Сегодня, 16 июля 2012, встретил новый довольно агрессивный вирус, запускающийся на компьютере жертвы под личиной антивируса, именуемого Live Security Platinum 3.6.1 Загрузившись сразу при запуске компьютера, он начинал демонстрировать быстрое и тщательное псевдосканирование компьютера, сообщая пользователю о десятках найденных угроз. Агрессивность же его заключалась в том, что при этом он не давал запустить НИ ОДНУ программу, кроме проводника. Спасибо, ему хоть за это, а то было бы больше возни с этим зловредом. При запуске любой программы иконка в трее, она у него конечно же была, ведь это же "антивирус", вспыхивала сообщением, что обнаружена угроза, и программа, едва стартовав, падала на взлете. Именно по этой причине не могу привести скриншот с иллюстрацией работы этого вируса, потому что не работали ни mspaint, ни word, ни что-либо, куда можно было всунуть содержимое буфера обмена. Диспетчер задач, разумеется, тоже отдыхал. Вместе с, кстати, антивирусом настоящим. Тот только и сумел вывесить в трей свою иконку, которая понуро показывала, что он отключен. Не будем показывать пальцем, но это была Avira. Чуть ниже приведу результату VirusTotal'а, чтобы хоть немного ее реабилитировать, немногие справились с этим заданием.
Что касается самого Live Security Platinum, то он, разумеется, просил активироваться, что бы перейти из демонстрационного режима в полноценный и, наконец-то, покончить со всей этой нечистью на компьютере пользователя. Для этого надо просто приобрести эту чудесную программу. При его мизерном размере, у него было даже меню, в котором даже был чекбокс, чтобы отключить автозапуск, но, наверное, в этой версии программы еще эту возможность не реализовали:) Итак, поиском файлов зловред был найден, и потом заблокирован. (Как заблокировать см. здесь) После перезагрузки он дал себя спокойно загрузить в карантин ожившей Avir'е и отправился в лабораторию компании. Вот он у себя дома, вместе с иконкой, которая сидела в трее, сообщая о наденных угрозах:
Но Live Security Platinum оставил для меня и загадки. Я не смог найти точку его запуска. В реестре было только это:
Возможно, он запускался другим exe-файлом, потому что во временных папках были еще gweho.exe, файл вида 0.абракадабра.exe, и куча всяких .tmp В общем, я не удовлетворен этим обстоятельством, но времени на расследования уже не было, оставим это ребятам из антивирусных лабораторий.
А вот и результат с сайта VirusTotal.com:
Antivirus
Result
Update
nProtect
-
20120716
CAT-QuickHeal
-
20120716
McAfee
FakeAlert-SecurityTool.es
20120716
TheHacker
-
20120716
K7AntiVirus
Trojan
20120714
VirusBuster
-
20120715
NOD32
-
20120715
F-Prot
-
20120715
Symantec
-
20120716
Norman
-
20120716
TotalDefense
-
20120713
TrendMicro-HouseCall
-
20120715
Avast
-
20120716
eSafe
-
20120716
ClamAV
-
20120716
Kaspersky
Trojan-FakeAV.Win32.SmartFortress2012.bln
20120716
BitDefender
-
20120716
ViRobot
-
20120716
Emsisoft
Rogue.Win32.LiveSecurityPlatinum!A2
20120716
Comodo
-
20120716
F-Secure
-
20120716
DrWeb
Trojan.AVKill.20323
20120716
VIPRE
-
20120716
AntiVir
-
20120716
TrendMicro
-
20120716
McAfee-GW-Edition
Heuristic.LooksLike.Win32.Suspicious.B
20120716
Sophos
-
20120716
Jiangmin
-
20120716
Antiy-AVL
-
20120712
Microsoft
-
20120716
SUPERAntiSpyware
-
20120715
AhnLab-V3
-
20120715
GData
-
20120716
Commtouch
-
20120715
ByteHero
-
20120613
VBA32
-
20120716
PCTools
-
20120716
Rising
-
20120716
Ikarus
-
20120716
Fortinet
-
20120716
AVG
-
20120716
Panda
-
20120716
Так что, как видим, многие "курят". Спустя почти 7 часов ответа по этому файлу я пока не получил, пришли подтверждения по сопутствующей мелочевке, но по этому еще не было. Возможно, они тоже теперь не могут избавиться от него на своих компьютерах;) Пожалуйста, оставляйте, свои замечания и комментарии, если материал был вам полезен.
P.S. Несколько дней спустя прочитал, что этот вирус запускается из ключа RunOnce. Теперь понятно, почему я не нашел точку его запуска: после старта система попыталась его запустить, а затем удалила ключ. Запущенный вирус должен был его восстановить, но не смог, так как запуск был заблокирован и не состоялся.
Я сразу понял что это вирус. Но удалить простым способом мне не удалось. Хорошо что в моем компе, две операционные установлены на разных лог. дисках. Загрузившийся с другого диска я удалил этот вирус. Адрес вируса тот же C:\Documents and Settings\All Users\Application Data
slesar6r 9 очень помог!!! тоже не могла удалить файл, после того, ка прочитала его комментарий сразу переместила файл на рабочий стол в новую папку; после перезагрузки быстро удалила папочку и очистила корзину! и вуаля - ни каких вирусов!
Всем спасибо большое! все удалила.:))) а то залезла в нэт с чужого компа на работе, работаю ночью в охране, думала мне попадет, от начальства, ан нет, спасибо вам, спасли. ох уж эти вирусы!:)))
Пол-часа назад и я отхватил сию гадость,как избавился-нашёл файл,удалить нельзя-доступ заблокирован,но можно переместить,для этого создал новую папку на рабочем столе,после перезагрузки папку сразу-же вкорзину,корзину очистил(метод научного тыка+случай+везение) Ура! Всё работает!
А я не могу найти файл. Полное название ввести не могу (переход на лат.раскладку заблокирован), ищу на начальные цифры 036. Проводник такой файл не видит. Подскажите блондинке плз, как гада отловить. Предполагаемые места хранения типа темпов почищены, толку ноль. Жду с нетерпением умного совета.
В поиске windows XP попробуйте включить галку Искать в скрытых и системных... Также попробуйте Пуск-Выполнить-%appdata%-Ok - должны попасть в папку application data
Спасибо за совет. Уточню: у меня 7, не ХР. В папку application data я попадаю, проблема в том, что ни я глазами, ни комп поиском не видит нужный файл. Кстати, его его полное имя не совпадает с тем, что скопирован ниже этом посте. Видимо, зараза модифицируется. Но это не главное. Главное - как мне его увидеть, чтобы переместить в корзинку и удалить.
Поиск в 7-ке, как минимум, непонятен. Бывало, он НЕ находил файлы, которые перед глазами. На него полагаться не будем. У вас должен быть включен показ скрытых файлов: в проводнике нажмите ALT, сверху появится меню, в нем Сервис - параметры папок - вкладка Вид - последние пункты - убрать галки Скрывать и переключить на Показывать...
Дальше Вам нужна папка AppData Вашего профиля, а в ней, предполагаю, Roaming
Спасибище вам огромное - так просто и понятно расписали способ решения проблемы! Поймала этот вирус вчера, как же он меня напугал Благодаря вам удалось от него избавиться за 10 минут.
Благодаря вам удалось от него избавиться за 10 минут.