Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro
Для продолжения работы необходимо активировать Вашу копию!
Чтобы получить код активации - отправьте SMS
- таким сообщением порадовал компьютер.

А между строками - красный таймер с трехчасовой задержкой.. Ой, уже 2:58:12. Карааууул…
Никто не знает, где в инете на четырехзначные номера бесплатные СМС можно отправлять? :)

Как лечить?

  1. Грузимся с флешки или LiveCD (Если нет - рекомендую заиметь, бывает всякое…  как один из вариантов - искать тут http://www.freedrweb.com/livecd ), или любого загрузочного диска.. Или, если есть возможность - переставить жесткий диск на другой компьютер;
  2. Удаляем все файлы из каталога Windows\Temp
  3. Заходим в Windows\System32 и удаляем все файлы размером 88608 байт (! возможно, скрытые/системные)
  4. Из каталога Program Files\Internet Explorer\ удаляем файл svnhost.exe (если он там имеется)
  5. Перегружаемся…  Ждем заплатку :)

Вот такой вот uBest NetSpeed Pro :)

UPD.

Видимо, разновидность.
При похожих симптомах dll-файлов такого размера в каталоге system32 не найдено.
Скорее всего, они скрытые/системные - проверьте, что включено отображение скрытых-системных файлов.

Грузимся в безопасном режиме удаляем файлы из и
Windows\Temp,
Documents and Settings\ИмяПользователя\Local Settings\Temporary Internet Files\
Грузимся в нормальном режиме и запускаем lavasoft adware (Качать с www.lavasoft.com) обновить
- по описанию - должен восстановить диспетчер задач и т.п
Метод не пробовал - отписывайтесь, у кого получилось!

UPD2

Если из пункта первого ничего не подошло, можно попробовать подождать 3 часа.. Судя по описаниям - окно пропадает, антивирусы запускаются. Проделать действия из пункта 2-4. Если помог этот способ - сообщайте.

А вообще, в антивирусных базах от drweb и KAV от сегодняшнего числа информация об этом вирусе уже имеется. CureIt должен разглядеть этот  uBest NetSpeed Pro

Видимо, очередная модификация http://news.drweb.com/show/?i=304

UPD3
Возможно, размер не совпадает с указанным, однако файлы все же можно попробовать определить по одинаковой дате создания (причем не обязательно сегодняшней-вчерашней - у меня все файлы были от 2004 года) и одинаковому размеру (скорее всего, и одинаковому содержимому). Как вариант - запустить программу поиска одинаковых файлов

UPD4 - найденные антивирусом DrWeb зараженные файлы:
cjymz.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
ilcom.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
jrfbp.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
nkdjr.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
rtemq.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
ufvnq.dll C:\Documents and Settings\%USERNAME%\Local Settings\Temp Trojan.Winlock.514
crzra.dll C:\Documents and Settings\Администратор\Local Settings\Temp Trojan.Winlock.514
gbnpv.dll C:\Documents and Settings\Администратор\Local Settings\Temp Trojan.Winlock.514
swvxv.dll C:\Documents and Settings\Администратор\Local Settings\Temp Trojan.Winlock.514

Метки: , , ,

Опубликовано Четверг, Декабрь 3, 2009 в 01:36 в следующих категориях: Без рубрики. Вы можете подписаться на комментарии к этому сообщению через RSS 2.0. Вы можете добавить комментарий, или trackback со своего сайта.

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Комментарии (20) к записи “Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro”

  1. Юлия сообщает Декабрь 3rd, 2009 в 19:55 :

    У меня нет в папке System32 файлов, размером 88608 байт:(

  2. Алексей сообщает Декабрь 3rd, 2009 в 20:04 :

    Спасибо, помогло!

  3. levik сообщает Декабрь 3rd, 2009 в 20:17 :

    Юлия, попробуйте включить отображение скрытых/системных файлов. Если не помогло - смотрите второй метод. Возможно, Ваш случай.

