Что это за немец (?) вирус и как от него избавиться?

Question

ОБНОВИТЬ

Я разместил свое решение ниже.

---

Эта штука появилась на компьютере одного из моих сотрудников в пятницу. Я провел большую часть выходных, сканируя компьютер с помощью Avira AntiVir, Avira Boot Sector Repair Tool, средства удаления вирусов Касперского, Malwarebytes, Spybot, McAfee Stinger и чего-то еще, что я забыл, и все они что-то нашли. Всего они очистили около 400 вредоносных программ, кроме этого.

Этот экран появляется сразу после загрузки компьютера и входа пользователя в систему. Есть небольшая задержка, пока ОС загружает профиль, и после этого он появляется. Я думаю, что это что-то вроде взлома браузера, потому что я видел, как Firefox (как мне кажется, 3.6.18) запускался прямо перед его появлением.

Я могу сделать CTRL+ALT+DEL и вызвать диспетчер задач, но как только я сделаю это, экран вируса перекрывает его.

Что это за вирус и как от него избавиться?

Answer 1

Как было сказано снова и снова, единственный надежный способ убедиться, что вирус исчез, - это отформатировать компьютер и переустановить его одну за другой.

Тем не менее, технически это не вирус, а новый вид вредоносного ПО, который заставляет вас платить за его удаление, чего не следует делать ни при каких обстоятельствах, поскольку вы содействуете организованной преступности.

Answer 2

Сколько времени вы уже потратили, пытаясь починить компьютер?

Вы можете просто обнаружить, что загрузка с чего-то вроде живого компакт-диска Ubuntu позволяет скопировать все данные на съемный жесткий диск USB, а затем отформатировать диск и переустановить - это самый быстрый способ решения этой проблемы.

Я видел, как это происходит снова и снова, когда гораздо больше времени тратится на удаление вирусов и вредоносных программ, чем на простое резервное копирование, форматирование и переустановку.

Я знаю, что вы не хотите этого делать, вы бы предпочли использовать инструмент для решения проблемы, но я думаю, что вы сэкономите время, выполнив чистую установку, и вы также будете знать, что вредоносное ПО действительно исчезло.

Ваш компьютер, вероятно, будет работать быстрее, как это обычно происходит при новой установке.

Answer 3

Похоже, это троянец BKA (первая пара результатов - это ссылки на сайт scareware, поэтому не используйте их). Кажется, что консенсус заключается в том, чтобы либо переустановить, либо использовать больше антивирусного программного обеспечения.

Переустановка должна быть последним средством; пытаясь убрать это лучше. Худшее, что может случиться, это то, что вы все равно переустановите и «потратите» некоторое время на изучение некоторых вещей.

Это может показаться глупым / очевидным, но вы пытались нажать Alt+F4 в окне?

---

Я могу предложить попробовать еще несколько программ (запустите их в безопасном режиме, чтобы получить лучшие результаты):

• SUPERAntiSpyware (используйте переносную версию)
• Автозапуск (чтобы отсеять, откуда он бежит)
• HijackThis (анализировать систему довольно тщательно)
• WinSpy++ (чтобы удалить самый верхний атрибут из окна, хотя он может сбрасывать его каждые пару секунд)
• ComboFix (выжженная Земля в крайнем случае)

Еще одна вещь, которую нужно попробовать - это быстро просмотреть вкладку «Процессы» в диспетчере задач, чтобы выяснить, из какого процесса (ов) запущен троян, и попытаться убить его (вам не нужно видеть его, чтобы диспетчер задач мог его убить). , вы можете набрать первые несколько букв имени EXE-файла и нажать Del, затем пробел), хотя убедитесь, что в диспетчере задач выбран параметр Always-On-Top; так, на всякий случай.

---

(Примечание: мне кажется забавным, что троян использует логотип Windows 7, хотя Алекс указал, что это система XP. Вздох)

Answer 4

Итак, потратив несколько дней на борьбу с этим, я наконец избавился от этого. Я почти уверен, что получил правильный, но по пути я нашел несколько подозрительных предметов, которые могли бы внести свой вклад. Вот шаги, которые потребовались, чтобы убрать это.

Первым делом я проверил все места автозапуска в Windows. Я следил за этой статьей здесь. Большинство мест, где чисто, за исключением:

1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
   • У этого ключа был второй путь, указывающий на C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
2. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • Этот узел имел ключ REG_SZ именем 2C508BD5-F9C6-4955-B93A-09B835EC3C64 который указывал на файл msvcs.exe в ключе Userinit .
3. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
   • У этого узла было два других узла, которые показались мне подозрительными. Они были названы \toldvw32 и torlfsvses . Оба узла имели ключи, которые указывали на файл toldvw32.dll и были установлены с событием WlStartupEvent . Поиск их в Google не дал значимых результатов в то время, поэтому я решил удалить их. Похоже, проблем с этим еще не было.

