Trojan.winlock
barrakuda
Профессионал
7/17/2009, 4:27:45 AM
В продолжение темы.
Вчера мне в руки наконец-то попался образец такого СМС-вымогателя.
А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать.
В общем, пришло мне сообщение следующего содержания:
Запрос авторизации:
Качайте суперскую программу. https://www.backbook.me' target="_blank" rel="noopener">Загрузить свои фото
Закрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной.
А вот уничтожение вируса оказалось делом банальным и неинтересным.
Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и удалить параметр QuickTimer, значением которого является путь к файлу вируса.
Такая вот очередная модификация winlock'ера...
Проверка файла онлайн-сервисом https://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21
опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as
Вчера мне в руки наконец-то попался образец такого СМС-вымогателя.
А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать.
В общем, пришло мне сообщение следующего содержания:
Запрос авторизации:
Качайте суперскую программу. https://www.backbook.me' target="_blank" rel="noopener">Загрузить свои фото
Закрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной.
А вот уничтожение вируса оказалось делом банальным и неинтересным.
Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и удалить параметр QuickTimer, значением которого является путь к файлу вируса.
Такая вот очередная модификация winlock'ера...
Проверка файла онлайн-сервисом https://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21
опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as
zatejnik
Мастер
3/20/2010, 2:00:12 PM
проблема приобрела актуальность для меня снова
один раз сталкивался с попрошайкой требующей отправки смс. и справлялся с ней вышеуказанными способами.
но в этот раз жена на ноутбук словила нечто иное.
вирус прикрывается компанией Майкрософт, я кобы блокировка произошла изза нелицензионного использования ОС, что уже в данном случае неправда. Установлена лицензионная Виста с первым сервиспаком.
Для разблокировки требует не смс, а оплату на кошелёк Яндекс деньги. В противном случае угражает уничтожить все данные по истечении 2х часов.
единственное что меня позабавило, это то что как утверхдают вирусописатели "код активации будет написан на чеке" очень интересно как терминал такое сделает.
ситуация осложнена тем, что в обычном режиме рабочий чтол вообще не грузится, просто чёрное окно. А в безопасном режиме открывается попрошайническое окно а система заблокирована.
есть возможность загрузится только с поддержки командной строки.
можно через неё отключитьзапуск этой гадости?
один раз сталкивался с попрошайкой требующей отправки смс. и справлялся с ней вышеуказанными способами.
но в этот раз жена на ноутбук словила нечто иное.
вирус прикрывается компанией Майкрософт, я кобы блокировка произошла изза нелицензионного использования ОС, что уже в данном случае неправда. Установлена лицензионная Виста с первым сервиспаком.
Для разблокировки требует не смс, а оплату на кошелёк Яндекс деньги. В противном случае угражает уничтожить все данные по истечении 2х часов.
единственное что меня позабавило, это то что как утверхдают вирусописатели "код активации будет написан на чеке" очень интересно как терминал такое сделает.
ситуация осложнена тем, что в обычном режиме рабочий чтол вообще не грузится, просто чёрное окно. А в безопасном режиме открывается попрошайническое окно а система заблокирована.
есть возможность загрузится только с поддержки командной строки.
можно через неё отключитьзапуск этой гадости?
DELETED
Акула пера
3/20/2010, 6:47:50 PM
(zatejnik @ 20.03.2010 - время: 11:00) есть возможность загрузится только с поддержки командной строки.
можно через неё отключитьзапуск этой гадости?
Можно.
можно через неё отключитьзапуск этой гадости?
Можно.
zatejnik
Мастер
3/20/2010, 7:45:37 PM
(JeyLo @ 20.03.2010 - время: 15:47) (zatejnik @ 20.03.2010 - время: 11:00) есть возможность загрузится только с поддержки командной строки.
можно через неё отключитьзапуск этой гадости?
Можно.
очень содержательно
очень прошу подробностей
можно через неё отключитьзапуск этой гадости?
Можно.
