SMS вирусы-вымогатели

[Taxmen 29]

Каспер тугой какой то,мне не понравился,после него поставил ВЭБа и сразу нашлась туева хуча гомна которое каспер пропустил,недавно лицензия на ВЭБа закончилась,продлевать не стал.Поюзаю AVAST пока,да и весит он поменьше(опять же экономия места на диске)

[Creeping Shadow 60]

Только что на форуме открывал опубликованную фотку,дык AVAST сразу заблокировал трояна пытавшегося ко мне влезть вот!

 

подробнее с этого места. На каком форуме?

[8ball 0]

А теперь представьте:

У вас нет второго компа с доступом в интернет, нет загрузочного диска, нет WinXP-PE или LiveCD, а вирус заблокировал доступ в интернет, диспетчер задач и админские права...

Во всё окно висит банер...

Каковы ваши действия?

 

восстановление системы на пару дней назад и все норм))))

пуск-все программы-стандартные-служебные- восстановление системы

[Novoleg 281]

восстановление системы на пару дней назад и все норм))))

пуск-все программы-стандартные-служебные- восстановление системы

 

Вот и я так же сделал....

[Creeping Shadow 60]

8ball, а если запуск exe заблокирован, как и в моем случае?

[Taxmen 29]

подробнее с этого места. На каком форуме?

 

Права и обязанности "Желание выделится - наказуемо" пост #38 Открывал эту ссылку - http://keep4u.ru/full/081020/9748116ceecdb78eb7/jpg

может просто совпадение,но изображение открылось только после того как троян был послан нах

Изменено 30 Января 2010 пользователем taxmen

[BigHarry 1 135]

Открывал эту ссылку

И сейчас если открываешь - тоже лезет троян?

В принципе - этот ресурс никак к форуму не относится, так что форум тут не причем. Может там в банерной ротации троянец выскакивает...

[Taxmen 29]

восстановление системы на пару дней назад и все норм))))

пуск-все программы-стандартные-служебные- восстановление системы

 

В моём случае загрузка винды останавливалась на голубом экране "Добро пожаловать" и фсё,а дальше чёрный фон и угрозы сожрать все файлы

 

BigHarry, я больше не пробовал,может просто так совпало

[AlexB4 1]

8ball, а если запуск exe заблокирован, как и в моем случае?

 

Почему бы не очистить немного жесткого диска утилиткой, например, PartitionMagic. Сделать primary-раздел и установить туда ХР в минимальной конфигурации. Потом можно восстановить измененные файлы на зараженном загрузочном разделе. После всего скрыть раздел до будущих проблем.

[Creeping Shadow 60]

taxmen, не каждый троян, определяемый антивирусом - троян

 

Однако, картинка у меня тоже не показывается...

[BigHarry 1 135]

После всего скрыть раздел до будущих проблем.

 

Все это сложно, все тоже самое гораздо быстрей делается через Акронис c его "Зоной Безопасности"...

[Creeping Shadow 60]

AlexB4, прошу заметить, что придется восстанавливать и реестр тоже. Что равно сильно новой установке системы

[dj-kapitan 1 193]

...дык без вариантов - отдаться победителю. В смысле - послать смс... :[

 

Я бы так не горячился...

 

...дык AVAST сразу заблокировал трояна пытавшегося ко мне влезть вот!

 

Хороший рекламный трюк! Надо-же как-то создать видимость работы...

[Creeping Shadow 60]

dj-kapitan, ну тогда предлагай варианты

А по поводу определения трояна... Помните, лет наверное уже 10 назад, Doctor Web определял многие файлы как содержащие Crypt-вирус? Вот, я думаю, как раз тот вариант...

[dj-kapitan 1 193]

...тогда предлагай варианты ...

 

Прежде всего безопасный режим. В нём ты по определению в админке. Далее сохраняешь всё важное из пользовательских папок и с рабочего стола в диск D (надеюсь хоть это имеется)либо во внешние накопители или болванки

Это на всякий случай если не поможет откат системы. Далее можно попытаться удалить пользователя и оставить только админку. И соответствено вернуть систему к исходной конфигурации. Кстати из безопасного може получится выйти в инет.

[vlk 1]

В последних версиях заразы в безопасном режиме все так же, как и в обычном. В инет, кстати, выйти можно, но там походу фильтр по ключевым словам и сайтам, т.е. если вирусу кажется, что замышляется что-то против него, то страница закрывается сразу.. Любое админское управление системой также заблокировано. Я когда бился, то сумел зайти в редактор реестра и даже вычистил там кое-что - не помогло, проверка liveCD доктора вэба кое-что нашла, но при нормальной загрузке все возвращается, в процессах тоже ничего странного не обнаруживается и даже AVZ, если исхитриться его запустить, не решает проблему. Я так понял, что смысл именно в альтернативных потоках, где вредные файлы вообще могут быть безымянными.

