Осторожно: ВИРУС!

[ahilles555]

Так как мы все являемся активными пользователями интернета, то решил создать тему, где пользователи могли бы предупреждать о появлении новых вирусов.

Попутная тема:

• [Для просмотра данной ссылки нужно ]

[Neb4St]

System Volume Information - папка для восстановления. Туда Винда заносит все изменения в системе и копии измененных файлов. На случай если Вы захотите откатится назад через стандартную утилиту "Восстановление системы". Вирус можно и нужно удалить. Только взялся он там из рабочей системы. Прогоните все винты различными антивирусными утилитами (DrWeb-Scanner, NOD32, avz4, Ad-Aware). Рекомендую поставить еще и UnHackMe.

[hryndik]

Недавно попался ноут вот с какой штукой. Система - Windows Vista. После запуска прямо посреди рабочего стола надпись "Penetrator" Вместо фотографий - эта же надпись. Текстовые документы вроде бы на месте, только вместо собственно текста - отборнейшея матерщина! В дистрибах на диске D, где лежала Vista - ничего, непонятные файлы и DLL - ки.
Занесена эта гадость была с флешки.
Кто-нибудь сталкивался с этой штукой? Да, на некоторых ноутах (по рассказам пострадавшего) эта гадость ещё и вслух материлась, то есть через плеер, видимо.
Заморачиваться не стал, форматнул всё на несколько раз, поставил XP.
Но что это за штука?

[commar]

про Penetrator
Penetrator - Российский вирус, иногда прикидывается mp3-файлом, портит avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip..
на картинках появляется надпись Penetrator, содержимое файлов .doc и .xls заменяется следующим текстовым сообщением, при этом размер этих файлов становится 196 байт – по объему текстового сообщения:
не для девочек:

«НА*** ПОСЛАНА, С*КА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, С*КА, ИШЕШЬ ВИНОВНИКА!! СОСИ ***, ЛИЖИ *****!! ХАХАХАХ \Penetrator\

Любопытно, что пользователеи AutoCAD'а пострадали меньше, ибо AutoCAD переоформляет scr-файлы на себя и свою заставку в проводнике Penetrator запустить не может.
Лечить комп, зараженный Penetrator-ом сложно, но можно.. в принципе.
================================================== ====
Но я о другом:
Для любителей бесплатного софта:
Вчерашний день я посвятил борьбе.. с халявой.. Даже и не знаю, к какому классу вредителей отнести ту шнягу, которая мешала мне нормально работать в течении 3-х дней, пока не надоела, и пока я не решил заняться выявлением причин глюков проводника висты.
Я не помню, как и с чем установился модуль, о котором пойдет речь, поскольку система - тестовая, и не я в ней не особенно аккуратен.
Итак:
После установки бесплатного софта, или, чаще всего (!), русификатора какой-нибудь программы, в списке установленных программ появляется запись: Единый модуль поддержки сети Fiery.
При попытке его удаления из стандартной панели удаления программ: Нельзя удалить модуль FieryAds, т.к. у вас стоит следующее программное обеспечение (именно так, без указания конкретной программы) в "Спонсорском режиме": Платный контент, ограничение до ХХ.YY.2009 - Необходимо либо оплатить использование данного ПО, либо удалить его с компьютера..
дата XX.YY обычно исчисляется +1 месяц со дня установки русификатора или софта, снабженного троянским конем FieryAds.
Причем удаление самой программы или русификатора, принесшего этот модуль на комп ничего не меняет - удаление FieryAds станет возможным только после оплаты. Принудительное удаление с помошью разных Uninstaller-ов создает только видимость удаления, сама вредная dll-ка не удаляется..
Самое интересное начинается после истечения указанного срока...
Когда истекает указанный срок действия, стандартный проводник Windows (explorer) начинает глючить, неадекватно реагируя на определенные программы и службы, которые прописаны в теле этой Fiery. Список программ достаточно большой, в основном это популярные приложения и службы Windows. Глюки проявляются по разному - от зависания и перезагрузки оболочки explorer, самопроизвольной смены системных шрифтов, до синего экрана смерти и невозможности войти в безопасный режим.
Один из глюков: если вы, например, поставите на ночь с десяток поочерёдных закачек, закачается только первая, потом проводник висты завистнет и будет ждать вашего решения по поводу перезапуска (а вы-то спите).... работа менеджера закачек будет приостановлена и закачки, соответственно, не продолжаться..
Антивирусы, антитрояны, антируткиты и прочее антишпиёнское ПО никак не реагирует на установку и присутствие в системе FieryAds. А она даже и не прячется. В папке Program Files на системном диске появляется нескрытая папка FieryAds. В ней несколько файлов - обязательно присутствует FieryAds.dll, как правило - CommLayer.dll и могут быть другие файлы - взависимисти от имени устанавливаемой или русифицируемой программы.
Конкретные ветки реестра не указываю по той причине, что они - разные, опять же взависимости от устанавливаемого бесплатного сыра.
Обычным методом папка не удаляется, как и файлы в ней. FieryAds.dll прописывается как Browser Helper в IE (Internet Explorer)
Как удалить:
запустить AutoRuns. Ссылка на архив с русской версией 9.39:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

