Взрослая социальная сеть
 Алексеев Свободен |
16-05-2009 - 11:14 Не так давно появился чудо-вирус Winlock, при запуске Windows выводящий сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Разработчики антивирусов отреагировали по-разному. Касперята до сих пор стоят на ручнике. DrWeb пытается бороться, даже создал генератор сообщений для вируса, дабы тот успокоился. Не помогает в 70% случаев. Я, в отличие от специалистов Dr.Web, видел уже три модификации вируса с визуальным отличием выскакивающего окна. В стиле блондинко - красненькое окно на черном фоне, синенькое окно на синем фоне, и просто синенький фон с букавками. Второй из перечисленных не пропадает через два часа, не имеет файлов blocker.*, не реагирует на сгенерированные пароли и не видится Каспером и CureIT. Базы естественно свежие. К тому ж ничего левого в автозагрузке в упор не увидел. Вылечилось восстановлением системы и последующей установкой KIS с анализом активности приложений. Интересно, кто сталкивался и как лечил :| |
||||
 Свободен |
17-05-2009 - 12:56 Руками. Все просто до невозможности. |
||||
Ci ne Mato-graff Свободен |
18-05-2009 - 09:00 Был недавно такой случай Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась |
||||
| Алексеев Свободен |
18-05-2009 - 09:10 Во, наконец-то нашелся человек, точно знающий, как бороться с этой пакостью ^_^ JeyLo, можно подробно, как для идиота? :) |
||||
| Алексеев Свободен |
18-05-2009 - 09:13
Разумный вариант, но хотелось бы знать более быстрый способ :) К тому ж удаление профиля не всегда применимо, и всех системных *.dll и *.exe я не знаю  Это сообщение отредактировал t-kvark - 18-05-2009 - 09:25 |
||||
| Алексеев Свободен |
18-05-2009 - 09:26 Удалить файлы с вирусом на самом деле проблема не большая. Весь гемор в том, чтобы их найтить :) |
||||
| Свободен |
18-05-2009 - 09:52 Можно. :) Ща, поработаю чуток и отвечу. |
||||
| Алексеев Свободен |
23-05-2009 - 02:35
Бывает, из головы вылетело  Напомню апом темы :) |
||||
| Свободен |
23-05-2009 - 11:59 А. Ну да. Забыл. Писать долго, лень. Такой сложный процесс... Короче два варианта на несколько типов такой байды: 1. Нажать Shift и тупо держать. А потом regedit и вперед. Ну или HiJackThis. 1. Нажать Win+U и тупо спросить помощи. А потом C:\Windows\System32\regedit.exe и вперед. Ну или HiJackThis. Проще всего, когда эти уроды представляются как winlogon notification packages. Хуже всего, когда заместо userinit. Ну это конечно когда флешки нет загрузочной. Там вообще все просто. Пару файлегов удаляешь и фсё. :) |
||||
| Алексеев Свободен |
23-05-2009 - 15:08
Так вот почему я в авторане ничего найтить не мог... Благодарю за пояснение :) |
||||
| Свободен |
23-05-2009 - 15:28 Ну да. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ключег Userinit. Тип REG_SZ. Там должно быть одно значение: "C:\Windows\SYSTEM32\Userinit.exe," (ну, или, WINNT для NT и W2K) А за запятой нифига. Всегда. |
||||
| neon_mud Женат |
23-05-2009 - 16:32 слышал. читал даже про эту пакость. но пока ни разу у меня на работе юзер не напихнулся на такое. сам под никсами, регедит не нужен... |
||||
vovan217 Свободен |
03-06-2009 - 01:13 Кто-нибудь знает точно какие файлы отвечают за функционирование троянца? |
||||
| Свободен |
02-07-2009 - 15:18
Они разные. Селятся обычно в корне профайла. |
||||
heep25 Свободен |
09-07-2009 - 17:02 Я приловил эту интересную модификацию вот посмотрите Загрузить свои фото  Загрузить свои фото  Короче попил мне этот гребаный вирус кровь я что только не делал, все бестолку пришлось переустановить Винду, но это даже пошло мне на пользу я ее 4 года не переустанавливал порядком тормозить начинала. Это сообщение отредактировал heep25 - 09-07-2009 - 17:05 |
||||
barrakuda Свободен |
09-07-2009 - 22:15
Да, это и есть самая увлекательная часть процесса. :) Но как правило, подобные вирусы имеют привычку прописывать себя в автозагрузку, так что проверка тех мест системного реестра, что отвечают за автозагрузку приложений и библиотек, поможет напасть на след негодяя. Тут пригодится программа Autoruns, которая как раз знает большинство таких лакомых для вируса местечек. Майкрософт рекомендует, качать здесь: http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx Запускаем прогу и изучаем полученный список. Если какой-то файл вызывает подозрение, стоит поискать информацию о нем в инете. Если уж в систему даже войти не удается, то можно попробовать загрузиться с загрузочного компакт-диска типа WinPE и прочесать реестр на предмет наличия подозрительных модулей с помощью Windows Registry Recovery. Особенность этой программы в том, что она читает реестр напрямую с файла. Ссылка: http://www.mitec.cz/wrr.html На всякий случай добавлю, что правка реестра - штука опасная и делать это нужно осторожно. :) |
||||
 Slim_Joy Свободна |
11-07-2009 - 19:10 Боже мой.... как всё сложно((((( у меня такой вирус, через двое суток стал перезапускать комп через 3 сек после появления окна, я не успеваю даже ни код ввести, ни ещё что-либо сделать(((( |
||||
| barrakuda Свободен |