  4. arturzin сообщает Декабрь 4th, 2009 в 01:41 :

    Спас и респект, помогло, суппеерр, афтару мега респект

  5. Наташа сообщает Декабрь 4th, 2009 в 05:01 :

    а в Temp какие удфлять файлы?

  6. Лев сообщает Декабрь 4th, 2009 в 05:40 :

    система -vista home.
    Темпа почистил, sistem32 тоже подчистил еще в папке \Program Files\Internet Explorer\ были дурацкие файлы типа 1.exe svnost.exe btot какие то пару не помню. Все удалил, система как бы работает, все запускается полная видимость оздоровления, но!!! решил посмотреть может вышла заплатка, пару важных обновлений лежит, решил установить и фиг…. виснет и не ставится!!! вызов диспетчера задач - не работает. Скачал и запустил LiveCD. Изменений нет.

  7. levik сообщает Декабрь 4th, 2009 в 07:02 :

    Наташа, в Temp можно удалить все файлы - каталог специально для временных файлов.
    Лев, возможно, стоит перед установкой заплаток провериться на вирусы? Рекомендую откатить до “рабочей” точки восстановления (если есть куда), запустить полную проверку (по возможности последней версией с актуальной базой), и все обновления устанавливать поверх почищенной системы по очереди, опять же с предварительным созданием точки восстановления - дабы не переделывать. Возможен конфликт обновлений с оборудованием, либо установленными программами.

  8. Drivovich сообщает Декабрь 4th, 2009 в 16:44 :

    Virus removal tool от каспеского поможет.

  9. alexeySTP сообщает Декабрь 4th, 2009 в 20:55 :

    1. Файлы в system32 могут быть другого размера - у меня были по 88908кб.
    2. Все они не имеют подписи, могут быть скрытыми и имеют одну и ту же дату создания. По этим признакам ищем, сортируем и грохаем.
    3. Надо подцепить реестр зараженной машины (это удобно сделать в ERD Commander) и найти параметр userinit в HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\WINLOGON\. После запятой там стоит расположение и имя собственно перехватчика - у меня это был файл svcnost.exe в каталоге program files\internet explorer размером 7кб. Чистим параметр и грохаем файл.
    4. Собственно все - загружаем комп, восстанавливаем возможность запуска диспетчера задач и редактора реестра через gpedit.msc или реестр.
    5. Ставим мне пиво виртуально :-)

  10. Наташа сообщает Декабрь 5th, 2009 в 06:17 :

    Скажите пожалйста у мнея нет (Documents and Settings\ИмяПользователя\Local Settings\)Temporary Internet Files\, а есть посто в Local Settings temp это ведь не одно и тоже?
    и может быть такое что при запуске сканироания LiveCD, ничего не нашлось ? как тогда быть

  11. alexeySTP сообщает Декабрь 5th, 2009 в 19:32 :

    Наташа
    При появлении новых вирусов, особенно таких, антивирусные программы какое-то время бесполезны, поэтому сканирование ни к чему не приведет.
    Упомянутая Вами директория - это каталог временных файлов под пользователем, Вам же нужно очистить системный каталог временных файлов.

  12. Сергей сообщает Декабрь 5th, 2009 в 20:35 :

    У меня вообще никакие приложения не открываются,а тупо блокируются:(

  13. Алексей сообщает Декабрь 6th, 2009 в 06:43 :

    Вообще ничего не помогает,вирус не дает ничего открыть из программ,как мне сделать чтобы антивирус заработал?

  14. Рыжик сообщает Декабрь 6th, 2009 в 16:26 :

