Лаборатория Касперского - сервис борьбы с SMS

Maksimov

08/01/2010 18:53

Лаборатория Касперского - запускает сервис борьбы с «смс-вымогателями»
http://support.kaspersky.ru/viruses/deblocker
Участившиеся в последнее время случаи «вымогания» денег у пользователей при помощи программ класса Trojan-Ransom, блокирующих компьютер и предлагающих отправить платную СМС на определенный номер, вынудили «Лабораторию Касперского» для борьбы с мошенниками создать специальный бесплатный сервис.
Отличие вредоносных программ класса Trojan-Ransom от других вредоносных приложений заключается в их изначальной коммерческой направленности. Каждая программа такого поведения является инструментом для получения денег киберпреступниками с обычных пользователей. Используя новый сервис, нужно указать номер телефона, на который предлагают отправить СМС, а также текст сообщения, которое требуют отправить на этот номер. Взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
действительно все работает – настырное сообщение исчезает и можно продолжать серфинг. Не попадайтесь.

iga

08/01/2010 19:17

это работает? имею ввиду в реалии. у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается). дабы не загубить одну важную прогу, комп не рушу.

Kolupalkin

08/01/2010 19:49

iga писал:

Это который СМС за деньги хочет,так это детский сад -
за 30 сек лечится. Оно первый раз страшно ,потом привык. мир, труд, май

Скриншот вставь .

RomanRB

08/01/2010 20:19

Цитата:

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

Kolupalkin Как ты собираешься за 30 сек. это вылечить?

C1-65A

08/01/2010 20:31

Maksimov, тфу, Avira давно и с успехом, и нет необходимости об этом трезвонить Здесь был Я !

, внимательнее надо быть.

Kolupalkin

08/01/2010 20:33

RomanRB,
Ну для начала это - http://support.kaspersky.ru/viruses/deblocker или это http://virusinfo.info/deblocker/
дальше подумаем .

Скрины ложите .Думать будем .!

RomanRB

08/01/2010 20:45

Одна знакомая дама подцепила эту фигню. В интернет машина не выходит, восстановление системы не работает, комп тормозит. Короче полный капец!!! Что делать?

Kolupalkin

08/01/2010 21:11

RomanRB писал:

Выкинуть нафиг и новый купить .
Сам то как думаеш ,с такими "подробностями",что насоветовать улыбка

C1-65A

08/01/2010 21:19

RomanRB, купи Каспера, ГЫ-ГЫ.

RomanRB

08/01/2010 21:24

Цитата:

Сам то как думаеш ,с такими "подробностями",что насоветовать

Это тема не этого раздела-во первых.
У меня нет дома этого компа и я уже не помню как троян обзывался(месяц назад дело было)-это во вторых.
И не надо говорить, что удаление всей этой бяки дело 30 сек.-это в третьих. подмигивание

радиособака

08/01/2010 21:24

RomanRB писал:

У меня сын вытащил подобную хреновину из моего бука за несколько часов. Как-не знаю. Хотя не сказал бы,что он у меня супер в компах продвинутый..любитель. Говорил,что любой спец знает.Спросить-не могу.Уехал на каникулы.

RomanRB

08/01/2010 21:29

C1-65A, Не пользуюсь я такими антивирусниками. Если надо проверить-сканер запускаю.

Maksimov

08/01/2010 21:37

Спрашивал Nabi: зачем три одинаковых тем открыл?

Чтобы больше народу увидели.
Это надо распространить, знать все должны.

Kolupalkin

08/01/2010 21:49

RomanRB,
Даже в наше смутное время ,существуют фирмы имеющие 500 и более компов .
Сколько раз в день у них возникают подобные проблемы ,как думаеш ?

