SMS вирусы-вымогатели

[Creeping Shadow 60]

Сглазил я... Недавно распалялся, что лучшая защита от вирусов - осторожность... В итоге - на рабочий ноут словил новый модный SMS вирус, который предлагает сам себя убрать если пошлешь код по короткому номеру. dgkapitan еще этим же болел...

 

Проявлялось в моем случае в том, что блокировался доступ ко всем exe, кроме браузера по умолчанию (с проверкой - запустить CureIt просто переименовав его в firefox не получилось). Также блокировались редактор рееста, менеджер процессов. В safe mode - та же петрушка.

Ну и после попытки запуска exe - появлялось на экране окошко программы, якобы ищущей вирусы и просящей ее зарегистрировать, путем отсылки СМС...

 

Начал искать лечение. Попробовал:

 

- rescure CD от Касперского ( http://narod.ru/disk/17361440000/rescuecd.iso.html ). Что-то даже нашло. Ноль эффекта.

 

- Avira AntiVir Rescue CD ( http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html ). Нашло очень много чего. Потом выдало серию ошибок записи в tmp и закончило сканирование. Повторно не сканировал. Эффекта также - ноль

 

- DrWeb LiveCD. Нашло достаточно зараженных DLL (все их находили). Эффекта тоже ноль.

 

то есть ни один антивирус не мог найти причину распространения по компьютеру вредоносных DLL.

 

в итоге помог список кодов разблокировки на http://boltunishka.berserki.ru/archives/459 Главное - не забыть профиксить время, в случае в некоторыми модификациями данного вируса.

 

Вот такие пироги...

[Lesha 123]

А мне в таких случаях помогает формат С и реинстал винды

[traktorist 16]

Да меня сегодня тоже отоварили ,и знакомого . Он подсказал чё то в настройках системы галок в автозапуске поснимать и вот щас сканирую, покрайней мере баннер с экрана исчез.и в интернет зайти можно раньше не давал сука.

Изменено 29 Января 2010 пользователем traktorist

[Vintoza 0]

А мне пока все вирусы по барабану, для MAC еще не придумали.

[Dead-Moroz 4]

Я бы тож решил форматом Цэ...

Только что нашёл такую прогу (за работоспособность не ручаюсь ибо не проверял).

RansomHide 0.1.28RansomHide - Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет...P.S. После разблокирования компьютера, вредоносные программы продолжают оставаться в системе. Для полного удаления необходимо пройти лечение )))Язык интерфейса: РусскийТип распространения: FreewareЛекарство: Не требуетсяРазмер: 1.3 mb

 

http://letitbit.net/download/3984.308c8a49fa96435d668db5325/RansomHide.rar.html

http://turbobit.net/tcvtw2fr3w0j.html

http://depositfiles.com/ru/files/d9g7v8agx

 

Мож кому поможет...

 

Взято с Tabulorasa.info

[Creeping Shadow 60]

это офф лайн версия онлайновых генераторов с ДрВеба и Каспера

[Antony 133]

Пару дней назад убивал такого руками. Табличка черная на весь экран с текстом и поле для ввода кода.

При обычной загрузке диспетчер задач даже не запускался. Выдавал табличку "диспетчер задач отключен администратором". Перезагрузился в безопасном. Кое-как снял это приложение (диспетчер открывался буквально на секунду и пропадал). Оттуда же с диспетчера запустил explorer. Затем поиск (Ctrl+F) и задал искать все новые файлы за 2 последних часа. Нашел 3 подозрительных EXE-шника с разными названиями (один из них точно md.exe и один Autorun на диске Е), но одинаковым размером и временем создания. Даже на разных дисках были. Удалил. Затем по совету из инета залез в редактор реестра и исправил:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe"

"Shell"="Explorer.exe"

И вроде как заработало. Правда диспетчер задач по прежнему пишет отключен администратором.

Руки не дошли еще поискать решение где включить его.

[doom 1]

незнаю как правильно рассказать , удалял банер через диск - С. непомню как , но нашел как можно вернуть комп в спять. т.е. теже установки , что были день назад. потом включил аваст и удалил 5 вирусов. после этого работает нормально.

[vasilius 1]

Словил такую на днях.. Помог сайт www.virusinfo.info. (не реклама!!) .

Очень доходчиво объяснено как и что сделать чтоб убить.. за 30 мин сделал, не учиывая поиска сайта..

[killer_45 3]

тоже позавчера словил эту шляпу! благо у меня WINDOWS PITER PEN и ctr ald del работал! Зашел в проводник, включил поиск по недавно изменённым и созданным файлам, нашёл заразу и удалил! после перезагрузки появилась моя заставка без значков на раб-м столе и меню пуск! В нэте нашёл инфу по этой проблеме, чё то прописал в реестре И ВСЁ ЗАРАБОТАЛО КАК ПРЕЖДЕ! вот так

[dj-kapitan 1 193]

Если блокирует ехе и любые антивиры - есть специальная утилита: "Полиаморфный AVZ" - клац разработка КАСПЕРСКОГО

[Хомяк 0]

Щас ноут дома валяется с такой шляпой.. чую борьба будет..

[som4eg 0]

Правда диспетчер задач по прежнему пишет отключен администратором.

