Алексеев | |
|
Не так давно появился чудо-вирус Winlock, при запуске Windows выводящий сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Разработчики антивирусов отреагировали по-разному. Касперята до сих пор стоят на ручнике. DrWeb пытается бороться, даже создал генератор сообщений для вируса, дабы тот успокоился. Не помогает в 70% случаев. Я, в отличие от специалистов Dr.Web, видел уже три модификации вируса с визуальным отличием выскакивающего окна. В стиле блондинко - красненькое окно на черном фоне, синенькое окно на синем фоне, и просто синенький фон с букавками. Второй из перечисленных не пропадает через два часа, не имеет файлов blocker.*, не реагирует на сгенерированные пароли и не видится Каспером и CureIT. Базы естественно свежие. К тому ж ничего левого в автозагрузке в упор не увидел. Вылечилось восстановлением системы и последующей установкой KIS с анализом активности приложений. Интересно, кто сталкивался и как лечил :| |
|
Руками. Все просто до невозможности.
|
Ci ne Mato-graff | |
|
Был недавно такой случай Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась |
Алексеев | |
|
Во, наконец-то нашелся человек, точно знающий, как бороться с этой пакостью ^_^ JeyLo, можно подробно, как для идиота? :) |
Алексеев | |||
|
Разумный вариант, но хотелось бы знать более быстрый способ :) К тому ж удаление профиля не всегда применимо, и всех системных *.dll и *.exe я не знаю Это сообщение отредактировал t-kvark - 18-05-2009 - 09:25 |
Алексеев | |
|
Удалить файлы с вирусом на самом деле проблема не большая. Весь гемор в том, чтобы их найтить :)
|
|
Можно. :) Ща, поработаю чуток и отвечу. |
Алексеев | |||
|
Бывает, из головы вылетело Напомню апом темы :) |
|
А. Ну да. Забыл. Писать долго, лень. Такой сложный процесс... Короче два варианта на несколько типов такой байды: 1. Нажать Shift и тупо держать. А потом regedit и вперед. Ну или HiJackThis. 1. Нажать Win+U и тупо спросить помощи. А потом C:\Windows\System32\regedit.exe и вперед. Ну или HiJackThis. Проще всего, когда эти уроды представляются как winlogon notification packages. Хуже всего, когда заместо userinit. Ну это конечно когда флешки нет загрузочной. Там вообще все просто. Пару файлегов удаляешь и фсё. :) |
Алексеев | |||
|
Так вот почему я в авторане ничего найтить не мог... Благодарю за пояснение :) |
|
Ну да. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ключег Userinit. Тип REG_SZ. Там должно быть одно значение: "C:\Windows\SYSTEM32\Userinit.exe," (ну, или, WINNT для NT и W2K) А за запятой нифига. Всегда. |
neon_mud | |
|
слышал. читал даже про эту пакость. но пока ни разу у меня на работе юзер не напихнулся на такое. сам под никсами, регедит не нужен...
|
vovan217 | |
|
Кто-нибудь знает точно какие файлы отвечают за функционирование троянца?
|
|
Они разные. Селятся обычно в корне профайла. |
heep25 | |
|
Я приловил эту интересную модификацию вот посмотрите Загрузить свои фото Загрузить свои фото Короче попил мне этот гребаный вирус кровь я что только не делал, все бестолку пришлось переустановить Винду, но это даже пошло мне на пользу я ее 4 года не переустанавливал порядком тормозить начинала. Это сообщение отредактировал heep25 - 09-07-2009 - 17:05 |
barrakuda | |||
|
Да, это и есть самая увлекательная часть процесса. :) Но как правило, подобные вирусы имеют привычку прописывать себя в автозагрузку, так что проверка тех мест системного реестра, что отвечают за автозагрузку приложений и библиотек, поможет напасть на след негодяя. Тут пригодится программа Autoruns, которая как раз знает большинство таких лакомых для вируса местечек. Майкрософт рекомендует, качать здесь: http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx Запускаем прогу и изучаем полученный список. Если какой-то файл вызывает подозрение, стоит поискать информацию о нем в инете. Если уж в систему даже войти не удается, то можно попробовать загрузиться с загрузочного компакт-диска типа WinPE и прочесать реестр на предмет наличия подозрительных модулей с помощью Windows Registry Recovery. Особенность этой программы в том, что она читает реестр напрямую с файла. Ссылка: http://www.mitec.cz/wrr.html На всякий случай добавлю, что правка реестра - штука опасная и делать это нужно осторожно. :) |
Slim_Joy | |
|
Боже мой.... как всё сложно((((( у меня такой вирус, через двое суток стал перезапускать комп через 3 сек после появления окна, я не успеваю даже ни код ввести, ни ещё что-либо сделать(((( |
barrakuda | |
|
На самом деле, как уже было сказано выше, алгоритм борьбы с данным вредителем прост: раз не удается войти в систему с "парадного входа", нужно сделать это с "черного входа". То есть получить доступ к винчестеру посредством загрузочного диска или, на худой конец, с помощью recovery console. Затем выявить файлы вируса и удалить их. Возможно еще придется удалить те записи в реестре, которые троян там оставил. Для обычных же пользователей, не искушенных в деле удаления вирусов вручную, выход один - постоянно работающий антивирус, с включенной проактивной защитой, плюс регулярное обновление баз антивируса. |
heep25 | |
|
Именно кратковременное отключение антивируса и привело к тому что я прицепил эту заразу. Отключил, вышел в интернет и сразу "приехал".
