Цитирую отрывок для тех, кому мень пройти по ссылке: Эта мерзость создаёт ещё один диск на 200 МБ, причём переименовывает диск С в диск Д, системным становися диск с этой заразой, и у обоих дисков одинаковые номера.
Как всегда хочет денег на "Билайновский номер". Касперский эту гадость не знает, остальные тоже.....Не пускала никакие утилиты, сука. То дисков не видит, то ещё что-нить весёленькое. Таки прибил при помощи "Алкида". Конец цитаты
Видимо надо быть особо осторожными со всякого рода вложениями в письма типа "А посмотри ка на прикольный файлик". Конкретной методики он не даёт,видимо надо данные срочно сохранять и готовиться к массовым переформатированиям и переустановкам.
Вот это вобще чума, я искал у человека как же всетаки диспетчер задач подменяется на калькулятор, потом не поленился и поискал в реестре и тоже нашел эту ветку.
Подмена шелов, блокираторы в виде служб это всё фигня.
Вобщем респект блокираторописателям, если бы не они так бы и не узнал об этой ветке.
А так по теме любой блокиратор убирается легко ручками.
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
А всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Кстати, после нормальной перезагрузки, необходимо проверить
всю систему обновленным антивирусом, особенно обращая внимание на папки:
1)
C:\Documents and Settings\%username%\Local Settings\ — там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\
— из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у
всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) — найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла
относятся к Windows (msv1_0.dll и xmlprov.dll — эти файлы не удалять), а
остальные, особенно с датой создания за январь 2010 года) — очень хорошо
проверить — 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с
зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть
на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.
Да, действительно, прикольная вещь. Сам, к счастью, не ловил, а вот знакомые уже несколько раз успели. Сегодня ноутбук отлечил. Загрузился в безопасном режиме с поддержкой командной строки, далее regedit.
В ветви winlogon ничего постороннего не обнаружил, исследовал ветвь Run, поудалял левую хренотень, потом загрузился просто в безопасном режиме, запустил DrWeb.
"Загадочные" екзешники, ака кряки, кейгены и т.п. запускаю через настроенный дебагер. А он уже показывает, что эта радость пытается сделать. Сразу видно любой "вирус"...
как всегда, нужно сани готовить летом (пока достаточно sunny). То есть, иметь при себе livecd c необходимыми инструментами (или даже без них — все можно скачать, загрузившись с диска)
С чего ты взял что это студенты-ботаники. Судя по масштабам дело пахнет скорее хорошо организованной группой. Скорее на квартирке ты нарвешся на пару-тройку вооруженных быков ну и вопрос со здоровьем будет задан тебе.
Первая картинка попалась мне буквально вчера, только там уже не СМС на короткий номер, а наглое требование бабла на федеральный билайновский. Что интересно, на этот раз подменен logonui.exe левым файлом. Лечил как обычно, с LiveCD, благо приводы есть на любом компе.
К слову, у меня через Оперу+Аваст ничего не пролезает, хотя ради спортивного интереса я прошелся по некольким сайтам с рефератами, музыкой, фильмами и даже порнухой. В некоторых случаях Аваст предупреждает о ридеректе на опасный сайт и блокирует сие действие. Сейчас использую новую 6 версию, home free.
Да, забыл сказать — та хрень что вылезла у клиента, проскочила через лицензионного Касперского с истекшим ключем, буквально 2-3 дня человек не успел обновиться.
Хрень зачастую ловится в составе упакованых пакетов с обычными программами, качаешь с какого-енить сайта где всё есть какую-нить ппрогу типа что угдно может быть, даже в рефераты суют теперь, и при установке ставится и та хрень, причем не факт что сама нужная прога будет в том архиве.
Комментарии
Цитирую отрывок для тех, кому мень пройти по ссылке: Эта мерзость создаёт ещё один диск на 200 МБ, причём переименовывает диск С в диск Д, системным становися диск с этой заразой, и у обоих дисков одинаковые номера.
Как всегда хочет денег на "Билайновский номер". Касперский эту гадость не знает, остальные тоже.....Не пускала никакие утилиты, сука. То дисков не видит, то ещё что-нить весёленькое. Таки прибил при помощи "Алкида". Конец цитаты
Видимо надо быть особо осторожными со всякого рода вложениями в письма типа "А посмотри ка на прикольный файлик". Конкретной методики он не даёт,видимо надо данные срочно сохранять и готовиться к массовым переформатированиям и переустановкам.
Вот это вобще чума, я искал у человека как же всетаки диспетчер задач подменяется на калькулятор, потом не поленился и поискал в реестре и тоже нашел эту ветку.
Подмена шелов, блокираторы в виде служб это всё фигня.
Вобщем респект блокираторописателям, если бы не они так бы и не узнал об этой ветке.
А так по теме любой блокиратор убирается легко ручками.
нинада тыкать "Да" на все что видите, ну чо вы такие на всё согласные то...
И нехер по понухе шлындать и всякое дерьмо скачивать,а то еще и шанкр получите.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
А всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Кстати, после нормальной перезагрузки, необходимо проверить
всю систему обновленным антивирусом, особенно обращая внимание на папки:
1)
C:\Documents and Settings\%username%\Local Settings\ — там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\
— из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у
всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) — найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла
относятся к Windows (msv1_0.dll и xmlprov.dll — эти файлы не удалять), а
остальные, особенно с датой создания за январь 2010 года) — очень хорошо
проверить — 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с
зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть
на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.
какая-то загрузка проходит, но блокиратор не убирается.
В ветви winlogon ничего постороннего не обнаружил, исследовал ветвь Run, поудалял левую хренотень, потом загрузился просто в безопасном режиме, запустил DrWeb.
Перезагрузился после лечения, и всё работает.
К слову, у меня через Оперу+Аваст ничего не пролезает, хотя ради спортивного интереса я прошелся по некольким сайтам с рефератами, музыкой, фильмами и даже порнухой. В некоторых случаях Аваст предупреждает о ридеректе на опасный сайт и блокирует сие действие. Сейчас использую новую 6 версию, home free.