Пятница, 24.11.2017, 17:27
Приветствую Вас Гость | RSS
Главная | Каталог статей | Регистрация | Вход
Меню сайта
Категории раздела
Публичные [46]
Служебные [48]
Форма входа

Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Главная » Статьи » Публичные

    Live Security Platinum - свежий вирус
        Сегодня, 16 июля 2012, встретил новый довольно агрессивный вирус, запускающийся на компьютере жертвы под личиной антивируса, именуемого Live Security Platinum 3.6.1
        Загрузившись сразу при запуске компьютера, он начинал демонстрировать быстрое и тщательное псевдосканирование компьютера, сообщая пользователю о десятках найденных угроз. Агрессивность же его заключалась в том, что при этом он не давал запустить НИ ОДНУ программу, кроме проводника. Спасибо, ему хоть за это, а то было бы больше возни с этим зловредом. При запуске любой программы иконка в трее, она у него конечно же была, ведь это же "антивирус", вспыхивала сообщением, что обнаружена угроза, и программа, едва стартовав, падала на взлете. Именно по этой причине не могу привести скриншот  с иллюстрацией работы этого вируса, потому что не работали ни mspaint, ни word, ни что-либо, куда можно было всунуть содержимое буфера обмена. Диспетчер задач, разумеется, тоже отдыхал. Вместе с, кстати, антивирусом настоящим. Тот только и сумел вывесить в трей свою иконку, которая понуро показывала, что он отключен. Не будем показывать пальцем, но это была Avira. Чуть ниже приведу результату VirusTotal'а, чтобы хоть немного ее реабилитировать, немногие справились с этим заданием.

       Что касается самого Live Security Platinum, то он, разумеется, просил активироваться, что бы перейти из демонстрационного режима в полноценный и, наконец-то, покончить со всей этой нечистью на компьютере пользователя. Для этого надо просто приобрести эту чудесную программу. При его мизерном размере, у него было даже меню, в котором даже был чекбокс, чтобы отключить автозапуск, но, наверное, в этой версии программы еще эту возможность не реализовали:)
       Итак, поиском файлов зловред был найден, и потом заблокирован. (Как заблокировать см. здесь) После перезагрузки он дал себя спокойно загрузить в карантин ожившей Avir'е и отправился в лабораторию компании.
       Вот он у себя дома, вместе с иконкой, которая сидела в трее, сообщая о наденных угрозах:



        Но Live Security Platinum оставил для меня и загадки. Я не смог найти точку его запуска. В реестре было только это:



        Возможно, он запускался другим exe-файлом, потому что во временных папках были еще gweho.exe, файл вида 0.абракадабра.exe, и куча всяких .tmp В общем, я не удовлетворен этим обстоятельством, но времени на расследования уже не было, оставим это ребятам из антивирусных лабораторий.

       А вот и результат с сайта VirusTotal.com:

                                   
    AntivirusResultUpdate
    nProtect-20120716
    CAT-QuickHeal-20120716
    McAfeeFakeAlert-SecurityTool.es20120716
    TheHacker-20120716
    K7AntiVirusTrojan20120714
    VirusBuster-20120715
    NOD32-20120715
    F-Prot-20120715
    Symantec-20120716
    Norman-20120716
    TotalDefense-20120713
    TrendMicro-HouseCall-20120715
    Avast-20120716
    eSafe-20120716
    ClamAV-20120716
    KasperskyTrojan-FakeAV.Win32.SmartFortress2012.bln20120716
    BitDefender-20120716
    ViRobot-20120716
    EmsisoftRogue.Win32.LiveSecurityPlatinum!A220120716
    Comodo-20120716
    F-Secure-20120716
    DrWebTrojan.AVKill.2032320120716
    VIPRE-20120716
    AntiVir-20120716
    TrendMicro-20120716
    McAfee-GW-EditionHeuristic.LooksLike.Win32.Suspicious.B20120716
    Sophos-20120716
    Jiangmin-20120716
    Antiy-AVL-20120712
    Microsoft-20120716
    SUPERAntiSpyware-20120715
    AhnLab-V3-20120715
    GData-20120716
    Commtouch-20120715
    ByteHero-20120613
    VBA32-20120716
    PCTools-20120716
    Rising-20120716
    Ikarus-20120716
    Fortinet-20120716
    AVG-20120716
    Panda-20120716


        Так что, как видим, многие "курят". Спустя почти 7 часов ответа по этому файлу я пока не получил, пришли подтверждения по сопутствующей мелочевке, но по этому еще не было. Возможно, они тоже теперь не могут избавиться от него на своих компьютерах;)
        Пожалуйста, оставляйте, свои замечания и комментарии, если материал был вам полезен.

