Перейти к контенту
Golf IV Club
Albulane

Смс-вирус! Вариант Решения Проблемы

Рекомендованный пост

Итак, значит словил я этот смс-вирус, непонятно где, на порно-сайты не заходил.

Проявления этого вируса таковы:

он похож на порно-смс-вирус, уже довольно распространённый, но к сожалению не показывает голых баб =(

а выдаёт вот такое сообщение (см.фото) картинка естественно будет такая, каким браузером вы пользуетесь, пошагово нажимал туда, куда он просит, что б было более понятно.

вобщем говорит что комп заражён каким-то вирусом для кражи паролей, и просит отправить смс на номер 3381.

Пытались вчера решить эту проблему с Артуром (Login), за что ему большое спасибо, не оставил старика в беде =)))

но т.к. мне нужно было рано вставать, а время уже позднее, то отложили до сегодняшнего дня.

в итоге мой друг сегодня через удалённый доступ полазал по моему компу, и нашёл таки падлу.

 

сидит эта гадина в систем32 (см. фото) весит 52кб, называться может по-разному, но главная отличительная особенность у него, от похожих файлов, это то, что у него не появляется описание, когда наводишь курсор мышки.

его нужно переименовать или удалить, я его переименовал и оставил на память. вобщем как-то так.

 

п.с. антивирусы его не ловят вообще никакие, перепробовали все подряд!

 

97d9d6acfe51.jpg

75d325a5fc75.jpg

8e77f3e29c34.jpg

d6c63aaeaee8.jpg

0c933daeb9ab.jpg

Изменено пользователем Albulane

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде похожий удалял через загрузку в "Безопасном режиме с поддержкой командной строки" и команды "regedit", правда не очень хорошо помню что там переименовать надо.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вроде похожий удалял через загрузку в "Безопасном режиме с поддержкой командной строки" и команды "regedit", правда не очень хорошо помню что там переименовать надо.

да там чёта усовершенствовали вроде как, по методике старого смс-вируса, где сиски были, варианты решения проблемы не проходили, и поисковики пока молчат именно по этому вирусу, кмк его недавно совсем отрестайлили)

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

хрень это а не вирус) раз его можно так легко найти переименовать и удалить, есть куда более интересные варианты данного вируса, когда лочится винда полностью в момент когда должен происходить запуск системы, и тут уже вообще ничего нельзя сделать из под винды, не в безопасном ни в каком режиме, вариант загружаться с LiveCD и искать гадюку, сталкивался с подобным на работе у начальника, и прописался тот вирус в userinit.exe, причем попросту файлик userinit был заменен на модифицированный, антивирусы не видели никакого подвоха и в ручную с LiveCD нельзя было найти его, обнаружил размышляя куда мог прописатся этот гад в момент загрузки профиля пользователя, и вспомнил что userinit.exe за это отвечает, тогда я взял этот файлик с другой рабочей системы и заменил на зараженном компьютере, все заработало. Обычно подобные смс-вирусы делают запись в реестре, параметр запуска userinit.exe в котором прописывается путь к какой-нибудь .dll которая глубоко спрятана и в момент запуска userinit.exe автоматом подхватывается зараженная dll и лочит компьютер. В моем же случае реестр был чист, никаких ссылок/параметров на запуск userinit.exe, winlogon и т.п. не было. Этому вирусу удалось какимто образом подменить userinit.exe что собственно нельзя сделать когда сидишь в системе. Но вот все же как-то удалось))

Изменено пользователем Garik

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну это совсем жесть))

 

но для большинства пользователей, типа меня, которые не шарят так хорошо в компах и мой вирус оказался не простым)))

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фигняя... я тут ломал голову тоже.. так дело дошло.. до фразы ".. фиг с ним сноси винду по новой поставим.." так не вышло... обычные мульти-загрузочные не грузились. а дойдя до установки системы он ваще не видел диск... в итоге понес хвастаться IT шникам новыми штучками

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не вирус, а надстройка браузера.

Как снести:

есть бесплатная микросовтовская программа autoruns, маленькая, даже установки не требует.

показывает всё, что запускается с разбивкой по видам процессов.

После запуска нужно перейти на вкладку ie и найти, обычно, бессмысленное имя

типа "jhgsbgwefyber", снять галку и перезапустить браузер.

Если что-то не то отключил, то просто назад галку поставить и всё.

ссылка на неё, если не забъют

http://technet.microsoft.com/ru-ru/sysinternals/bb963902

Изменено пользователем termarinez

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

вещь полезная... сам ей пользуюсь иногда...

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
я его переименовал и оставил на память

 

ради интереса отправь в несколько лабораторий на проверку, интересно что скажут.

 

например, сюда http://analysis.avira.com/samples/index.php

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
ради интереса отправь в несколько лабораторий на проверку, интересно что скажут.

 

например, сюда http://analysis.avira.com/samples/index.php

к сожалению уже не получится, он пытался реанимировать себя, каспер его заметил и убил

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

по поводу всех банеров скажу сразу оч помогает CureIt от DrWeb. запскаешь через командную строку или через обычный запуск но надо успевать щелкнуть на нем два раза, и он *цензура*окирует все банеры и чистит трей и комп весь.весит порядка 70мб. и лучше скачать сразу новую версию так как дополнения бывают полезны. хотя слышал и у каспера что то подобное вышло.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

у каспера тоже есть Утилита Kaspersky WindowsUnlocker, юзал и тот и этот оба помогали.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или авторизуйтесь, чтобы оставить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Создать аккаунт

Зарегистрировать новый аккаунт в нашем сообществе. Это несложно!

Зарегистрировать новый аккаунт

Войти

Есть аккаунт? Войти.

Войти

×