Как убрать Gangnamgame.net

[Severnyj]

Итак у нас на кибере, да и на ВИ эпидемия:
Google

К счастью на руторе уже разобрались откуда уши растут:

Итак, поскольку Brick упирается, вот последовательность действий для того, чтобы модераторы могли сами проверить, что в репаке MGSV есть троян:

1) Скачиваем из этой раздачи хttp://rutor_.org/torrent/455942 только Setup.exe (MD5: 16ab690232d8089b899f62228043cef9)

Если Brick обновит раздачу, я на всякий случай сохранила EXE:
хttp://www55.zippyshare.com/v/r4oliczE/file.html

Он же есть у всех тех, кто скачал репак до этого - на случай, если Brick будет отмазываться, что это ненастоящий его Setup.exe

2) Скачиваем свежую версию распаковщика инсталляторо Inno:
Inno Setup Unpacker - Browse /innounp/innounp 0.43 at SourceForge.net
так, чтобы innounp.exe был в папке вместе с Setup.exe

3) Далее в командной строке запускаем

innounp.exe -x -a -dunpacked -m Setup.exe

4) Заходим в получившуюся папку "unpacked -- {localappdata} -- Microsoft -- Redist"

Там два файла (они теперь хорошо гуглятся как раз в связке с этим трояном)
vcredist_x86.cfg
vcredist_x86.exe

При установке они копируются в локальные документы пользователя и оттуда запускаются.

Доказательства - в install_.iss в папке unpacked, строки 57, 58, 71, 72

Без cfg EXE вроде ничего опасного не делает (а потому на него не реагируют антивирусы).

С ним же - дешифрует значения и прописывает пути для открытия сайта в реестр и блокирует ряд программ.

Содержимое vcredist_x86.cfg в зашифрованном и расшифрованном виде.

Paste2.org - Viewing Paste wE0XJc3U

Содержимое CFG-файла закодировано простейшим алгоритмом base64.

После декодирования (можно, например, тут - Base64 Decode and Encode - Online)
видно, что эта тулза именно что прописывает gangnamgame.org в дефолт к браузеру и блокирует редактор реестра и ряд других программ. Мерзость и гадость.

И еще деталька - по конфигу она активируется только через 5 дней. Поэтому не сразу все заметили проблему и начали обвинять репаки, которые ставили позже.

Источник: rutor.org :: Путеводитель по RUTOR.org: Правила, Руководства, Секреты

Так что для любителей репаков и прочего нелицензионного софта и впредь будут мучать такие кары.

Для того, чтобы избавится от данной напасти необходимо создать тему в разделе лечения Лечение компьютерных вирусов
выполнив несложные правила: Правила оформления запроса о помощи
Если правила выполнить не удается, пишите Вам всегда помогут.

 

[mike 1]

На форумах информационной безопасности зафиксирован большой рост обращений с проблемой типа:

Когда включаю компьютер, вылетает Opera со страницей "gangnamgame.net". При попытке открыть ccleaner, regedit и другие программы ничего не происходит. Вирус полностью блокирует работоспособность программ.

Примеры обращений на форуме Фан Клуба Лаборатории Касперского:

1. И снова gangnamgame.net... - Уничтожение вирусов
2. Вылазит gangnamgame.net - Уничтожение вирусов
3. Проблемы с сайтом gangnamgame.org - Уничтожение вирусов
4. gangnamgame net - Уничтожение вирусов
5. Опять gangnamgame net - Уничтожение вирусов


Для исправления ситуации выполните следующие действия:

1. Скачайте полиморфную версию AVZ отсюда, распакуйте архив с AVZ в отдельную папку.

2. Запустите AVZ (файл svchost.pif) с правами администратора и выполните скрипт в AVZ (Файл => Выполнить скрипт):

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
Executerepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится. Проверьте проблему.

Если проблема не решилась, то для комплексной проверки Вашего компьютера рекомендуется создать тему в разделе "Лечение компьютерных вирусов" и выполнить правила оказания помощи.

[information=ADMIN:]
Администрация форума не несет ответственность за результаты,полученные после выполнения скрипта,так как скрипт дам не в рамках раздела лечения. [/information]

 

[shestale]

mike 1, т.к. я последнее время временно занят и нет времени просматривать темы с лечением по данному заражению, то поясни пожалуйста ещё, что это за заражение и неужто оно авз блокирует, раз ты предлагаешь его переименовывать?

 

[Dragokas]

Как убрать Gangnamgame.net

неужто оно авз блокирует

Так и есть. И Автологгер тоже.

 

[mike 1]

shestale, блокирует по имени с помощью отладчика.

 

[shestale]

Почти все наши лечащие утилиты блокируют...кроме ювс)))

 

[mike 1]

Почти все наши лечащие утилиты блокируют...кроме ювс)))

Полиморфный avz работает, а разблокировать это дело не сложно.

 

[thyrex]

Меж тем раздача обновилась. И один из комментов настораживает