Разработчики антивирусов отреагировали по-разному. Касперята до сих пор стоят на ручнике. DrWeb пытается бороться, даже создал генератор сообщений для вируса, дабы тот успокоился. Не помогает в 70% случаев.
Я, в отличие от специалистов Dr.Web, видел уже три модификации вируса с визуальным отличием выскакивающего окна. В стиле блондинко - красненькое окно на черном фоне, синенькое окно на синем фоне, и просто синенький фон с букавками.
Второй из перечисленных не пропадает через два часа, не имеет файлов blocker.*, не реагирует на сгенерированные пароли и не видится Каспером и CureIT. Базы естественно свежие.
К тому ж ничего левого в автозагрузке в упор не увидел. Вылечилось восстановлением системы и последующей установкой KIS с анализом активности приложений.
Интересно, кто сталкивался и как лечил :|
Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll
После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась
JeyLo, можно подробно, как для идиота? :)
| QUOTE (Ci ne Mato-graff @ 18.05.2009 - время: 09:00) |
| Был недавно такой случай Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась |
Разумный вариант, но хотелось бы знать более быстрый способ :) К тому ж удаление профиля не всегда применимо, и всех системных *.dll и *.exe я не знаю
Это сообщение отредактировал t-kvark - 18-05-2009 - 09:25
Ща, поработаю чуток и отвечу.
| QUOTE (JeyLo @ 18.05.2009 - время: 09:52) |
| Ща, поработаю чуток и отвечу. |
Бывает, из головы вылетело
Напомню апом темы :)
Короче два варианта на несколько типов такой байды:
1. Нажать Shift и тупо держать. А потом regedit и вперед. Ну или HiJackThis.
1. Нажать Win+U и тупо спросить помощи. А потом C:\Windows\System32\regedit.exe и вперед. Ну или HiJackThis.
Проще всего, когда эти уроды представляются как winlogon notification packages. Хуже всего, когда заместо userinit.
Ну это конечно когда флешки нет загрузочной. Там вообще все просто. Пару файлегов удаляешь и фсё. :)
| QUOTE (JeyLo @ 23.05.2009 - время: 11:59) |
| Хуже всего, когда заместо userinit. |
Так вот почему я в авторане ничего найтить не мог...
Благодарю за пояснение :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключег Userinit. Тип REG_SZ.
Там должно быть одно значение: "C:\Windows\SYSTEM32\Userinit.exe," (ну, или, WINNT для NT и W2K)
А за запятой нифига. Всегда.
| QUOTE (vovan217 @ 03.06.2009 - время: 01:13) |
| Кто-нибудь знает точно какие файлы отвечают за функционирование троянца? |
Они разные. Селятся обычно в корне профайла.
Загрузить свои фото
Загрузить свои фото
Короче попил мне этот гребаный вирус кровь я что только не делал, все бестолку пришлось переустановить Винду, но это даже пошло мне на пользу я ее 4 года не переустанавливал порядком тормозить начинала.
Это сообщение отредактировал heep25 - 09-07-2009 - 17:05
| QUOTE |
| Удалить файлы с вирусом на самом деле проблема не большая. Весь гемор в том, чтобы их найтить |
Да, это и есть самая увлекательная часть процесса. :)
Но как правило, подобные вирусы имеют привычку прописывать себя в автозагрузку, так что проверка тех мест системного реестра, что отвечают за автозагрузку приложений и библиотек, поможет напасть на след негодяя.
Тут пригодится программа Autoruns, которая как раз знает большинство таких лакомых для вируса местечек. Майкрософт рекомендует, качать здесь: http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
Запускаем прогу и изучаем полученный список.
Если какой-то файл вызывает подозрение, стоит поискать информацию о нем в инете.
Если уж в систему даже войти не удается, то
можно попробовать загрузиться с загрузочного компакт-диска типа WinPE и прочесать реестр на предмет наличия подозрительных модулей с помощью Windows Registry Recovery.
Особенность этой программы в том, что она читает реестр напрямую с файла.
Ссылка: http://www.mitec.cz/wrr.html
На всякий случай добавлю, что правка реестра - штука опасная и делать это нужно осторожно. :)
как всё сложно(((((
у меня такой вирус, через двое суток стал перезапускать комп через 3 сек после появления окна, я не успеваю даже ни код ввести, ни ещё что-либо сделать((((
Для обычных же пользователей, не искушенных в деле удаления вирусов вручную, выход один - постоянно работающий антивирус, с включенной проактивной защитой, плюс регулярное обновление баз антивируса.
До нас он пока видимо не дошел
Вчера мне в руки наконец-то попался образец такого СМС-вымогателя.
А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать.
В общем, пришло мне сообщение следующего содержания:
Запрос авторизации:
Качайте суперскую программу. http://... (Далее была ссылка на один известный файлообменник, я ее по понятным причинам не привожу здесь)
Она умеет:
1. Оповещать вас когда вам приходит сообщение Вконтакте (так же есть возможность оповещать на мобильний телефон средством смс).
2. Даёт возможность качать из сайта В (Здесь сообщение обрывается)
Естественно, я не мог удержаться от того, чтобы не скачать эту суперскую программу.
Чудо-прогой оказался файлик размером 526 кб, под скромным названием reg.exe, украшенный значком выше упомянутой социальной сети.
Написан, кстати, на Дельфи.
Запустил я ее на виртуальной машине и...
и мои надежды оправдались! Это действительно оказался троян, блокирующий систему.
