-
8 мар 11Тут в коментах, как накаркали. Сегодня прочитал у zlobny-troll.livejournal.com
Цитирую отрывок для тех, кому мень пройти по ссылке: Эта мерзость создаёт ещё один диск на 200 МБ, причём переименовывает диск С в диск Д, системным становися диск с этой заразой, и у обоих дисков одинаковые номера.
Как всегда хочет денег на "Билайновский номер". Касперский эту гадость не знает, остальные тоже.....Не пускала никакие утилиты, сука. То дисков не видит, то ещё что-нить весёленькое. Таки прибил при помощи "Алкида". Конец цитаты
Видимо надо быть особо осторожными со всякого рода вложениями в письма типа "А посмотри ка на прикольный файлик". Конкретной методики он не даёт,видимо надо данные срочно сохранять и готовиться к массовым переформатированиям и переустановкам. -
A6 мар 11HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution
Вот это вобще чума, я искал у человека как же всетаки диспетчер задач подменяется на калькулятор, потом не поленился и поискал в реестре и тоже нашел эту ветку.
Подмена шелов, блокираторы в виде служб это всё фигня.
Вобщем респект блокираторописателям, если бы не они так бы и не узнал об этой ветке.
А так по теме любой блокиратор убирается легко ручками. -
4 мар 11Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
А всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Кстати, после нормальной перезагрузки, необходимо проверить
всю систему обновленным антивирусом, особенно обращая внимание на папки:
1)
C:\Documents and Settings\%username%\Local Settings\ — там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\
— из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у
всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) — найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла
относятся к Windows (msv1_0.dll и xmlprov.dll — эти файлы не удалять), а
остальные, особенно с датой создания за январь 2010 года) — очень хорошо
проверить — 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с
зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть
на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки. -
C4 мар 11Да, действительно, прикольная вещь. Сам, к счастью, не ловил, а вот знакомые уже несколько раз успели. Сегодня ноутбук отлечил. Загрузился в безопасном режиме с поддержкой командной строки, далее regedit.
В ветви winlogon ничего постороннего не обнаружил, исследовал ветвь Run, поудалял левую хренотень, потом загрузился просто в безопасном режиме, запустил DrWeb.
Перезагрузился после лечения, и всё работает. -
-
Y4 мар 11С чего ты взял что это студенты-ботаники. Судя по масштабам дело пахнет скорее хорошо организованной группой. Скорее на квартирке ты нарвешся на пару-тройку вооруженных быков ну и вопрос со здоровьем будет задан тебе.
-
-
A3 мар 11Первая картинка попалась мне буквально вчера, только там уже не СМС на короткий номер, а наглое требование бабла на федеральный билайновский. Что интересно, на этот раз подменен logonui.exe левым файлом. Лечил как обычно, с LiveCD, благо приводы есть на любом компе.
К слову, у меня через Оперу+Аваст ничего не пролезает, хотя ради спортивного интереса я прошелся по некольким сайтам с рефератами, музыкой, фильмами и даже порнухой. В некоторых случаях Аваст предупреждает о ридеректе на опасный сайт и блокирует сие действие. Сейчас использую новую 6 версию, home free. -
Сделано с
NoNaMe