        P.S. Несколько дней спустя прочитал, что этот вирус запускается из ключа RunOnce. Теперь понятно, почему я не нашел точку его запуска: после старта система попыталась его запустить, а затем удалила ключ. Запущенный вирус должен был его восстановить, но не смог, так как запуск был заблокирован и не состоялся.
    Категория: Публичные | Добавил: a0203 (16.07.2012)
    Просмотров: 17508 | Рейтинг: 4.2/13
    Всего комментариев: 201 2 »
    20  
    Я сразу понял что это вирус. Но удалить простым способом мне не удалось.
    Хорошо что в моем компе, две операционные установлены на разных лог. дисках. Загрузившийся с другого диска я удалил этот вирус. Адрес вируса тот же C:\Documents and Settings\All Users\Application Data

    19  
    Убил из безопасного режима. Провел полную проверку Все работает. (Главное открыть доступ в скрытые папки)

    18  
    slesar6r 9 очень помог!!! тоже не могла удалить файл, после того, ка прочитала его комментарий сразу переместила файл на рабочий стол в новую папку; после перезагрузки быстро удалила папочку и очистила корзину! и вуаля - ни каких вирусов! smile

    17  
    Вот хороший способ - и на русском:

    http://www.youtube.com/watch?v=YXriUuc8ulM&

    16  
    Всем спасибо большое! все удалила.:))) а то залезла в нэт с чужого компа на работе, работаю ночью в охране, думала мне попадет, от начальства, ан нет, спасибо вам, спасли. ох уж эти вирусы!:)))

    11  
    Удалил папку с программой, используя загрузочный диск

    9  
    Пол-часа назад и я отхватил сию гадость,как избавился-нашёл файл,удалить нельзя-доступ заблокирован,но можно переместить,для этого создал новую папку на рабочем столе,после перезагрузки папку сразу-же вкорзину,корзину очистил(метод научного тыка+случай+везение) Ура! Всё работает!

    10  
    Спасибо за информацию, довольно простой способ, так никогда не пробовал. Вполне может пригодится

    12  
    А я не могу найти файл. Полное название ввести не могу (переход на лат.раскладку заблокирован), ищу на начальные цифры 036. Проводник такой файл не видит. Подскажите блондинке плз, как гада отловить. Предполагаемые места хранения типа темпов почищены, толку ноль. Жду с нетерпением умного совета.

    13  
    В поиске windows XP попробуйте включить галку Искать в скрытых и системных...
    Также попробуйте Пуск-Выполнить-%appdata%-Ok - должны попасть в папку application data smile

    14  
    Спасибо за совет. Уточню: у меня 7, не ХР. В папку application data я попадаю, проблема в том, что ни я глазами, ни комп поиском не видит нужный файл. Кстати, его его полное имя не совпадает с тем, что скопирован ниже этом посте. Видимо, зараза модифицируется. Но это не главное. Главное - как мне его увидеть, чтобы переместить в корзинку и удалить.

    15  
    Поиск в 7-ке, как минимум, непонятен. Бывало, он НЕ находил файлы, которые перед глазами. На него полагаться не будем.
    У вас должен быть включен показ скрытых файлов: в проводнике нажмите ALT, сверху появится меню, в нем Сервис - параметры папок - вкладка Вид - последние пункты - убрать галки Скрывать и переключить на Показывать...

    Дальше Вам нужна папка AppData Вашего профиля, а в ней, предполагаю, Roaming

    8  
    Спасибище вам огромное - так просто и понятно расписали способ решения проблемы! Поймала этот вирус вчера, как же он меня напугал cry Благодаря вам удалось от него избавиться за 10 минут. smile

    7  
    В Реестре прописан в трех местах:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum

    HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

    HKEY_USERS\S-1-5-21-1060284298-1606980848-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum

    поиск по имени файла (036DFF5900168678027527D27B07D287)

    6  
    Спасибо вам! Сделала все как у вас написано и была спасена!

    1-10 11-13
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Создать бесплатный сайт с uCozИП Андрианов© 2017
    Яндекс.Метрика