Перейти к содержимому


Фото
- - - - -

Systemcare фальш-антивирус

systemcare system care антивирус backdoor.maxplus backdoor

  • Please log in to reply
6 ответов в этой теме

#1 Евгений Д

Евгений Д

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 14 Апрель 2013 - 19:37

Здравствуйте!

У меня беда - при посещении одного сайта схватил эту гадость - сначала самопроизвольно отключился Microsoft Security Essentials. Я почти сразу запустил проверку Cureit, в процессе которой был найден BackDoor.Maxplus, прописавшийся в оперативной памяти и поразивший обЪект services.exe.708. Угроза была обезврежена, но при выходе из CureIt заработал какой-то System Care Antivirus, который, как я узнал чуть позже, и есть вирус. При попытке открыть хоть какую-то программу, включая Cureit, эта мерзость их блокирует "...file is infested", даже cureit блокирует.

Загрузился в безопасном режиме, снова запустил cureit - проверка еще идет, но BackDoor.Maxplus.5220 найден и вроде как обезврежен снова, на этот раз он прописался в svchost.exe:868, опять в оперативной памяти.

Я не расчитываю, что при последующем запуске компьютера эта гадость не всплывет снова. Какие-то нормальные действия с ПК производить нереально, потому ни скриншотов ни логов предоставить не могу.

Заражен ноутбук с Windows Vista.

Буду очень признателен, если кто-то подаст идею, как обезвредить этот вирус раз и навсегда.



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 691 Сообщений:

Отправлено 14 Апрель 2013 - 19:37

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 726 Сообщений:

Отправлено 14 Апрель 2013 - 19:42

сделайте лог HJ


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 14 Апрель 2013 - 20:38

Евгений Д
 

Загрузился в безопасном режиме, снова запустил cureit ...
...
потому ни скриншотов ни логов предоставить не могу.

можете, раз cureit работает.
если не будет логов по Правилам, закрою тему.

#5 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 689 Сообщений:

Отправлено 14 Апрель 2013 - 21:00

Я не расчитываю, что при последующем запуске компьютера эта гадость не всплывет снова.

И это совершенно правильно. Cureit так и будет находить этот BackDoor в памяти пока не вы не найдете файл из которого он запускается и отправите в вирусную лабораторию. Там его добавят в базы и выпустят обновленный Cureit, умеющий лечить этот BackDoor.

 

А чтобы найти этот файл, надо хоть какой нибудь лог сделать.


Сообщение было изменено AndreyKa: 14 Апрель 2013 - 21:00


#6 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 14 Апрель 2013 - 22:09

у зири или у хулибокса вчера проскакивал

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#7 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 15 Апрель 2013 - 07:58

http://www.xylibox.com/2013/04/system-care-antivirus.html


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro




Also tagged with one or more of these keywords: systemcare, system, care, антивирус, backdoor.maxplus, backdoor

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых