Вирус вымогатель новой модификации

[ram777]

Доброго времени суток Дорогие експерты вот решил поделится инфой по поводу новой модификации троянвинлока который блокирует клиентские копмы в больших количествах -короче теперь троянец просит прислать смс на конкретный номер и Бугуга пишет что код разблокировки вы найдете на чеке терминала!!!!!Вобщем сервисы деактивации о нём всё знают но коды с 4х сайтов антивирусов- каспера, вебера, вирусинфо и нод 32 неподходят ни как!В безопасном режиме не дает грузится та жэ картинка !Диспетчер задач конечно не пашет!!Лечил из под лайвсиди 2 раза 1й раз нашёл 4 вируса в папке систем 32 но табличка непропала!второй раз глубокой проверкой доктор веб кюреит нащёл 2 файлика с расширением темп в C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache обычно они гады там и сидят и чтоб долго не искать их можно тупо удалить эту папку оперы и всё!Вобщем после 1.5 часа мучений я его удалил - чего и вам желаю!!!

[VitohA]

+1
У нас лежит пациент с точно такой же картинкой, правда за него ещё не брались ибо халтурка и пока некогда. Спс за путь к вирю!

[shuri]

Нет, не такой уж он и "новый". Убирается за 5 минут. Остальное лечить приходиться дольше. Обычно там ещё что-нибудь болтается.

[VitohA]

Цитата:

Сообщение от shuri

Нет, не такой уж он и "новый". Убирается за 5 минут. Остальное лечить приходиться дольше. Обычно там ещё что-нибудь болтается.

LiveCD Dr.WEB свежескачанный его не нашёл. Дело было почти неделю назад, с тех пор нетронутый бук лежит. Завтра посмотрим, найдёт ли его свежий Др. Веб.

[Катя.]

Цитата:

Сообщение от ram777

C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache

вообще-то это кэш оперы. туда попадают js, которые многие антивирусы принимают за вирусы. никакой опасности они не несут.
hklm\software\microsoft\windows nt\winlogon
там два параметра: shell и userinit
обычно они себя туда прописывают.

[Part!zan]

Цитата:

Сообщение от Катя.

вообще-то это кэш оперы. туда попадают js, которые многие антивирусы принимают за вирусы. никакой опасности они не несут.

На самом деле, вирусня часто так и проникает на комп, прикидываясь картинками и скриптами. А при наличии уязвимостей в браузере такой вирус успешно заражает комп.

[Катя.]

Цитата:

Сообщение от Part!zan

А при наличии уязвимостей в браузере такой вирус успешно заражает комп.

это наверно только через ie с его activex?

[Part!zan]

Катя., у всех браузеров есть уязвимости. Особенно, когда их годами не обновляют.

[Lazy_lemial]

Загрузка с лайв сиди, затем:
1) Поиск всех Temp папок и их очистка. Обязательно очистить кэш-папки всех браузеров.
2) Удаление Корзин со всех дисков
3) Удаление, или архивация под пароль, а затем удаление оригинала папок System Volume Information со всех дисков
4) Поиск файлов созданных за <срок от обнаружения вируса до сегодняшнего дня> и "ручной" разбор полученных данных.
5) Проверка антивирусом

Пункт 4 можно пропустить, но вот антивирусом систему проверять только после того, как будут выполнены пункты 1, 2, 3. Во-первых это уменьшит время проверки, а во-вторых увеличит вероятность уничтожения неизвестной антивирусу заразы.

[ED-209]

Ну я бы добавил еще пункт N, как правильно сказал Катя. - реестр. В winlogon, в большинстве случаев, видно кто виновник.

[lokil23]

Цитата:

Сообщение от Part!zan

Катя., у всех браузеров есть уязвимости.

быдло-кодеры-вымогатели еще не до росли до такого уровня. этим жалким поделкам далеко до конфикеров и салити

[Part!zan]

Цитата:

Сообщение от lokil23

быдло-кодеры-вымогатели еще не до росли до такого уровня. этим жалким поделкам далеко до конфикеров и салити

Тут все сложнее. Винлокеры, обычно, сами по себе ничего не умеют, кроме своих винлокерских пакостей. Их подгружают более другие зловреды, которые умеют проникать на комп. Найти же эксплоит в инете не проблема даже для "быдлокодеров". Понятие "скрипт-кидди" существует уже не первый год...