на вкладке Internet Explorer
в HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
удалить подстроку с упоминанием FieryAds
установить Unlocker. прямой линк с оф.сайта,русский:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

При установке поставить галку - встроить в проводник. На папке FieryAds в Program Files клик правой клавишей мыши, выбрать и запустить Unlocker. Задать удаление. Unlocker отрапортует о невозможности удаления, спросит об удалении при следующей загрузке. Согласиться. И перезагрузиться. После загрузки проверить - папка FieryAds должна быть удалена.
запустить Registry search and delete (RSD), ссылка на оф.сайт:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

в строке поиска ввести FieryAds.
после окончания поиска выделить и удалить все ключи реестра.
Один нехороший нюанс... Следы-то мы удалили, а вот последствия.. Дело в том, что эта сволочь Fiery меняет некоторые ключи реестра... И каковы последствия такой замены, я пока не знаю..
Удачи.

[hryndik]

commar, у меня это было! Именно так - невозможно удалить... Но так как антивири не реагировали, я пожимал плечами... Сейчас посмотрел - а нету его! И папки нет! Но я ничего из вышеперечисленного не запускал. Заскрипел мозгами... Припоминаю - появился этот Единый модуль поддержки сети Fiery по моему, после запуска SetapFlylinkDC-r 365.exe (Точное название) Это менеджер закачек p2p. (так, по моему). А так как у меня не срослось с р2р - через некоторое время я удалил эту программу. ПО ВИДИМОМУ, удалился и этот пресловутый модуль.
Повторяю - это только мои предположения, экспериментировать у меня желания нету - комп один.
Но, может отсюда и "растут ноги"?

Про penetrator я выяснил, есть на офсайте DrWeb.
Много уже пострадали от него в нашем и соседних районах.

[AFateev]

Прочел последние сообщения в этой теме....
Дай, думаю, посмотрю у себя - есть ли такое ?!
Во, блин !!! И у меня нашелся Единый модуль поддержки сети Fiery. (в Установка и удаление программ )
Только вчера систему Акронисом восстанавливал....("Акронировал" месяц назад)...
В Program Files дата создания папки Fiery - сегодняшняя..!!
Сегодня инсталировал только SkypeSetupFull...
Получается , что он вместе с ним "пришел" ?!
...............................
Из Установка и удаление программ >удалить>....> готово - удалился без проблем...Удалил Skype >...папка Fiery осталась..>удалил её вручную>прегрузился> выше указанного модуля не вижу....
-.-.-.-.--.-.-.-.-.-.-.-.
Да, забыл сказать...Каспер 2009 как рыба об лёд....ни гу-гу...

------------
AutoRuns.exe не нашел подстроку с упоминанием FieryAds
[Для просмотра данной ссылки нужно ]

Registry search and delete находит одно упоминание , но останавливается на другом ключе :
[Для просмотра данной ссылки нужно ]
буду искать через Regedit....

[kornei-net]

Прошу прошения если пишу не туда.
Не претендую на сенсацию, просто хочу предостеречь.
Вчера искал несколько футажей и наткнулся на один из сайтов, на котором, каким-то образом у меня выскочило окно (все всплывающие окна заблокированы) с каким-то непонятным вопросом, я нажал отмена и все. А вот после перезагрузки компа у меня возникла проблема:Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные."
Рекомендую всем кто заразился или может заразиться не отсылайте смс, потеряете кучу денег и не получите кода.
Вот два способа решения этой проблемы:
1-й:Какчаем LiveCD от DrWeb ([Для просмотра данной ссылки нужно ]). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.
2-й: Снять жесткий и поставить его на другой комп. Удалить два выше указанных файлика из папки C:\Documents and Settings\All Users\Application Data.

P.S.: Мой Каспер не обнаружил вирус. Версия 6 для корпоративных клиентов. NOD тоже не обнаружил.

[Мимино]

kornei-net ссылку на сайт или его название не плохо бы указать с предостережением на них крупным планом

[tamalex]

Данная проблема уже несколько дней обсуждается здесь

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Francuz]

А меня "ламером" обзывают,дескать руки не от туда... говорят вирь, Винду не повесит,а оно вот как бывает, спаибо за информацию! P.S.та-же история случилась с блоком,а через 3 дня борьбы еще и Блок на и-нет"отправте СМС ,провайдер отключил соединение" по поводу какой то не уплаты,а у меня безлимит. И Нортон завис перестал обновлятся, так что враг-не дремлет.

[Dr.Vlad]

ОО..спасибо за информацию!!! Вчера вечером звонил клиент,спрашивал насчет каких то смс..Предложил ему принести комп(сразу подумал на троян какой нить),а тут уже все готово,есть инфа и способ лечения,значит готов к встрече! :-)