RomanRB

08/01/2010 22:02

Kolupalkin, Не так часто. Все входящее из вне автоматически проверяется антивирусником. Я в основном сталкивался с NODом. И ни на одной рабочей станции, ни один служащий не поставит то что ему захочется. Как минимум надо обладать правами администратора. Представляешь что будет если в такую глобальную локалку эта зараза попадет? подмигивание

-20 dB

08/01/2010 22:16

iga писал:

iga, почитай-ка на ту же тему: http://monitor.espec.ws/section13/topic132449p49.html

радиособака писал:

радиособака, я себя спецом в компах не считаю. Даже наоборот, чем больше зарываюсь в систему, тем больше понимаю, что недалеко от ламера ушёл. Однако если есть терпение, внешняя операционная система (у меня BartPE на флэшке), пара утилит (AVZ оч-чень помогает), и Гугль - надобность финансировать мошенников отпадает. Каспер решил облегчить жизнь - честь ему и хвала. Поможет - ну, и хорошо, не поможет - дорожки уже протоптаны, задай поиск Гуглю!

И ещё полезная ссылка для ищущих лёгких путей. Так сказать, с намёком.
подмигивание

RomanRB

08/01/2010 22:28

радиособака, Один раз я эту хрень обманул-сделал восстановление винды. На следующий раз-хрен в глаз. Только тотальная чистка винды и реестра.

Kolupalkin

08/01/2010 22:46

RomanRB,
А с чего ты решил ,что это локалка. Самая большая сеть около 100 ,остальные в разных местах ,в основном магазины ......
Так ,что этих приветов хватает.

RomanRB

08/01/2010 22:56

Kolupalkin, Какая разница. Все что приходит на прокси-автоматом проверяется. Не проверять-самоубийство. Потом ноги по самое нехочу сотрешь, вычисляя эту гадину.

Kolupalkin

08/01/2010 23:30

RomanRB,
Ага проходит,только и того .
Это только кажется ,что мы такие умные и все можем .На практике все гораздо печальнее .
Есть хренова туча всяких НО.
Это как прививка от гриппа - помагает ,может быть , на 65 %
Сам я в эти проблемы сувать свой нос даже и не собираюсь ,своих хватает .
Но в конторе есть люди которые занимаются только этим ,и поверь зарплата у них не шуточная .

voffka

09/01/2010 00:01

убиваются эти окна очень легко,. сам попадал на такое,.. 15 минут и комп чистый и никаких окон,.

радиособака

09/01/2010 00:28

RomanRB писал:

Я не могу прокомментировать. Не люблю я компы. Лишь пользоваться умею. А ставить,переставить-тут сына задействую. А вот если моник починить-тогда другое дело..тут уж сам.

m.ix

09/01/2010 02:01

кТО то картинки спрашивал.
http://photos.streamphoto.ru/c/e/2/c7deabb4239691288cf32e8087ec62ec.jpg
http://photos.streamphoto.ru/b/8/d/a872a9857cd26722d1f538f394031d8b.jpg

Nabi

09/01/2010 02:36

m.ix,ссыла http://photos.streamphoto.ru/b/8/d/a872a9857cd26722d1f538f394031d8b.jpg
Что пиратскую винду попробовал обновить или Trojan-Ransom такие штучки выкидывает?

m.ix

09/01/2010 03:31

Это только тояны
Блин Гейц делает теперь только так.
http://photos.streamphoto.ru/f/5/e/76266d8774eff030c6cfe80e8ea10e5f.jpg

iga

09/01/2010 10:32

вот такая хрень повисла...

fpiteful

09/01/2010 10:37

m.ix, ну эта ерунда в 6 сек. убирается,а вот с смс-ками на этой неделе пару раз столкнулся.В случае когда дает зайти в винду то убрать это можно почистив реестр.В двух случаях задавался поиск в реестре файлов C-media и удалял все что находило.А вот если так как ты показал картинками выше то приходилось винду менять.

voffka

09/01/2010 10:59

какую винду менять ??!!!, нафига геморой себе ловим ??!!,..винда РЕ с флешки, и вычищаем авторан и реестр, 15 минут и ВСЕ !!!

fpiteful

09/01/2010 11:39

voffka, ну если для себя,то можно и так.

elgen

09/01/2010 11:44

voffka, 100%
А кому лень руками, идем сюда http://news.drweb.com/show/?i=304&c=9&p=0 ищем свою или похожую бяку( по картинке по тексту сообщения или номеру телефона итп) и получаем даром код разблокировки. Помогает в 90% случаев. Кстати Dr.Web CureIt прекрасно справляется. Утилита полезная, советую пользоваться.
Вообще эта бяка и не бяка смех

мелочь, даже не запоминаю, как именно каждый раз ее убираю. Имен у нее много, как и мест куда в реестр пишет, но принцип всегда один. Но видел народ, что посылал эти СМС смех

m.ix

09/01/2010 11:55

Эту бяку вэбыч не вычистил.
Пришё к одному
через иной браузер зашёл
IE не блокировал её
обновил базу
просканил
дрянь осталась
На подобии iga, вывеска была.

elgen

09/01/2010 12:11

m.ix, та что в ИЕ чистится просто руками, отключением лишнего.
Та которая всю винду блокирует чаще всего вебом видится. Ну если не видит, так руками. В автозапуске все что не к месту долой. И два или три ключа в реестре. (кому лень искать, есть сайт, там выложены готовые рег файлы на все случаи жизни, где то себе копировал , сейчас не найду)Имен не помню. Саму бяку не обязательно удалять, просто переименовываю.

iga

09/01/2010 12:18

у кого повиснет как у меня- код 4243352762, затем 7393936297
в реестре лазать не получается. весь экран(почти) закрывает беннер, то есть вся инфа под ним. даже меню пуска за него залезает...

elgen

09/01/2010 12:30

iga, попробуй вот такие коды 33604 , 7245 , 7393936297, 49685761, 06159230, 9434676, 9242595, 4243352762. Это ничему не повредит. Винду не убьет и твоя прога не пострадает.

ДОБАВЛЕНО 01/09/2010 12:36

iga, отпустило? Опоздал я с кодами значит, бывает. смех

ДОБАВЛЕНО 01/09/2010 12:39

Цитата:

в реестре лазать не получается. весь экран(почти) закрывает беннер, то есть вся инфа под ним. даже меню пуска за него залезает...

видел человека, тот просто решил смех

подключил второй монитор и там все сделал...

Рифат

09/01/2010 14:13

Цитата:

у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается).

Игорь,какой браузер у тебя?

Kolupalkin

09/01/2010 14:28

Такого они еще не знают ,вот ,что прислали -

Для начала надо скачать бесплатную программу Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/. Запустить программу и скачать для программы бесплатные обновления по необходимости, ну конечно если есть у вас соединение с интернетом. После чего можно провести проверку компьютера спомощью этой программы на наличее вредоносного или нежелательного программного обеспечения. Возможно встроенная антивирусная база данных вам поможет уничтожить (гадов) и без дальнейших действий. Но если этого не случилось действуем попорядку.

Вам нужно:
1) Запустить исполняемый файл Kaspersky Virus Removal Tool с правами Администратора
2) Скопировать предложенный ниже текст скрипта
3) Перейти на закладку Ручное лечение
4) Нажать в любом месте поля Шага 3 правой кнопкой мыши
5) В контекстном меню выберать Вставить
6) Нажать кнопку Выполнить
7) Дождаться окончания работы скрипта
8) Архив с подозрительными файлами будет сохранен в файле Рабочий стол\Virus Removal Tool\Quarantine\quarantine.zip

Запустите поочереди скрипты для выполнения в программе (без ********)

*****************************************************

1
*****************************************************

begin
SetAVZPMStatus(True);
ExecuteRepair(13);
RebootWindows(true);
end.

*****************************************************

2
*****************************************************

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\Windows\system32\drivers\storflt.sys','');
QuarantineFile('C:\Windows\system32\drivers\bthmodem.sys','');
QuarantineFile('C:\Windows\system32\drivers\s3cap.sys','');
QuarantineFile('C:\Windows\system32\drivers\pavboot.sys','');
QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\acxe.dll','');
DeleteFile('C:\Users\9335~1\AppData\Local\Temp\acxe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

*****************************************************

3
*****************************************************

var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

*****************************************************
*****************************************************

iga

09/01/2010 15:15

Браузер Опера. к рабочим компам давно не подходил. сейчас устроил тотальную проверку... блин... пока меня нет, эта орда вместо работы по бабам гуляет. ещё на одном висяк. но только когда выходишь в интернет. на эту хрень кода пока не нашёл.

Рифат

09/01/2010 15:27

только недавно точно такое же было у меня.
в опере удалял его так http://habrahabr.ru/blogs/opera/39083/ ещё как то уже точно не помню заходишь в "Инструменты" и такм в настройках блокируешь выплывающие окна

ДОБАВЛЕНО 09/01/2010 15:28

не обязательно Игорь,чтоб по бабам гуляли. смех

У меня было обновление --и такая фигня нарисовалась

Maksimov

09/01/2010 18:34

У юриста была такая история. Она просто позвонила провайдеру. через которого проходила СМС (Это был МТС) и на юридическом языке с ними поговорила. Через 5 минут они дали ей телефон этих козлов, которые собирают деньги таким способом. Через 1 минуту разговора с ними они просто сами дали ей по телефону код разблокировки. Нас имеют при соучастии сотовых операторов. Они понимают, что это незаконно, но деньги важнее. Попробуйте позвонить оператору с наездом.

-----------------------
Я делаю откат Акронисом. Сразу на кнопку Shift, и в диск Д, Е. Скрытые и системные файлы - удаляю, и всё. Ну, за час управляюсь.
----------------------
КВОТА КОНЧИЛАСЬ. НЕ Прилагаю РЕГ файл. Он восстановит запись реестра - показать скрытые и системные файлы. Файл проверен 100 раз - БЕЗОПАСЕН.

-20 dB

10/01/2010 01:35

Maksimov писал:

Нас имеют при соучастии сотовых операторов. Они понимают, что это незаконно, но деньги важнее.

Если бы только при их молчаливом согласии. А то ведь есть ещё и биллинговые компании (предоставляющие те самые "короткие номера" для мошенников, а то и тупо кидал - имеющие за эти услуги зачастую до 50% "проплаченных" бабок), и... государственные структуры. При чём тут они?

Да очень просто: деньги в этих разводах крутятся такие, что не обращать внимания на налоговые отчисления от них не получится. И это не считая личных-наличных "откатов" тем, кто может нажать на кнопки. А потому - бороться с ними тупо НЕКОМУ. В смысле - никому это не выгодно.

И наглеют мошенники - уже даже глава 28, статья 273 УК РФ никого не пугает (откат оплачен, индульгенции куплены). Что стоило бы сотовым операторам отрубать хотя бы спалившиеся на мошенничестве короткие номера? Технических возможностей нет? Да бросьте, не надо быть наивными! За неуплату, например, ЧЕСТНЫЕ операторы отрубают мгновенно (хотя, большинство опсосов сами мошенничают - предоставляют незаказанную услугу "звонок или время в кредит", сажая абонента иной раз в немалые долги).

Да, наконец, сами биллинговые компании могли бы передавать личные данные мошенников - а аренда кода сообщения на короткий номер тоже не х.ю с горы предоставляется - в правоохранительные органы. Да фиг ли им эта 237-я, по которой вообще вряд ли кого-то когда-то осуждали, если они уже давно на статью 159 УК РФ (по которой за НАМНОГО меньшие аферы куча народу чалится) орган забили.

Наглость мошенников доходит уже до маразма - зомбоящик по нескольким каналам одновременно крутит примерно такие вот "баннерные" передачи, где якобы надо за небольшую плату за звонок угадать слово. Многие мои знакомые пытались дозвониться (в том числе и с этого ресурса - тема где-то была). И никому не удалось, хотя бабки снимаются аккуратно. Все "дозвонившиеся" до эфира сидят в соседней студии, и дают заранее написанные тупые ответы.

О чём вы, какая нафиг борьба с мошенниками в Инете, когда они на госканалах зомовидения и правительстве уже сидят? ИМХО, и Каспер бредит... только "неподелившихся" рубить будет. Иначе его самого съедят. Юридически. Поводы найдутся - на крайняк, по уже протоптанной тропинке обвинят в написании вирусов для поднятия продаж антивируса.