Насчет того, что делать: смс не отправляйте, у доктора веба и каспера есть генераторы кодов, в которые надо ввести текст смс, если не помогает, то можно позвонить в техподдержку контент-провайдера, который обеспечивает короткий номер, говорят они дают нужные коды. Система разблокируется, но ее обязательно нужно будет основательно прочистить.

[Creeping Shadow 60]

vlk, +1, ссылки в моем первом посте.

Вирусу не кажется, что что-то против него замышляют Он модернизирует файл hosts, в котором сопоставляет другие IP антивирусным сайтам. В особо извращенных модификациях изменения вносятся также в статические маршруты ( http://ac-u.ru/articles/notes/553/ - это я для своего варианта описывал, в других ОС и для других случаев может отличаться, принцип тот же)

 

djkapitan, не получится у тебя ничего сделать в безопасном режиме. Ни систему не откатить, ни в интернет выйти, ни exe запустить.

К тому же - даже если получится, AVZ, к сожалению не панацея.

 

В данный момент решение состоит только в варианте, описанном vlk:

 

1) Ищем второй комп (сейчас через одного АйФоны и смарты тем более - не проблема нынче второй компьютер. Да и не в деревне живем)

2) Ищем код разблокировки. Если не находим - звоним в суппорт оператора номера, получаем код.

3) Разблокируем компьютер, начинают запускаться exe, менеджер процессов, редактор реестра и т.п. Рано радоваться

4) Берем антивирусы DrWeb, Касперский, Avira (крайне рекомендую - http://www.free-av.com/ru/index.html - бесплатный к тому же... ), проверяемся.

5) Далее, особенно если проверялись первыми двумя, запускаем антируткит: http://www.commix.ru/security/sdfix.html или из другого места, важна суть.

6) Ну и ставим таки себе нормальную защиту в случае предотвращения рецидивов

 

PS: Выше приведено универсальное средство, все более простые случаи могут быть решены более просто, однако стоит учитывать - вам повезло.

[Novoleg 281]

Creeping Shadow, Антон, а какой из этих???? http://www.avsoft.ru/avast/download.htm

[Creeping Shadow 60]

Novoleg, вот этот http://soft.oszone.net/program/9563/Avira_AntiVir_Personal_RU/ Я не пользовался антивирусом Avast!. В рецепте я привел пару наиболее известных отечественный антивирей и добавил еще один, которым пользовался сам (и лечился непосредственно от данной заразы и вылечился) и то котором слышал много хороших отзывов (в т.ч. и на форуме DrWeb)

[Константин 0]

ТО же словил.Такое впечатление,что с keep4u.ru.Форматнул диск,потом полез на этот сайт и Avast заорал-вирус!

[Creeping Shadow 60]

Константин, когда в следующий раз заорет - PrintScreen и сюда плз.

[dj-kapitan 1 193]

... не получится у тебя ничего сделать в безопасном режиме. Ни систему не откатить, ни в интернет выйти, ни exe запустить...

 

Ну у меня-же вышло!

[vlk 1]

Вирусу не кажется, что что-то против него замышляют Он модернизирует файл hosts, в котором сопоставляет другие IP антивирусным сайтам. В особо извращенных модификациях изменения вносятся также в статические маршруты

ха, в моем случае было так: открываешь яндекс, ищешь что-нибудь отвлеченное - все в порядке, пишешь в строке поиска что то типа "вирус смс интернет секьюрити" и все - IE закрывается и сайты блокируются вовсе не антивирусные, а например любой форум, где в тексте упоминается что-то, имеющее отношение к проблеме... Вынос мозга в общем конкретный, сложно удержаться не снести все нафиг или не выкинуть комп Изменено 31 Января 2010 пользователем vlk

[Taxmen 29]

Ну у меня-же вышло!

 

Значит не фсё так страшно было

[Creeping Shadow 60]

vlk, вполне вероятно, что просто срабатывал рандомный таймер. У меня окошко также не сразу открывалось. Только поверил, что все, вылечил - ага, на те...

 

dj-kapitan,

PS: Выше приведено универсальное средство, все более простые случаи могут быть решены более просто, однако стоит учитывать - вам повезло.