11-07-2009 - 20:21 На самом деле, как уже было сказано выше, алгоритм борьбы с данным вредителем прост: раз не удается войти в систему с "парадного входа", нужно сделать это с "черного входа". То есть получить доступ к винчестеру посредством загрузочного диска или, на худой конец, с помощью recovery console. Затем выявить файлы вируса и удалить их. Возможно еще придется удалить те записи в реестре, которые троян там оставил. Для обычных же пользователей, не искушенных в деле удаления вирусов вручную, выход один - постоянно работающий антивирус, с включенной проактивной защитой, плюс регулярное обновление баз антивируса. |
||||
| heep25 Свободен |
12-07-2009 - 09:50 Именно кратковременное отключение антивируса и привело к тому что я прицепил эту заразу. Отключил, вышел в интернет и сразу "приехал". |
||||
Platinum PROFI Свободен |
13-07-2009 - 12:33 Интересно, шде такой вирус можно найти  До нас он пока видимо не дошел |
||||
| barrakuda Свободен |
17-07-2009 - 00:27 В продолжение темы. Вчера мне в руки наконец-то попался образец такого СМС-вымогателя. А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать. В общем, пришло мне сообщение следующего содержания: Запрос авторизации: Качайте суперскую программу. http://... (Далее была ссылка на один известный файлообменник, я ее по понятным причинам не привожу здесь) Она умеет: 1. Оповещать вас когда вам приходит сообщение Вконтакте (так же есть возможность оповещать на мобильний телефон средством смс). 2. Даёт возможность качать из сайта В (Здесь сообщение обрывается) Естественно, я не мог удержаться от того, чтобы не скачать эту суперскую программу.  Чудо-прогой оказался файлик размером 526 кб, под скромным названием reg.exe, украшенный значком выше упомянутой социальной сети. Написан, кстати, на Дельфи. Запустил я ее на виртуальной машине и... и мои надежды оправдались! Это действительно оказался троян, блокирующий систему. Сразу же после запуска весь экран заполонило окошко, маскирующее себя под страницу Вконтакте и нагло заявляющее, что компьютер пользователя заблокирован за попытку взлома базы данных сайта Вконтакте. Для разблокировки следует отправить СМС с кодом на указанный номер. Для граждан России, Украины, Белоруссии и Казахстана указаны разные номера. Далее нас уверяют, что смс БЕССПЛАТНОЕ (Именно так, заглавными буквами и с двумя "С") Это окно меня реально позабавило... Загрузить свои фото  Закрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной. А вот уничтожение вируса оказалось делом банальным и неинтересным. Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удалить параметр QuickTimer, значением которого является путь к файлу вируса. Такая вот очередная модификация winlock'ера... Проверка файла онлайн-сервисом http://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21 опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as |
||||
zatejnik Женат |
20-03-2010 - 12:00 проблема приобрела актуальность для меня снова один раз сталкивался с попрошайкой требующей отправки смс. и справлялся с ней вышеуказанными способами. но в этот раз жена на ноутбук словила нечто иное. вирус прикрывается компанией Майкрософт, я кобы блокировка произошла изза нелицензионного использования ОС, что уже в данном случае неправда. Установлена лицензионная Виста с первым сервиспаком. Для разблокировки требует не смс, а оплату на кошелёк Яндекс деньги. В противном случае угражает уничтожить все данные по истечении 2х часов. единственное что меня позабавило, это то что как утверхдают вирусописатели "код активации будет написан на чеке" очень интересно как терминал такое сделает. ситуация осложнена тем, что в обычном режиме рабочий чтол вообще не грузится, просто чёрное окно. А в безопасном режиме открывается попрошайническое окно а система заблокирована. есть возможность загрузится только с поддержки командной строки. можно через неё отключитьзапуск этой гадости?  |
||||
| Свободен |
20-03-2010 - 16:47
Можно. |
||||
| zatejnik Женат |
20-03-2010 - 17:45
очень содержательно очень прошу подробностей |
||||
| Свободен |
20-03-2010 - 17:58 Я просто запутался где что. |
||||
| zatejnik Женат |
20-03-2010 - 19:12 у меня на этом ноутбуке установлена Виста, а вместе с ней предустановлен какой то центр безопасности, из за которого другие антивирусы ставится не хотят, а как этот центр долбануть я тоже найти не могу. надо бы вручную добраться, но наверно сначала отключить её чтобы не стартовала? вот фото сделал. Хостинг фотографий  |
||||
| Свободен |
20-03-2010 - 19:17 Первый раз слышу, что центр безопасности не дает встать другим антивирусам. Наверно стоит сказать центру разрешить установку драйверов, сервисов и прочих изменений в системе при установке антивируса? :) Перезагрузитесь и на взлете нажмите и не отпускайте кнопку SHIFT. А потом AVZ и HiJackThis. |
||||
| zatejnik Женат |
21-03-2010 - 00:33 не правильно выразился McAfee Cetnter Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как? Это сообщение отредактировал zatejnik - 21-03-2010 - 00:34 |
||||
| Свободен |
21-03-2010 - 01:30
Для этого изобрели специальную кошерную утилиту. скрытый текст Запустите от имени администратора.