ДОБАВЛЕНО 10/01/2010 4:56 AM

Гы... А нас за распространение кряков и кодов взлома к этим вирусам и адварям стопудово посадют... За взлом программного обеспечения, подрыв экономики России и причинение личного материального вреда создателям этого оригинального ПО - по совокупности преступлений.
Статья 272 УК РФ - «Неправомерный доступ к компьютерной информации»
Статья 165 УК РФ - «Причинение имущественного ущерба путем обмана или злоупотребления доверием»
Статья 169 УК РФ - «Воспрепятствование законной предпринимательской или иной деятельности»
ну и ещё пяток нарыть можно. Так что, поделившиеся здесь методами взлома с программами "От Остапа", можете заранее собирать чемоданчики - ущерба себе, родимому, наш чиновничий аппарат не прощает.

elgen

10/01/2010 04:38

iga, попробуй 0 или 0000-000 или столько нолей сколько там влезает, ну еще для этого номера 13616 часто проходит

iga

10/01/2010 10:39

ноль и 13616 пробовал. а вот нулями не забивал... попробую.

m.ix

10/01/2010 12:52

ZoneAlarm использует часть касперских накруток.
А если взять басунрманский McAfee, думаю там ни каких ни с кем сговором не может быть.

INTREPID

10/01/2010 23:38

А это уже Каспера напрямую....? браво!

-20 dB

10/01/2010 23:56

INTREPID, вот это что-то новое... А если у меня не Каспер, а ДрВеб, например, стоит - каким образом несуществующий Каспер у меня этот вирь найдёт?
смех

А вообще, это, скорее всего, мстя злая Касперу от адвареписцев - ну, типо, раз Касперский им войну объявил - предприняли адекватные действия.

rematik

11/01/2010 00:11

— Мужичок, вы пошто животину тираните?
— Да вот, змею воздушную запускаю!

INTREPID

11/01/2010 00:12

-20 dB, вот, вот и я о том же,(машина почти полностью блокируется при этой хрени), и как всё похоже на разводы в аське и мобилах,которые трутся в паралельной ветке. Не одного поля ли эти ягоды? улыбка

Nabi

11/01/2010 13:01

Вот такая куйня пришла с ящика друзей: <<Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. На днях у друга тоже самое было, администрация майла попросила излечиться иначе блокировка аккаунта. антивирус говорит молчал, ему посоветовали вот этот комплекс, все лечит быстро http://guard.v3.2e.nm.ru/grdv31.html и там же можно сделать, чтоб аккаунт не могли взломать>>

Но мой антивирь (Каспер) по ссылке запретил,там ПО использующаяся для кражи паролей аккаунта,кредитных карт.
Вот такие куйни начали приходить со взломанных аккаунтов.

-20 dB

11/01/2010 18:49

INTREPID, не одного поля, а одного куста... или даже ветки... Только картинка меняется. Возможно, даже автор тот же (долго ли к старому скрипту новую шкурку приладить? Я не программист, а с такой фигнёй и то наверное сладил бы).

Nabi, рискнул. Аналогично:

Nabi

11/01/2010 19:28

-20 dB, как эту картинку вставил,ведь расширение htm -не поддерживается?

ДОБАВЛЕНО 11/01/2010 22:31

-20 dB, ключики к Касперу воруешь? подмигивание

m.ix

11/01/2010 20:37

Как то я кракозяки выдал, точнее ссылку на кракозяки.
Создаёшь txt
Копируешь кракозяки в txt
И смотрим срабатывание антивиря.

elgen

13/01/2010 08:44

Цитата:

Копируешь кракозяки в txt

переименовываешь в ехе , запускаешь и переустанавливаешь винду подшучивать, дразнить

-20 dB

13/01/2010 18:29

Nabi писал:

-20 dB, как эту картинку вставил,ведь расширение htm -не поддерживается?

HTM не поддерживается. Зато есть PrintScreen, и в джипег... В моём варианте:
Захват Изображения (ACD See) --
Сохранить Как... jpeg (FotoCanvas) --
Добавить Файл (http://monitor.espec.ws)
подмигивание

Nabi писал:

-20 dB, ключики к Касперу воруешь? подмигивание

Нет, я их честно с обменников скачиваю...
улыбка

Да ещё и потом мозолистыми руками кусок халвы отрабатываю - пока из кучи засвеченных один рабочий выковыряешь... Да и тот через неделю засветится, и по новой...
недовольство, огорчение

Nabi

13/01/2010 18:45

-20 dB писал:

Да и тот через неделю засветится, и по новой недовольство, огорчение

У меня один ключ исправно работал месяц.
А так в целом на 3-7 дней хватает,потом банят.