Сразу же после запуска весь экран заполонило окошко, маскирующее себя под страницу Вконтакте и нагло заявляющее, что компьютер пользователя заблокирован за попытку взлома базы данных сайта Вконтакте. Для разблокировки следует отправить СМС с кодом на указанный номер. Для граждан России, Украины, Белоруссии и Казахстана указаны разные номера. Далее нас уверяют, что смс БЕССПЛАТНОЕ (Именно так, заглавными буквами и с двумя "С")
Это окно меня реально позабавило...
Загрузить свои фото
Закрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной.
А вот уничтожение вируса оказалось делом банальным и неинтересным.
Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и удалить параметр QuickTimer, значением которого является путь к файлу вируса.
Такая вот очередная модификация winlock'ера...
Проверка файла онлайн-сервисом http://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21
опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as
один раз сталкивался с попрошайкой требующей отправки смс. и справлялся с ней вышеуказанными способами.
но в этот раз жена на ноутбук словила нечто иное.
вирус прикрывается компанией Майкрософт, я кобы блокировка произошла изза нелицензионного использования ОС, что уже в данном случае неправда. Установлена лицензионная Виста с первым сервиспаком.
Для разблокировки требует не смс, а оплату на кошелёк Яндекс деньги. В противном случае угражает уничтожить все данные по истечении 2х часов.
единственное что меня позабавило, это то что как утверхдают вирусописатели "код активации будет написан на чеке" очень интересно как терминал такое сделает.
ситуация осложнена тем, что в обычном режиме рабочий чтол вообще не грузится, просто чёрное окно. А в безопасном режиме открывается попрошайническое окно а система заблокирована.
есть возможность загрузится только с поддержки командной строки.
можно через неё отключитьзапуск этой гадости?
| QUOTE (zatejnik @ 20.03.2010 - время: 11:00) |
| есть возможность загрузится только с поддержки командной строки. можно через неё отключитьзапуск этой гадости? |
Можно.
| QUOTE (JeyLo @ 20.03.2010 - время: 15:47) | ||
Можно. |
очень содержательно
очень прошу подробностей
надо бы вручную добраться, но наверно сначала отключить её чтобы не стартовала?
вот фото сделал.
Хостинг фотографий
Перезагрузитесь и на взлете нажмите и не отпускайте кнопку SHIFT. А потом AVZ и HiJackThis.
McAfee Cetnter Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу
диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как?
Это сообщение отредактировал zatejnik - 21-03-2010 - 00:34
| QUOTE (zatejnik @ 20.03.2010 - время: 23:33) |
| не правильно выразился McAfee Center Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу |
Для этого изобрели специальную кошерную утилиту.
скрытый текст
Запустите от имени администратора.
| QUOTE (zatejnik @ 20.03.2010 - время: 23:33) |
| диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как? |
Если можете запустить диспетчер задач, значит Вы можете все. Можете запустить AVZ. Можете просто прибить лишний процесс (и узнаете, как он называется) а потом все тот же AVZ. Постепенно завершайте все процессы, которые запущены от вашего имени (кроме taskmgr.exe и explorer.exe). На котором умрет вирус, тот и есть имя исполняемого файла. Потом Вы можете его найти и удалить. Вручную или через утилиты. И очистить все следы, аналогично вручную или через утилиты. :)
хотя странно, обычно они блокируют диспетчер задач и вообще ограничивают пользователя, я пользовался программой зоркий глаз
| QUOTE (vikk0808 @ 16.06.2010 - время: 01:43) |
| На сегодняшний день все гораздо хуже! Поцепил вирус в виде банера с требованием отправить смс. Так вот: иннет заблокирован,браузеры,"выполнить",командная строка тоже! В безопасном режиме анологично! Помог знакомый ,нашел код разблокировки на Вэбе ! И это у меня не первый раз!У некоторых еще хуже,не находят кода разблокировки! |
http://www.sxnarod.com/index.php?showtopic=289899
Скачайте, запишите на диск и держите всегда под рукой.
Поковырялся с десятком случаев понял и одну вещь: ну их нафиг, эти скрипты и логи. Ну да, красиво, эффективно, и для казуалов загадочно и непонятно. Шамана однако, ага. Но блин, это верный способ убить несколько часов жизни фиг пойми на что. Намного быстрее сделать так:
1. Грузимся с ЛайвСД (лучше с RusLive, он шустрее)
2. Удаляем из папки Windows и systems32 все .exe и .dll, созданные в день появления первого баннера или позже. Кстати, один из файлов какой-то версии баннера так и называется: .exe ツ Названия обычно невнятные, например dfvbf.exe, но может встретиться и что-то типа sys32.exe или microsoft.dll.
3. Загружаемся в зараженной системе. При загрузке слегка потормозит, но в целом запустится бодренько.
4. Выполняем все пункты меню "Восстановление" в AVZ.
5. Убиваем в диспетчере задач все подозрительное
6. Трем кучу гуано из автозагрузки любой подходящей утилитой (например autоruns).
7. Ставим последнего триального каспера, обновляем базы, заводим самую тщательную и глубокую проверку моего компьютера.
8. С чувством выполненного долга уходим. Если хозяину компа каспер не мил, после проверки пусть удаляет сам.
Почему так? Да потому что логи после этих действий практически чистые, зато сама процедура лечения занимает от силы минут двадцать против 2-3 часов возни с Зайцевым. Не считая проверки канешн, но на неё уже фиолетово.
А если нет разницы - нафига сидеть дольше? ヅ
Это сообщение отредактировал t-kvark - 18-06-2010 - 04:32
Блин.. взяла и отключила explorer.exe
Теперь у меня ничо нету, кроме баннера
Как вернуть обратно?
Это сообщение отредактировал -=Велла=- - 18-06-2010 - 15:24
Запустить Explorer.exe при заблокированном диспетчере задач
Проще всего зайти под лайвсд и кинуть ярлык от него в папку автозагрузки.