очень содержательно
очень прошу подробностей
DELETED
Акула пера
3/20/2010, 7:58:02 PM
Я просто запутался где что.
zatejnik
Мастер
3/20/2010, 9:12:09 PM
у меня на этом ноутбуке установлена Виста, а вместе с ней предустановлен какой то центр безопасности, из за которого другие антивирусы ставится не хотят, а как этот центр долбануть я тоже найти не могу.
надо бы вручную добраться, но наверно сначала отключить её чтобы не стартовала?
вот фото сделал.
Хостинг фотографий
надо бы вручную добраться, но наверно сначала отключить её чтобы не стартовала?
вот фото сделал.
Хостинг фотографий
DELETED
Акула пера
3/20/2010, 9:17:19 PM
Первый раз слышу, что центр безопасности не дает встать другим антивирусам. Наверно стоит сказать центру разрешить установку драйверов, сервисов и прочих изменений в системе при установке антивируса? :)
Перезагрузитесь и на взлете нажмите и не отпускайте кнопку SHIFT. А потом AVZ и HiJackThis.
Перезагрузитесь и на взлете нажмите и не отпускайте кнопку SHIFT. А потом AVZ и HiJackThis.
zatejnik
Мастер
3/21/2010, 2:33:32 AM
не правильно выразился
McAfee Cetnter Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу
диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как?
McAfee Cetnter Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу
диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как?
DELETED
Акула пера
3/21/2010, 3:30:12 AM
(zatejnik @ 20.03.2010 - время: 23:33)не правильно выразился
McAfee Center Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу
Для этого изобрели специальную кошерную утилиту.
Запустите от имени администратора.
(zatejnik @ 20.03.2010 - время: 23:33)диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как?
Если можете запустить диспетчер задач, значит Вы можете все. Можете запустить AVZ. Можете просто прибить лишний процесс (и узнаете, как он называется) а потом все тот же AVZ. Постепенно завершайте все процессы, которые запущены от вашего имени (кроме taskmgr.exe и explorer.exe). На котором умрет вирус, тот и есть имя исполняемого файла. Потом Вы можете его найти и удалить. Вручную или через утилиты. И очистить все следы, аналогично вручную или через утилиты. :)
McAfee Center Security Virus Scan вот эта программа не даёт другие антивирусы ставить, и где её удалить найти не могу
Для этого изобрели специальную кошерную утилиту.
скрытый текст
Запустите от имени администратора.
(zatejnik @ 20.03.2010 - время: 23:33)диспетчер задач могу запустить и командную строку. Могу я через ни отключить вирус? если да то как?
Если можете запустить диспетчер задач, значит Вы можете все. Можете запустить AVZ. Можете просто прибить лишний процесс (и узнаете, как он называется) а потом все тот же AVZ. Постепенно завершайте все процессы, которые запущены от вашего имени (кроме taskmgr.exe и explorer.exe). На котором умрет вирус, тот и есть имя исполняемого файла. Потом Вы можете его найти и удалить. Вручную или через утилиты. И очистить все следы, аналогично вручную или через утилиты. :)
Rosinka
Мастер
3/21/2010, 12:05:45 PM
ну, если бы я лазил каждый день по порнозонам и соглашался бы устанавливать всякие актив х для бесплатного просмотра видео, то тоже бы оброс этими вымогателями
хотя странно, обычно они блокируют диспетчер задач и вообще ограничивают пользователя, я пользовался программой зоркий глаз
хотя странно, обычно они блокируют диспетчер задач и вообще ограничивают пользователя, я пользовался программой зоркий глаз
vikk0808
Интересующийся
6/16/2010, 5:43:39 AM
На сегодняшний день все гораздо хуже! Поцепил вирус в виде банера с требованием отправить смс. Так вот: иннет заблокирован,браузеры,"выполнить",командная строка тоже! В безопасном режиме анологично! Помог знакомый ,нашел код разблокировки на Вэбе ! И это у меня не первый раз!У некоторых еще хуже,не находят кода разблокировки!
DELETED
Акула пера
6/16/2010, 5:55:46 AM
(vikk0808 @ 16.06.2010 - время: 01:43) На сегодняшний день все гораздо хуже! Поцепил вирус в виде банера с требованием отправить смс. Так вот: иннет заблокирован,браузеры,"выполнить",командная строка тоже! В безопасном режиме анологично! Помог знакомый ,нашел код разблокировки на Вэбе ! И это у меня не первый раз!У некоторых еще хуже,не находят кода разблокировки!
https://sxn.io/index.php?showtopic=289899
Скачайте, запишите на диск и держите всегда под рукой.
https://sxn.io/index.php?showtopic=289899
Скачайте, запишите на диск и держите всегда под рукой.
Алексеев
Мастер
6/18/2010, 8:28:43 AM
В нашем захолустье очередная эпидемия этих баннеров. Некоторые просто болтаются и раздражают, некоторые блокируют все антивири, а при попытке запуска AVZ или HJT перезагружают систему... Некоторые особо кривые вместо баннера вываливают десяток собственных ошибок и инициируют ещё столько же системных. Грузят комп все без исключения.
Поковырялся с десятком случаев понял и одну вещь: ну их нафиг, эти скрипты и логи. Ну да, красиво, эффективно, и для казуалов загадочно и непонятно. Шамана однако, ага. Но блин, это верный способ убить несколько часов жизни фиг пойми на что. Намного быстрее сделать так:
1. Грузимся с ЛайвСД (лучше с RusLive, он шустрее)
2. Удаляем из папки Windows и systems32 все .exe и .dll, созданные в день появления первого баннера или позже. Кстати, один из файлов какой-то версии баннера так и называется: .exe ツ Названия обычно невнятные, например dfvbf.exe, но может встретиться и что-то типа sys32.exe или microsoft.dll.
3. Загружаемся в зараженной системе. При загрузке слегка потормозит, но в целом запустится бодренько.
4. Выполняем все пункты меню "Восстановление" в AVZ.
5. Убиваем в диспетчере задач все подозрительное
6. Трем кучу гуано из автозагрузки любой подходящей утилитой (например autоruns).
7. Ставим последнего триального каспера, обновляем базы, заводим самую тщательную и глубокую проверку моего компьютера.
8. С чувством выполненного долга уходим. Если хозяину компа каспер не мил, после проверки пусть удаляет сам.
Почему так? Да потому что логи после этих действий практически чистые, зато сама процедура лечения занимает от силы минут двадцать против 2-3 часов возни с Зайцевым. Не считая проверки канешн, но на неё уже фиолетово.
А если нет разницы - нафига сидеть дольше? ヅ
Поковырялся с десятком случаев понял и одну вещь: ну их нафиг, эти скрипты и логи. Ну да, красиво, эффективно, и для казуалов загадочно и непонятно. Шамана однако, ага. Но блин, это верный способ убить несколько часов жизни фиг пойми на что. Намного быстрее сделать так:
1. Грузимся с ЛайвСД (лучше с RusLive, он шустрее)
2. Удаляем из папки Windows и systems32 все .exe и .dll, созданные в день появления первого баннера или позже. Кстати, один из файлов какой-то версии баннера так и называется: .exe ツ Названия обычно невнятные, например dfvbf.exe, но может встретиться и что-то типа sys32.exe или microsoft.dll.
3. Загружаемся в зараженной системе. При загрузке слегка потормозит, но в целом запустится бодренько.
4. Выполняем все пункты меню "Восстановление" в AVZ.
5. Убиваем в диспетчере задач все подозрительное
6. Трем кучу гуано из автозагрузки любой подходящей утилитой (например autоruns).
7. Ставим последнего триального каспера, обновляем базы, заводим самую тщательную и глубокую проверку моего компьютера.
8. С чувством выполненного долга уходим. Если хозяину компа каспер не мил, после проверки пусть удаляет сам.
Почему так? Да потому что логи после этих действий практически чистые, зато сама процедура лечения занимает от силы минут двадцать против 2-3 часов возни с Зайцевым. Не считая проверки канешн, но на неё уже фиолетово.
А если нет разницы - нафига сидеть дольше? ヅ
-=Велла=-
Акула пера
6/18/2010, 7:13:48 PM
У меня сейчас как раз на одном компе баннер висит. Autoruns что-то ничего не показывает. HJT воспользоваться не могу, бо баннер поверх всех окон и окна HJT тупо не видно.
Блин.. взяла и отключила explorer.exe
Теперь у меня ничо нету, кроме баннера
Как вернуть обратно?
Блин.. взяла и отключила explorer.exe
Теперь у меня ничо нету, кроме баннера
Как вернуть обратно?
Алексеев
Мастер
6/18/2010, 7:31:37 PM
После пунктов 1 и 2 поста выше autoruns все прекрасно видит ツ
Запустить Explorer.exe при заблокированном диспетчере задач
Проще всего зайти под лайвсд и кинуть ярлык от него в папку автозагрузки.
Запустить Explorer.exe при заблокированном диспетчере задач
Проще всего зайти под лайвсд и кинуть ярлык от него в папку автозагрузки.DELETED
Акула пера
6/18/2010, 7:32:04 PM
Ко мне вчера делегации ездили. И у каждого розовый баннер от пронхаба.
Есть с чего загрузиться?
Есть с чего загрузиться?
Алексеев
Мастер
6/18/2010, 7:36:47 PM
(-=Велла=- @ 18.06.2010 - время: 15:13) У меня сейчас как раз на одном компе баннер висит. Autoruns что-то ничего не показывает. HJT воспользоваться не могу, бо баннер поверх всех окон и окна HJT тупо не видно.
Кстати да, знакомая тема
После четверти часа онанизма решение было найдено: в разрешении экрана выставляем сначала 640x480, а потом 1280х1024. Баннер уезжает в правый поправка - левый верхний угол >_<
Кстати да, знакомая тема
После четверти часа онанизма решение было найдено: в разрешении экрана выставляем сначала 640x480, а потом 1280х1024. Баннер уезжает в правый поправка - левый верхний угол >_<
DELETED
Акула пера
6/18/2010, 7:39:31 PM
(t-kvark @ 18.06.2010 - время: 15:36) После четверти часа онанизма решение было найдено: в разрешении экрана выставляем сначала 640x480, а потом 1280х1024. Баннер уезжает в правый поправка - левый верхний угол >_<
Какой-то у тебя дружелюбный банер попался. Ты, наверно, добрый? А я вот только злые видел. Все, вообще все, блокируют к чертовой матери.
Какой-то у тебя дружелюбный банер попался. Ты, наверно, добрый? А я вот только злые видел. Все, вообще все, блокируют к чертовой матери.
-=Велла=-
Акула пера
6/18/2010, 7:45:53 PM
(t-kvark @ 18.06.2010 - время: 15:36) После четверти часа онанизма решение было найдено: в разрешении экрана выставляем сначала 640x480, а потом 1280х1024. Баннер уезжает в правый поправка - левый верхний угол >_<
Бл... а ты чего раньше это не написал? До того как я explorer грохнула???
Бл... а ты чего раньше это не написал? До того как я explorer грохнула???
Алексеев
Мастер
6/18/2010, 7:50:34 PM
(JeyLo @ 18.06.2010 - время: 15:39) Какой-то у тебя дружелюбный банер попался. Ты, наверно, добрый? А я вот только злые видел. Все, вообще все, блокируют к чертовой матери.
С самым дружелюбным ковырялся три дня назад, он вообще вместо баннера выдал десяток ошибок хз чего и докучи пару системных - services и ещё что-то, mmc кажется... При нажатии на Ок происходит аварийная перезагрузка с окошком обратного отсчета.
Владельцу было разъяснено, что он скачал пиратскую версию порнобаннера, и в следующий раз нужно качать лицензионную ツ
С самым дружелюбным ковырялся три дня назад, он вообще вместо баннера выдал десяток ошибок хз чего и докучи пару системных - services и ещё что-то, mmc кажется... При нажатии на Ок происходит аварийная перезагрузка с окошком обратного отсчета.
Владельцу было разъяснено, что он скачал пиратскую версию порнобаннера, и в следующий раз нужно качать лицензионную ツ