|
Platinum PROFI | |
|
Интересно, шде такой вирус можно найти До нас он пока видимо не дошел
|
barrakuda | |
|
В продолжение темы. Вчера мне в руки наконец-то попался образец такого СМС-вымогателя. А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать. В общем, пришло мне сообщение следующего содержания: Запрос авторизации: Качайте суперскую программу. http://... (Далее была ссылка на один известный файлообменник, я ее по понятным причинам не привожу здесь) Она умеет: 1. Оповещать вас когда вам приходит сообщение Вконтакте (так же есть возможность оповещать на мобильний телефон средством смс). 2. Даёт возможность качать из сайта В (Здесь сообщение обрывается) Естественно, я не мог удержаться от того, чтобы не скачать эту суперскую программу. Чудо-прогой оказался файлик размером 526 кб, под скромным названием reg.exe, украшенный значком выше упомянутой социальной сети. Написан, кстати, на Дельфи. Запустил я ее на виртуальной машине и... и мои надежды оправдались! Это действительно оказался троян, блокирующий систему. Сразу же после запуска весь экран заполонило окошко, маскирующее себя под страницу Вконтакте и нагло заявляющее, что компьютер пользователя заблокирован за попытку взлома базы данных сайта Вконтакте. Для разблокировки следует отправить СМС с кодом на указанный номер. Для граждан России, Украины, Белоруссии и Казахстана указаны разные номера. Далее нас уверяют, что смс БЕССПЛАТНОЕ (Именно так, заглавными буквами и с двумя "С") Это окно меня реально позабавило... Загрузить свои фото Закрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной. А вот уничтожение вируса оказалось делом банальным и неинтересным. Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удалить параметр QuickTimer, значением которого является путь к файлу вируса. Такая вот очередная модификация winlock'ера... Проверка файла онлайн-сервисом http://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21 опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as |
zatejnik | |
|
проблема приобрела актуальность для меня снова один раз сталкивался с попрошайкой требующей отправки смс. и справлялся с ней вышеуказанными способами. но в этот раз жена на ноутбук словила нечто иное. вирус прикрывается компанией Майкрософт, я кобы блокировка произошла изза нелицензионного использования ОС, что уже в данном случае неправда. Установлена лицензионная Виста с первым сервиспаком. Для разблокировки требует не смс, а оплату на кошелёк Яндекс деньги. В противном случае угражает уничтожить все данные по истечении 2х часов. единственное что меня позабавило, это то что как утверхдают вирусописатели "код активации будет написан на чеке" очень интересно как терминал такое сделает. ситуация осложнена тем, что в обычном режиме рабочий чтол вообще не грузится, просто чёрное окно. А в безопасном режиме открывается попрошайническое окно а система заблокирована. есть возможность загрузится только с поддержки командной строки. можно через неё отключитьзапуск этой гадости? |
|
Можно. |
zatejnik | |||||
|
очень содержательно очень прошу подробностей |
|
Я просто запутался где что.
|
Рекомендуем почитать также топики: Новинки от Motorola Жесткий диск Call of Duty (все части) Не запускаются браузеры Материал для защиты колонок!!! |