    Люди, у меня тоже такая же фигня - вылазит белый баннер “вы нарушили лицензионное соглашение программного продукта uBest NetSpeed Pro, отправьте смс с кодом таким-то на номер такой-то, ля ля тополя…” и отсчёт времени, около 3 часов. Регедит не запускается, диспетчер тоже, откатила бы систему - но это “отключено групповой политикой”. Переустанавливать винду не хочу, мне кажется, это можно удалить как-нибудь попроще, просто надо знать где оно прописалось.
    Удалила:
    - файл “1.exe” на диске C:
    - файл svcnost.exe по адресу C:/Program Files/Internet Explorer (пользуюсь IE и Мозилкой, в папке Мозилки ничего подозрительного нету)
    - подчистила все текстовые файлы, в которых было слово svcnost (не знаю зачем…)
    - файл exploper.exe не помню по какому адресу, вроде C:/WINDOWS/system32
    Больше не знаю, что делать. В папках Temp и Temporary Internet Files всё почистила. Скачать какую-нибудь прогу из Инета не получается, с диска тоже, вообще НИОТКУДА. антивируса нету (да, я блондинка - залазить в Инет без антивируса). По многим ссылкам в Инете переходить не могу - просто тупо закрываются все окна обозревателя. захожу снова - опа, вылазит наш баннер. Закрывается только если по часикам кликнуть, но временно.
    Мне почему-то кажется, что это связано как-то с двумя предыдущими баннерами, на них порнуха была. Один, похоже, FieryAds, удалила, нашла в инете код и ввела - больше не появлялся. У другого, CMedia, почистила файлы, где надо. После удаления FieryAds появился вот этот, NetSpeed.
    HELP!!!!!

  15. Eduard сообщает Декабрь 7th, 2009 в 00:02 :

    подходящих фалов в systeм32 не нашлось!
    папки Temporary Internet Files\ я не нашел, даже поиск не нашел!
    3 часа ждал, табличка исчезла, но антивирусник и сайты вирус всеравно глушит!
    ps а как Live Cd запустить? я на флешку телефона его перекачал(распакованный архив), а дальше он не грузится, и че вообще с ним то делать нужно, для чего он?:)
    psps как мне быть?

  16. Евгений сообщает Декабрь 8th, 2009 в 02:56 :

    Спасибо всем кто писал хоть какие-то рецепты борьбы с вирусом! На 3ий день не очень активных действий удалось с ним справится!

    Что помогло мне.

    1. Грузится обязательно с загрузочного диска. В моём случае это была windows которая грузилась с диска.
    2. Программа CureIt. На удивление нашла вирусы, удалила их, но нашла не все и подлый вирусняк всё равно появлялся.
    3. Удалил ручками в папке system32 подозрительные файлы штук 15 одного размера и одной даты создания. Причем дата создания была старая - 2008 года.
    4. Удалил странные файлы в папке C:/Program Files/Internet Explorer
    5. Почистил все темпы.

    А алилуя теперь все ok. Гадская табличка не появляется. Руки бы оторвал тому, кто такое западло делает.

  17. USer сообщает Декабрь 8th, 2009 в 22:26 :

    Пасип! +2
    оч помогло
    автору респект

  18. alexeySTP сообщает Декабрь 12th, 2009 в 06:36 :

    Всем страдающим, по второму кругу:
    1. Нужно иметь LiveCD - лучше всего ERD Commander, он позволяет и реестр править.
    2. Единственный верный признак зараженных dll в %systemdir% - это отсутствие подписи создателя! По этому признаку определяется размер и дата создания. Затем файлы сортируются по размеру и убиваются.
    3. svcnost.exe необходимо удалить, где бы он не был!
    4. В реестре чистится запись в параметре userinit - см. мой предидущий пост.
    5. Диспетчер задач и regedit включаются в групповых политиках безопасности.
    6. Не забудьте проверить файл hosts - эта гадюка его редактирует, возможны нежелательные редиректы.
    7. Вирус мутирует, разновидностей много - не полагайтесь пока на свой антивирус или утилиты по удалению вирусов - может, вы подцепили свежака.

  19. Алексей сообщает Декабрь 17th, 2009 в 07:57 :

    Мне помогло только переставив жесткий диск на лругой компьютер,антивирус нашел,но удалять не хотел,пришлось вручную

  20. Рыжик сообщает Декабрь 19th, 2009 в 01:14 :

    ничего не помогает, ливсд нету, файлов в system32 тоже, ни системных, ни скрытых - никаких…

Добавить комментарий