files ?

Я там уже все почистил. А в Темпе вирус создает при каждой загрузке от 800, до 2500 своих копий.

[Dartline]

Ну вот я его и "убил"
Это мой лог в хиджаке, ещё не фиксил.
Вся фигня сидела здесь (строка из реестра, с какой ветки, сейчас поищу) c:\windows\inf\netngr.inf:QRtlWjyqpID. Файл netngr.inf - это инфа от нетгировской точки доступа, но к ней прилепилась какая-то зараза. Файл стал скрытым системным с правами доступа администратора.

Прикрепленные файлы:

•  hijackthis_1.log   7,91К   262 Скачано раз

[kristi]

U menya po4ti takoy je virus(((
Sorry, 4to pishu na inglishe, v Dr.Web live cd ne daet pereklyu4it' raskladku klaviaturi.
pishet 'eKAV Antivirus obnarujil vredonosnoe PO na vashem komputere'
prosit otoslat' sms s kodom K206114200 na nomer 4460
srazu zablokiroval vse. Daval otkrit' Dr.Web. On nashel virusi i udalil ih.Kogda stavila polnuju proverku sistemi komp virubilsya (2 raza tak bilo)
No interesno to, 4to vodno kogda Dr.Web udalil virusi perestalo poyavlyat'sya okno informer,t.e. kod teper' ne podobrat' navernoe(((
PLEASE, HELP!

[Dartline]

Нашел, что закачивал мой пацан, тренер для какой-то игры. А получил соответственно вирус.
Вот ссылка на вирустотал. Файл сейчас отправлю в вирлаб.
Хотя сдаётся мне, что это другой вирус и что не он вызвал окно с Internet Security.
VirusTotal

[Valery Ledovskoy]

kristi, попробуйте ввести код 1185593288, как и советовал mrbelyash, только перед вводом кода переведите системную дату на 15 декабря 2009 года - это важное условие.
Интересно, сработает ли.

а ссылка поможет?я так понял через какое то время там уже небудет ни этой ссылки а просто переедет куда нубуть еще...инет большой!

Должно помочь. У меня другие относительно вирлаба цели Я могу более качественные скрины сделать, если установщик получу. Коллекцию собираю для будущих публикаций по теме.

[Valery Ledovskoy]

Dartline, можно ли этот файлик на https://support.drweb.com/new/feedback/virus ?
У меня доступа к запросам вирлаба нет - не в Питере нахожусь...

[Dartline]

Valery Ledovskoy отправил файл llpnqw.rar

[userr]

Dartline

Ребенок любитель наруто, вот где-то там он и цепляет заразу.

Права Админа отнимите у юзера, под которым сидит ребёнок!

[Dartline]

Dartline

Ребенок любитель наруто, вот где-то там он и цепляет заразу.

Права Админа отнимите у юзера, под которым сидит ребёнок!

Да наверно придётся отнять у всех и у детей и у жены

[Dartline]

После пропадания банера осталась одна беда, никак не мог отцепить привязавшегося svchost.exe к файлам explorer.exe и userinit.exe в реестре в Windows\Shell.
Но в 19:40 обновились базы ДрВеба и тут же был пойман враг Trojan.Siggen.41456.
Пока все тихо и я перелопачиваю все ссылки где за последние два дня побывали мои домочадцы. Скорее всего это подхвачено с сайта Вконтакте при запуске какого-то приложения. ((

[kristi]

Valery Ledovskoy, kak ya i dumala. T.k. u menya Dr.Web udalil virusi to okno informera propalo i teper' pri otkritii 4ego-libo ono poyavlyaetsya na sekundu bez bukv i so zvukom oshibki is4ezaet srazu je((((
A 4to teper' mojno sdelat'? esli ran'she komp sam virubalsya, to teper' on voodshe ne viklyu4aetsya poka ego ne otkyu4ish ot seti i batareyu ne vinesh(((
4to mojno sdelat'?Pri otkritii AVZ visnet srazu je((((

Toje ne mogu ponyat' gde ego podhvatila. V kontakte ne ka4ala prilojeniya. Tol'ko 4erez ICQ esli.

[Borka]

Valery Ledovskoy, kak ya i dumala. T.k. u menya Dr.Web udalil virusi to okno informera propalo i teper' pri otkritii 4ego-libo ono poyavlyaetsya na sekundu bez bukv i so zvukom oshibki is4ezaet srazu je((((
A 4to teper' mojno sdelat'? esli ran'she komp sam virubalsya, to teper' on voodshe ne viklyu4aetsya poka ego ne otkyu4ish ot seti i batareyu ne vinesh(((
4to mojno sdelat'?Pri otkritii AVZ visnet srazu je((((
Toje ne mogu ponyat' gde ego podhvatila. V kontakte ne ka4ala prilojeniya. Tol'ko 4erez ICQ esli.

Можете запустить Хайджек? Редактор реестра? Если не открываются, попробуйте переименовать во что-то нейтральное - setup.exe, explorer.com, install.pif и т. д.

[kristi]

Valery Ledovskoy, kak ya i dumala. T.k. u menya Dr.Web udalil virusi to okno informera propalo i teper' pri otkritii 4ego-libo ono poyavlyaetsya na sekundu bez bukv i so zvukom oshibki is4ezaet srazu je((((
A 4to teper' mojno sdelat'? esli ran'she komp sam virubalsya, to teper' on voodshe ne viklyu4aetsya poka ego ne otkyu4ish ot seti i batareyu ne vinesh(((
4to mojno sdelat'?Pri otkritii AVZ visnet srazu je((((
Toje ne mogu ponyat' gde ego podhvatila. V kontakte ne ka4ala prilojeniya. Tol'ko 4erez ICQ esli.

Можете запустить Хайджек? Редактор реестра? Если не открываются, попробуйте переименовать во что-то нейтральное - setup.exe, explorer.com, install.pif и т. д.

K sojaleniya ne znayu 4to takoe Hijeck((( dumayu u menya ego net( reestr kone4no je zablokirovan. Vse zablokirovano krome prosmotra kartinok.
Sey4as daje pereimenovet' ne mogu,t.k. kak tol'ko zagrujayu papku i ok vidit AVZ srazu visnet ili blokiruetsya. Zavtra budet vozmojnost' na drugom kompe pereimenovat', poprobuyu. A virus ne peredastsya na drugoy komp?A to mne strashno uje)))