 

с помощью AVZ это исправляется

[8ball 0]

вчера столкнулся с такой бородой,предыдущий раз пришлось ось переустанавливать,в этот раз не хотелось,т.к. мог сервак слитеть,а ждать 30 дней не вариант,баннер сворачивал оперу и диспетчер, не мог подключитья к интернету из за него же,есть пару выходов,зайти с другого компа на сайт др.веб и там есть коды к этим баннерам,но не все подходят,т.к. популярная штука,в C program files может висеть файл plugins,его можно переименовать и попробывать удалить,но удалить у меня не получилось,так как мешал баннер окну для подтверждения,я сделал восстановление системы на пару дней назад,перезагрузил,и все норм,все файлы,даже новые остались, единственное что удаляется так это,то что вы установили в этот промежуток времени,ну вроде все может,кому поможет

[Creeping Shadow 60]

dj-kapitan, стреманул ты меня... Я все ожидал увидеть по ссылке, кроме файла poly.pif Пару минут осмыслял

 

Еще, после того, как ввели код, прошли антивирусную проверку - прогоните антируткит: SDFix. ( http://www.commix.ru/security/sdfix.html )

Как минимум приведет функции системы в порядок.

 

Антивирусную проверку я делал два раза - антивирем Avira. Нашло штук 5-10 троянов.

И стала понятна суть работы виря - подмена rundll32.exe. Причем, обычные антивирусы на него почему-то не реагировали... только Avira

 

Ну и помните: профилактика - лучшее лечение

[BigHarry 1 135]

профилактика - лучшее лечение

 

В качестве профилактеги: не работайте в виндах из под админского аккаунта! Создайте пользователя без привелегий и используйте его. Либо - запускайте эксплорер или чем вы там серфите из под непривилегированного пользователя - и руткиты и злобная вирусня не сможет внедриться в систему... Изменено 30 Января 2010 пользователем BigHarry

[vlk 1]

недавно поймал тоже этого "Internet Security", аццкая зараза - полумеры нифига не помогают, в итоге вставил диск в другой комп и прогнал, как писали на virusinfo, утилиту streams, которая чистит альтернативные потоки NTFS - нашло много чего, после чего Касперский VirusTool очистил зараженные Packed.Win32.Krap.w dllки (штук 30), после чего все заработало, только надо вернуть то, что напоганил троян в реестре, для этого подходит AVZ.

Изменено 30 Января 2010 пользователем vlk

[dj-kapitan 1 193]

А теперь представьте:

У вас нет второго компа с доступом в интернет, нет загрузочного диска, нет WinXP-PE или LiveCD, а вирус заблокировал доступ в интернет, диспетчер задач и админские права...

Во всё окно висит банер...

Каковы ваши действия?

[Killer_Angel 0]

А мне пока все вирусы по барабану, для MAC еще не придумали.

 

и для *nix тоже )

[Creeping Shadow 60]

dj-kapitan, дык без вариантов - отдаться победителю. В смысле - послать смс... :[

[Taxmen 29]

На днях словил такую хрень "Online Antivirus",требовал отправить СМС с кодом на номер...ну и т.д.,иначе ужасный вирус сожрёт все файлы на Вашем компе,а пока этот вирус заблокирован и т.д. В частности говорилось о том,что переустановка винды не спасёт так как вирус прописался в загрузочные сектора жёсткого диска и блокирует любые способы входа в Windows. Я ессно не поверил(и зря)и переставил винды - хрен там не помогло.Загрузка в безопасном режиме тож ничего не дала,ну думаю хрен с вами пошлю СМС.Послал,прислали ключ,ввёл в поле,нажал кнопку,вылезло окно типа "вирус полностью удалён с вашего компьютера",появился рабочий стол. Думаете вирус удалился и случилось мне счастье? Х.Й ТАМ !!! Кроме диска Це я не адекватен, не открывается,а локальные диски почему то стали обзываться съёмными и выглядели как обычная папка! При перезагрузке компа опять вылез скин "Online Antivirus" с теми же требованиями и угрозами!

НЕ ПОСЫЛАЙТЕ СМС не теряйте время и деньги!Я вылечил комп войдя в безопасный режим с установочного диска,панель упраления,администрирование,дальше не могу сказать точно(склероз подводит),но что то связано с управлением дисками,там папки открывались.Открыл папку с AVZ и удалил эту хрень нах!Переустановил винды и случилось мне счастье,вот как то так!

[Novoleg 281]

Я не знаю что словил, но сегодня была такая фигня, завис комп, после перезагрузки запускаеться, но рабочий стол пустой, даже меню "пуск" нету, вобщем запустил кое как, он мне посреди экрана выложел плагин что типа отправьте СМС и будет вам счастье, я перезапустил комп в безопастном режиме и отодвинул назад в восстонавление системы, теперь все нормуль!!! :pardon:

[BigHarry 1 135]

НЕ ПОСЫЛАЙТЕ СМС

Ни в коем случае низзя слать, дело даже не в том, что вымогатели если и пришлют код - то это только на время разблокирует, а в том, что посылая им деньги - вы провоцируете уродов на дальнейшее написание и совершенствование ублюдских вирусных блокираторов. Изменено 30 Января 2010 пользователем BigHarry

[Taxmen 29]

Кстати может и не в тему,но я скачал седня классный антивирусник с сайта разработчика avast.com "AVAST 4.8 Home edition" причём совершенно бесплатно(только эта версия,другие платно).Регистрируетесь и вам на "мыло" присылают годовой ключ.Я в восторге,касперский и др.веб отдыхают в топке! Только что на форуме открывал опубликованную фотку,дык AVAST сразу заблокировал трояна пытавшегося ко мне влезть вот!

[BigHarry 1 135]

касперский и др.веб отдыхают в топке

 

Из моей практике - Аваст, Нод32 и ДрВэб и Симантек - пропускают гораздо чаще вирусню, нежели Каспер. Так что тут не все так однозначно.