На днях столкнулся с такой проблемкой… На компьютере при загрузке вылезло окошко:
«Внимание! Доступ заблокирован! Бесплатный срок использования ПО Downloader истек, отправьте смс с кодом….» Вырубился Касперский, удалился файл лицензии… Заблокировался доступ по сети (инет, сть комп – комп, сеть комп – кмк)
Думал, что обычный информер. Зашел в свойства обозревателя, выполнил необходимые махинации по удалению инормера, перезагрузился… Не помогло, проделал аналогично в опере… Тоже нет результата… Посоветовали снести IE и Оперу… Когда сносил IE, он не удалился… Осталась одна папка, которая используется каким то процессом… На помощь пришел всеми любимый unlocker. Нашел этот процесс. Оказалось, что мешается winlogon.exe (системный процесс, при попытке убить через диспетчер, пишет невозможность завершения, это критический процесс). Убил через анлокер. Окошко информера исчезло, но так как системный процесс, комп перезагрузился и окошко снова вылезло… Нашел, что в даннй процесс внедрился какой то вирусный модуль aekgorn.dll.
Данного файла в виндоус/систем32 не обнаружено. Причем он внедрился во многие критические процессы, в свхост и прочие. Пошел на форумы искать информацию… Везде были аналогичные вопросы! Но без ответов!
На помощь пришла утилитка get.exe Дали два файла. Один под названием get.exe другая get2.exe
Извлекаем из первого архива файл get.exe, запускаем его… Тухнет экран, шевелим мышкой, ком перезагружается. Если информер не пропадает, то открываем второй архив, запускаем get2.exe, комп перезагружается обычным человеческим видом. «завершение работы, сохранение параметров и тп» После полной загрузки системы информер пропадает! Берем антивирусную утилитку от лаборатории касперского AVZ (у меня 4.32 версия 2009г) и проверяем свой любимый компьютер на вирусы =)) Ну вот мы и достигли желаемого результата.
Пы. Сы. Как работают утилитки, я так и не понял…)) Если кто разберется, напишите в ЛС, добавим сюда. Вроде как они просто подменяют это аекгорн.длл
Сразу о комментариях... Перевод даты не помогает, на форумах когда искал, натыкался на советы по типу перевести дату на год назад, на всякие антивирусные программы (если даже какая то из них будет работать, то откуда ее взять? доступ в инет заблокирован то) тоже много советчиков нашлось. Но ничего из перечисленного не помогло..
В прикрепленном архиве как раз находятся get.exe, get2.exe, AVZ =))
Прикрепленный файл #1: vosstanovlyalka_by_mistiko56_in_1712200982147_articles.zip (5.27 мб)
![Борьба с окошком \"ПО File Downloader, доступ заблокирован\"](/go?https://dimonvideo.ru/files/screens.dimonvideo.ru/articles/sovety-nashix-posetitelej/big_bezymyannyj_by_mistiko56_in_1712200982147_articles.jpg "Борьба с окошком \\"ПО File Downloader, доступ заблокирован\\"")
Вчера коллега подхватила такую же фигню...
Файла aekgorn.dll не было (оно и понятно, может быть генерируемое имя).
Как ты узнал что в процесс внедрен вредоносный модуль?
У мени была папка {822A4B42-8A22-4DE0-83B3-08FE9BA098BE}, в ней что то типа: Icon_любые_цифры.(а расширение rtf, exe, pdf все исполняемые) + в автозагрузке siszyd32.exe (md5=BC2432B0C085142AD707ED2EF20D3D0F, может и генерируемое быть тож) + windir\\winsrv32.exe (md5=78B3ECFC2AC53811B8873D87EBF81656).
Я файлы переименовал, перегрузил машинку и нормально...
Ток не уверен до конца что всё нормально, в реестре нет ветки HCLM_windows_currentVersion_run, а проги запускаются с неё + глубокая проверка Nod32 v.4 ни чего не нашла, пугает это, что то осталось в системе.
-------------
Добавлено в 18.51: не, наврал... после 2х перезагрузок есть ветка реестра, значит всё дочистил... =)
0 ответить