[Lazy_lemial]

Цитата:

Сообщение от ED-209

Ну я бы добавил еще пункт N, как правильно сказал Катя. - реестр. В winlogon, в большинстве случаев, видно кто виновник.

Импорт куста и его разбор требует определённого скилла, тогда как вышеперечисленные действия может выполнить даже ребёнок.

[Part!zan]

Цитата:

Сообщение от Lazy_lemial

вышеперечисленные действия может выполнить даже ребёнок

Цитата:

Сообщение от Lazy_lemial

Удаление, или архивация под пароль, а затем удаление оригинала папок System Volume Information со всех дисков

ребенок не сможет... и даже не всякий не ребенок не сможет.

[Катя.]

кг/ам.
все равно данный топик никому не поможет. проще вызвать знакомого хакера, чтобы он починил..

[Lazy_lemial]

Цитата:

Сообщение от Part!zan

ребенок не сможет... и даже не всякий не ребенок не сможет.

Да брось.

[Part!zan]

Lazy_lemial, по умолчанию к этой папке доступа нет. У большинства пользователей включен "простой общий доступ", который не дает разрешения папок/файлов менять. Так что, нетривиальная задача.

[TANAT]

Цитата:

Сообщение от Part!zan

у всех браузеров есть уязвимости. Особенно, когда их годами не обновляют.

А пападробней можно?

[Катя.]

TANAT,
http://www.opennet.ru/
поиск по слову "уязвимость". Там постоянно такие новости:"Преобразование строки в число... переполнение буфера... позволяют злоумышленнику выполнить код"

[Part!zan]

TANAT, http://seclists.org/bugtraq/

[Lazy_lemial]

Цитата:

Сообщение от Part!zan

Lazy_lemial, по умолчанию к этой папке доступа нет. У большинства пользователей включен "простой общий доступ", который не дает разрешения папок/файлов менять. Так что, нетривиальная задача.

Шо во фразе "Загрузка с лайв сиди, затем" вам-таки непонятно?

[Part!zan]

Lazy_lemial, эээ. Ну, проглядел, бывает...

[3zh1k]

А кто-нить встречал модификацию, при которой обрубается клавиатура, вероятно на корню(PS/2)? Причём в hklm\software\microsoft\windows nt\winlogon ничего лишнего нет.

[Lazy_lemial]

Вы чо, запустили винлокер на дебиане?

[Xenon]

Lazy_lemial, Африка знатный извращенец.

[Part!zan]

Цитата:

Сообщение от 3zh1k

кто-нить встречал модификацию, при которой обрубается клавиатура, вероятно на корню(PS/2)

Какая-то бессмысленная модификация. А как же код вводить?

Цитата:

Сообщение от dr dick

у меня есть нетбук (eee pc 901) c win xp

Не верю, что ты сразу туда не поставил какого-нть пингвина...

[Lazy_lemial]

Цитата:

Сообщение от dr dick

у меня есть нетбук (eee pc 901) c win xp

Сочувствую вашему горю.

[3zh1k]

Цитата:

Какая-то бессмысленная модификация. А как же код вводить?

А зачем его вводить7 Лох кладёт деньги на счёт, всё, профит.

[Xenon]

Цитата:

Сообщение от Part!zan

Какая-то бессмысленная модификация. А как же код вводить?

Да они совсем обнаглели.

[Part!zan]

Цитата:

Сообщение от 3zh1k

А зачем его вводить7 Лох кладёт деньги на счёт, всё, профит.

Даже самый тупой лох поймет, что есть клава не работает, то ввести он ниче не сможет (он же деньги ради кода кладет, не так ли?). И тогда никакого профита. Разве что, в сообщении вымогателя будет написано, что клавиатура волшебным образом разблокируется только после оплаты. ) Но, опять таки, любой мало-мальски здравомыслящий чел поймет, что что-то тут не так.