Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Скриншот: Internet Security просит отправить SMS

Вы не зарегистрировали вашу копию Internet Security

Установив данное ПО вы согласились с данным лиценизонным соглашением предложенного Вам для проверки системы на наличие вредоносных программ. На основании лицензии Вы должны либо удалить ПО до окончания пробного периода или оплатить лицензию на дальнейшее использование продукта

Осталось времени:

Работа системы заблокирована для предотвращения дальнейшего распространения вредоносного ПО
Для продолжения работы и очистки вашей системы от вирусов и троянов необходимо активировать Вашу копию.

Чтобы получить код активации отправьте SMS
Отправьте СМС с кодом К212015300 на номер 4460 Стоимость SMS сообщения 10 руб с учетом НДС*
Укажите полученный код активации:

И чуть ниже торчат серые буковки, однако промотать и прочитать не получается .

Очередное сообщение, блокирующее работу системы и требующее отправить SMS. DrWeb пока его не распознал (базы сегодняшние)

Здесь можно поискать код для разблокировки, однако после разблокировки, вирусы остаются в компьютере!

http://www.drweb.com/unlocker/index/?lng=ru
Попробуйте код 3323126411 или 4434237522 или 5545348633 или 6656459744 или 7767561855 или 8878672966 или 9989783177 или 1191894288 или 2212915399
http://virusinfo.info/deblocker/
Код разблокировки: 7767561855 6656459744 1191894288 545348633

Удаляем вирус:

Загружаемся с LiveCD  (я использовал DrWeb Live CD)

1. удаляем содержимое каталогов временных файлов:
диск:\WINDOWS\Temp\
диск:\WINDOWS\Prefetch\
диск:\Documents and Settings\ИмяПользователя\Local Settings\Temp\
диск:\Documents and Settings\ИмяПользователя\Local Settings\Temporary Internet Files\

2. Проверяем систему на вирусы - используйте последние антивирусные базы.

После неполного удаления вирус при попытке запустить одну из программ выдал сообщение Internet security обнаружил вредоносное по и запустил “проверку на вирусы” - (бегущая полоска статуса) в результате которой нашел несколько тысяч “псевдовирусов”

Повторная проверка свежим антивирусом от drWeb -
user/local settings/Temp/juexnv.dll infected with Trojan.Winlock.938
(свеженький - в начале января сталкивался с 715-м)

Однако, после перезагрузки опять имеем Internet security предлагающий отправить СМСку :)

Поиск по алгоритмам дал повод для размышлений - переводим дату назад (я переводил на 01.01.2010) и более-менее спокойно загружался (на всякий случай отключился от сети - мало ли ему захочется время проверить). Запустил AVZ без проблем. Хотя DrWeb работал с перебоями, скорее совсем не работал.

Поиск по автозапуску подсказал подозрительную библиотечку dll с расширением а-ля курсор windows:
Windows\Cursors\busy_rm.cur.SRH4TKRcSC (размер 319488 байт)

Поиском по реестру нашли два ключа:
HKLM\SoftWare\TrendMicro\HijackThis с параметром Ignore и значением O20 - AppInit_DLLs
HKLM\… AppInit

Кстати, эта же “библиотека” используется процессом Lsass.exe.
Что ж.. пробуем выключить компьютер и “убить” библиотечку

Загрузка с WinPE (LiveCD на основе Windows) и проверка свежим CureIt!-ом от DrWeb дала результат - целый рассадник “свеженького” троянчика Winlock.938
WINDOWS\Cursors\3dsmove.cur:SRH4TKRcSC инфицирован Trojan.Winlock.938
WINDOWS\Cursors\rm_busy.cur:SRH4TKRcSC инфицирован Trojan.Winlock.938
WINDOWS\Help\ade.hlp:SRH4TKRcSC инфицирован Trojan.Winlock.938
WINDOWS\system32\ovjp.fbo инфицирован Trojan.Oficla.4
WINDOWS\system32\dllcache\c_1148.nls:SRH4TKRcSC инфицирован Trojan.Winlock.938

Следует отметить, что DrWeb LiveCD эти файлы не видел (брожение с помощью mc результатов не дало)

Попутно подключаемся к реестру зараженной машины (можно сделать после перезагрузки), ищем в реестре ссылки на эти файлы и удаляем их. В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell изменяем на explorer.exe

Похоже, компьютер чист. Проверяем корректность установки антивируса (или переустанавливаем его).. и не забываем обновить базы.

ps. несмотря на работающий drWeb периодически на компьютер проникает всякая зараза.  Кстати, в этот раз компьютер просто был включен, в браузере открыто две вкладки. Серфинга по “злым” сайтам не было. :)

Метки: , , ,

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Комментарии (3) к записи “Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.”

  1. Макс сообщает :

    я просто загрузился с WinPE, посмотрел WinLogon в реестре зараженной машины и удалил HELP-овский файл, который был там прописан.
    Да, и, конечно почистил все темповские папки

  2. женя сообщает :

    У меня такая же зараза была. спасибо.
    воспользовалась загрузкой с CD и свежим CureIT

  3. Галимьян сообщает :

    Проверял с помощью LiveCD, несколько раз намертво зависал, приходилось перезагружать. Затем нашел какие-то вирусы и удалил их.
    Потом зачем-то захотел проверить с помощью WinPe, загрузил. У Drweb’а вообще лицензия давно истекла, а остальные антивирусы ничего толком не нашли. Зато после после этого при запуске системы после “Boot from CD” стали вылезать “hd 01 is null”, “hd02 is null”, а в конце вылезло “GRLDR is not find”. Знаю, что надо как-то восстановить mbr, но как - неизвестно.

Добавить комментарий