-20 dB писал:

Нет, я их честно с обменников скачиваю...
улыбка

-20 dB "честный" ты наш. подмигивание

renmaster

13/01/2010 21:13

попалась такая штука - ТАБЛИЦА КОДОВ разблакировки троянов через СМС

voffka

14/01/2010 23:13

http://www.gsmforum.ru/showthread.php?t=70212

Иванович

27/01/2010 20:29

получил код разблокировки , какие дальнейшие действия

INTREPID

28/01/2010 08:08

Иванович, от кого получил? Ввести их тогда, потом шмон на компе всякими РАЗНЫМИ антивирями.

Иванович

28/01/2010 08:17

INTREPID ,проблема не моя , знакомый по телефону позвонил , поинтересовался что делать .
отправил его на этот сайт http://support.kaspersky.ru/viruses/deblocker.
он там забил номер телефона и текст сообщения , нажал получить код разблокировки , пришел какой то номер , вот что с ним теперь делать

m.ix

17/06/2010 20:35

Ну вот сегодня принесли с этой шнягой.

Бился с ними часа 4
вэбовская курли, ничерта ничего не делает.
типа показать может и более ничего.
nod переименовал
после удалил
хараза появилась снова.
windows/sustem32/..... 180 экзэшников и все трояны

так что я понял, что я против этой шняги безсилен.
Ни какие проги не запускаются, все экзэшники рубятся на корню.

с болванки запускал и сканил AVZ так же находил и удалял а трояны росли и множились на компе.
windows/sustem32/conf/ internet temp тут тоже зараза дублируется.

Весь мусор ручками убирал перед сканированием.

Думаю после 180 троянов системе пришёл кирдык.

Vikt(or)

17/06/2010 22:31

m.ix, у такого рода заразы главный экзешник очень часто валяется в одной из папок Application data, или вписывается в альтернативный поток данных какого нибудь добропорядочного файла из папки Windows, но тогда он пропишется в реестр вот в это хитрое место:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ ключик AppInit_DLLs. Этот ключ обычно пустой, разве что каспер ещё туда записывает виртуальную клавиатуру и тп фиговины. Править реестр придётся из другой системы.

Кстати последнее время несколько раз отсылал ДрВебу свежую заразу, а он тупит - отвечает что этот файл безопасный бяка

Видать они совсем уже зашиваются и нормально протестить не могут.

m.ix

17/06/2010 23:57

Vikt(or), Всё бы то ничего, да вот как в этот реестр забраться с другой оси?

Vikt(or)

18/06/2010 06:39

Надо заиметь LiveCD, а уже из под него использовать ERD Commander или Registry Editor PE.
Есть более удобный вариант использовать загрузочные флешки. Тут есть готовые образы, рекомендую Windows XP PE RusLive Mini (самая шустрая) и ERD Commander 2007 Eng.

m.ix

18/06/2010 11:41

Vikt(or), Всё это есть, так как же в реестр другова винта нет другой оси залезть?
НЕ первый год его юзаем.

selep33

18/06/2010 12:05

drWEB Live CD
http://www.freedrweb.com/livecd/how_it_works/

Vikt(or)

18/06/2010 12:45

m.ix, как-то запутанно ты пишешь. Имеешь в виду подцепить хард на другой комп? Тады Registry Editor PE поможет.

m.ix

18/06/2010 20:43

http://www.youtube.com/watch?v=dua7UdWxoiY
http://photos.streamphoto.ru/9/b/f/d7ddcd51b728e890c70c3f0985bebfb9.jpg AVZ
http://photos.streamphoto.ru/e/2/a/12887e25835097e37890cc1369080a2e.jpg бесплатная ничерта не делающая вебовская утилита.
http://photos.streamphoto.ru/c/f/2/825c06b78d61990e68d2c38263b692fc.jpg NOD нажал rename вместо delete

Vikt(or), есть комп есть привод DVD и есть два харда
Я запускаю точнее уже запускал винду с болванки LiveCD
только с помощью ERD там утилита интернирована была, вот с неё и зашёл в реестр системы.
selep33, тупая твоя утилита ничерта ещё раз говорю ничерта она бесплатной ничего не делает, как было тьма троянов так они и остались живенькие и сдорофенькие.
Утилита только показывает что трояны есть и всё.
Так что смело в корзину её или тупым юзерам можешь показывать.