Если можете запустить диспетчер задач, значит Вы можете все. Можете запустить AVZ. Можете просто прибить лишний процесс (и узнаете, как он называется) а потом все тот же AVZ. Постепенно завершайте все процессы, которые запущены от вашего имени (кроме taskmgr.exe и explorer.exe). На котором умрет вирус, тот и есть имя исполняемого файла. Потом Вы можете его найти и удалить. Вручную или через утилиты. И очистить все следы, аналогично вручную или через утилиты. :) |
||||
Rosinka Свободен |
21-03-2010 - 10:05 ну, если бы я лазил каждый день по порнозонам и соглашался бы устанавливать всякие актив х для бесплатного просмотра видео, то тоже бы оброс этими вымогателями хотя странно, обычно они блокируют диспетчер задач и вообще ограничивают пользователя, я пользовался программой зоркий глаз |
||||
vikk0808 Свободен |
16-06-2010 - 01:43 На сегодняшний день все гораздо хуже! Поцепил вирус в виде банера с требованием отправить смс. Так вот: иннет заблокирован,браузеры,"выполнить",командная строка тоже! В безопасном режиме анологично! Помог знакомый ,нашел код разблокировки на Вэбе ! И это у меня не первый раз!У некоторых еще хуже,не находят кода разблокировки! |
||||
| Свободен |
16-06-2010 - 01:55
http://www.sxnarod.com/index.php?showtopic=289899 Скачайте, запишите на диск и держите всегда под рукой. |
||||
| Алексеев Свободен |
18-06-2010 - 04:28 В нашем захолустье очередная эпидемия этих баннеров. Некоторые просто болтаются и раздражают, некоторые блокируют все антивири, а при попытке запуска AVZ или HJT перезагружают систему... Некоторые особо кривые вместо баннера вываливают десяток собственных ошибок и инициируют ещё столько же системных. Грузят комп все без исключения. Поковырялся с десятком случаев понял и одну вещь: ну их нафиг, эти скрипты и логи. Ну да, красиво, эффективно, и для казуалов загадочно и непонятно. Шамана однако, ага. Но блин, это верный способ убить несколько часов жизни фиг пойми на что. Намного быстрее сделать так: 1. Грузимся с ЛайвСД (лучше с RusLive, он шустрее) 2. Удаляем из папки Windows и systems32 все .exe и .dll, созданные в день появления первого баннера или позже. Кстати, один из файлов какой-то версии баннера так и называется: .exe ツ Названия обычно невнятные, например dfvbf.exe, но может встретиться и что-то типа sys32.exe или microsoft.dll. 3. Загружаемся в зараженной системе. При загрузке слегка потормозит, но в целом запустится бодренько. 4. Выполняем все пункты меню "Восстановление" в AVZ. 5. Убиваем в диспетчере задач все подозрительное 6. Трем кучу гуано из автозагрузки любой подходящей утилитой (например autоruns). 7. Ставим последнего триального каспера, обновляем базы, заводим самую тщательную и глубокую проверку моего компьютера. 8. С чувством выполненного долга уходим. Если хозяину компа каспер не мил, после проверки пусть удаляет сам. Почему так? Да потому что логи после этих действий практически чистые, зато сама процедура лечения занимает от силы минут двадцать против 2-3 часов возни с Зайцевым. Не считая проверки канешн, но на неё уже фиолетово. А если нет разницы - нафига сидеть дольше? ヅ Это сообщение отредактировал t-kvark - 18-06-2010 - 04:32 |
||||
-=Велла=- Свободна |
18-06-2010 - 15:13 У меня сейчас как раз на одном компе баннер висит. Autoruns что-то ничего не показывает. HJT воспользоваться не могу, бо баннер поверх всех окон и окна HJT тупо не видно. Блин.. взяла и отключила explorer.exe  Теперь у меня ничо нету, кроме баннера  Как вернуть обратно? Это сообщение отредактировал -=Велла=- - 18-06-2010 - 15:24 |
||||
| Алексеев Свободен |
18-06-2010 - 15:31 После пунктов 1 и 2 поста выше autoruns все прекрасно видит ツ Запустить Explorer.exe при заблокированном диспетчере задач  Проще всего зайти под лайвсд и кинуть ярлык от него в папку автозагрузки. |