Настоящая проблема в том, что файл msvcs.exe . Если кому-то удастся выжить, он сам себя воспроизведет во всех профилях пользователя на машине. Поскольку он был подключен к профилю NetworkService он всегда будет следить за тем, чтобы он существовал в других профилях.

Есть три места, где существует msvcs.exe . Они есть:

1. {PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
2. {PROFILE}/Start Menu/Programs/Startup
3. WINDOWS\Prefetch
   • Не уверен на 100%, но я нашел два подозрительных файла: MSVCS.EXE-0CA809BA.pf и MSVCS.EXE-301B4EC0.pf . Я пошел дальше и удалил их без проблем (пока, по крайней мере).

Я надеюсь, что это поможет кому-то в будущем. Это сработало для меня. Если у вас есть компьютер, на котором он установлен, и он подключен к домену, обязательно проверьте папку профиля пользователя на сервере, там тоже есть копия. Излишне говорить, что не входите в этот профиль непосредственно на сервере, потому что после этого вы просто очень весело проведете время ...

Кроме того, вы не можете очистить его в безопасном режиме, если профиль, в который вы входите, был заражен. Я использовал UBCD4Win, чтобы очистить то, что я увидел, затем я сделал все остальное в безопасном режиме.

Теперь я знаю, что общее мнение состоит в том, чтобы взломать компьютер и начать с нуля, но это не всегда возможно в бизнес-среде. После того, как я его очистил и подтвердил очистку несколькими антивирусными инструментами, я запустил на диске chkdsk /f /r , дефрагментировал его с помощью MyDefrag (4.3.1), и компьютер работает идеально, как будто этого никогда не происходило. Таким образом, ядерное оружие не всегда лучший способ действий, как @Synetech указал на себя.

Наконец, Kaspersky был установлен на компьютере, но каким-то образом был отключен, и вот как вирус (вредоносное ПО?) прошел и сделал то, что сделал. Я вообще не фанат антивирусного программного обеспечения, на самом деле у меня нет на моих 6 или около того машин, что у меня есть, но в среде, где у вас есть технические проблемы, это хорошая идея, чтобы иметь его и его также очень хорошая идея , чтобы убедиться , что он на самом деле включен и обновляется.

Это все замечательные люди. Я надеюсь, что кто-то еще может воспользоваться этим ответом в будущем.

Answer 5

Кажется, это совершенно новая паника. Насколько я вижу, это еще не было описано специалистами по антивирусам. Он угрожает удалить содержимое диска и подать в суд на вас за использование нелегальной копии Windows.

Я предлагаю вам выключить зараженный компьютер, вынуть диск и скопировать содержимое диска в безопасное место. Затем вы также можете повторить попытку вируса, будучи подключенным к другому компьютеру (не загружая этот зараженный диск).

Лично я бы сделал резервную копию данных и пошел бы для новой установки. После того, как вредоносное ПО появилось на окнах, нет никакого способа убедиться, что все следы были удалены, потому что, как только они захватят ваш компьютер, они продолжат пытаться использовать его / ваши данные / ваш банковский счет. В таких случаях обычно загружается больше вредоносных программ на компьютер.

Пользователи этого компьютера должны изменить свои пароли, если банковские операции были завершены, проверьте свои банковские счета и установите новый PIN-код.

Ох, и не плати. Если вы это сделаете, он может попросить разрешения администратора, чтобы "исправить" ваши окна, а затем руткит навсегда.

Answer 6

Большинство, но не все, вредоносные программы могут быть удалены вручную с помощью автозапуска.

Попробуйте следующую процедуру:

• загрузите автозапуск по вышеуказанной ссылке и запустите его прямо из zip-архива
• пусть сканирует (если может)
• ищите два типа записей - без подписи и, что более важно, записи с надписью « файл не найден ». Второй тип характерен для вирусов, которые внедряются в различные части системы, которые запускаются во время запуска (но при запуске они временно удаляют зараженный файл и делают его доступным только при следующем перезапуске). Сняв отметки с проблемных / подозрительных записей, вы можете нанести вред вредоносному ПО до такой степени, что оно больше не будет активным в системе (и, если вы снимите галочку с чего-либо, что нужно, вы всегда можете поставить галочку).

Теперь, если вы не можете запустить автозапуск из-за того, что вирус уже блокирует его - однако вирусы будут делать это редко.

Эта процедура на удивление эффективна, но, конечно, это происходит только из-за того, что на нее не распространяются вирусы. Вы всегда можете попробовать это.

После прохождения вы можете использовать

• Process Explorer, чтобы проверить, есть ли странные процессы, запущенные в вашей системе
• tcpview для аудита и мониторинга вашей сетевой активности

Использование этих инструментов не тривиально (требует знания нормального поведения системы), но в том случае, если

• обычное антивирусное программное обеспечение не распознает угрозу, пока не загрузится с Linux и не попытается очистить с помощью clamav
• Вы действительно хотите попытаться очистить его и попытаться избежать повторного форматирования

Вы можете попытаться следовать процедуре, которую я дал.