M
MotherBoard
Класс..надо будет ссыль оформить на остальных форумах!
Обсуждение рецептов против sms-вымогателей
- Автор темы Alex56
- Дата начала
Класс..надо будет ссыль оформить на остальных форумах!
- Сообщения
- 3,628
- Решения
- 1
- Реакции
- 2,143
Для продвинутых пользователей : 
Подробнее о способах борьбы с программами-вымогателями.
http://support.kaspersky.ru/viruses/solutions?qid=208637133
Подробнее о способах борьбы с программами-вымогателями.
http://support.kaspersky.ru/viruses/solutions?qid=208637133
Я ещё недоньюбок, по форумным понятиям - но хочу рассказать,как мне удалось избавиться от трояна Винлок32, не обнаруженного моим бесплатненьким Авастом. И даже скачанным после Кюреитом от Д.Веб свежайшего пошиба. Тварь эту, залезшую с доковским документом, я нашёл по странному имечку (хвала амбициям автора трояна!). После чего отправил этот файлец Вебу на пробу, они его почти сразу опознали и фамилечку назвали. Скачиваю свежайший Кюреит - а он ничего не находит!!! Разозлился, полез гада курочить всеми имеющимися редакторами. И так был зол, что умудрился искалечить трояныча под простым юзером с админскими правами! А потом тихо удалить с последующей приборкой.
Сознаю, что мне редкостно повезло, но это тоже метод - если бы я был умнее - знал бы, где и что искать, и как изуродовать злыдня до полной его непригодности!
Отсюда я пришёл, и там искал защиты тоже - и всем спасибо!
А он/офф-лайн формы и АВЗ - всё попалось мне на глаза потом, когда я смог выйти спокойно в инет - потрясающие вещи!!!, Дня бы на четыре раньше на глаза попались...
Сознаю, что мне редкостно повезло, но это тоже метод - если бы я был умнее - знал бы, где и что искать, и как изуродовать злыдня до полной его непригодности!
Отсюда я пришёл, и там искал защиты тоже - и всем спасибо!
А он/офф-лайн формы и АВЗ - всё попалось мне на глаза потом, когда я смог выйти спокойно в инет - потрясающие вещи!!!, Дня бы на четыре раньше на глаза попались...
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Сообщения
- 3,628
- Решения
- 1
- Реакции
- 2,143
Утилита разблокировки от Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2009-041607-1924-99
http://www.symantec.com/security_response/writeup.jsp?docid=2009-041607-1924-99
Avira защищает от трояна-вымогателя.
Вредитель поражает соединение компьютера с Интернетом и требует дорогой код активации для восстановления
в настоящее время активировалась вредоносная программа, которая блокирует соединение с Интернетом и восстанавливает доступ только после того, как будет введен код, полученный из дорогостоящего СМС-сообщения. Avira уже давно научилась распознавать такие программы и защищать от них пользователей.
Троян-вымогатель, о котором сегодня сообщают в средствах массовой информации, маскируется под установочную программу для менеджера загрузок. Если пользователь задает выполнение программы, но получает только сообщение на русском языке о том, что он нарушил условия пользовательского соглашения. Затем вредоносная программа блокирует соединение компьютера с Интернетом и требует от пользователя, чтобы он запросил активации с помощью дорогостоящего СМС-сообщения.
Решения по безопасности от компании Avira распознают этот троян как TR/Ransom.SMSer.QM и удаляют его. Файлы с описанием вирусов содержат информацию для распознавания трояна-вымогателя, уже начиная с версии 7.1.6.177, выпущенную 2 ноября 2009 года. Таким образом, пользователи антивирусных решений от компании Avira защищены от опасности.
Вредитель поражает соединение компьютера с Интернетом и требует дорогой код активации для восстановления
в настоящее время активировалась вредоносная программа, которая блокирует соединение с Интернетом и восстанавливает доступ только после того, как будет введен код, полученный из дорогостоящего СМС-сообщения. Avira уже давно научилась распознавать такие программы и защищать от них пользователей.
Троян-вымогатель, о котором сегодня сообщают в средствах массовой информации, маскируется под установочную программу для менеджера загрузок. Если пользователь задает выполнение программы, но получает только сообщение на русском языке о том, что он нарушил условия пользовательского соглашения. Затем вредоносная программа блокирует соединение компьютера с Интернетом и требует от пользователя, чтобы он запросил активации с помощью дорогостоящего СМС-сообщения.
Решения по безопасности от компании Avira распознают этот троян как TR/Ransom.SMSer.QM и удаляют его. Файлы с описанием вирусов содержат информацию для распознавания трояна-вымогателя, уже начиная с версии 7.1.6.177, выпущенную 2 ноября 2009 года. Таким образом, пользователи антивирусных решений от компании Avira защищены от опасности.
M
MotherBoard
Это троянец блокировки системы,а против порнобаннера такой пойдёт???Если не запускаются даже браузеры
Тот же вопрос по этой ссылке: http://www.symantec.com/security_res...041607-1924-99
http://news.drweb.com/show/?i=304 - эта ссылка не спасла...
NFORCE4, сейчас в данный момент у моей сестры дома сидит такой зловред, показывает на весь экран порнобаннер с просьбой оплаты, но вылечить я пока не могу, т.к. не имею физического доступа к компьютеру, и этот зловред ещё и интернет отрубил 
Поэтому пока жду, когда сестрёнка привезёт сис.блок
По проблеме:
Сестра говорила, что на весь экран баннер показывается не сразу, а только когда нажмёшь на какой-то небольшой прямоугольник...вообщем пока я её помог только удалив автозапуск данного зловреда, но это не решило проблему с интернетом, т.к. зловред ещё сидит
В автозагрузке он прописывается в ключ UserInit (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
Если не получается в обычном режиме запустить редактор реестра, попробуйте загрузиться в безопасном режиме но только с поддержкой коммандной строки, в коммандную строку введите REGEDIT и подкорректируйте значение ключа UserInit
+Ссылки по теме (правдо с другого форума, но думаю модераторы не обидятся)
del
Поэтому пока жду, когда сестрёнка привезёт сис.блок По проблеме:
Сестра говорила, что на весь экран баннер показывается не сразу, а только когда нажмёшь на какой-то небольшой прямоугольник...вообщем пока я её помог только удалив автозапуск данного зловреда, но это не решило проблему с интернетом, т.к. зловред ещё сидит
В автозагрузке он прописывается в ключ UserInit (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
Если не получается в обычном режиме запустить редактор реестра, попробуйте загрузиться в безопасном режиме но только с поддержкой коммандной строки, в коммандную строку введите REGEDIT и подкорректируйте значение ключа UserInit
+Ссылки по теме (правдо с другого форума, но думаю модераторы не обидятся
)del
Последнее редактирование модератором:
M
MotherBoard
Ссылка не грузится.... да и не надо...уже вылечили без переустановки ОС
Ну не плохо было бы узнать рецепт, т.к. мне ещё предстоит вылечить компьютер сестрёнки
Aleksa106
Новый пользователь
- Сообщения
- 10
- Реакции
- 4
Столкнулся с таким вымогателем:
Симптомы: Висит окно с требованием СМС:
Вы нарушили лицензионное соглашение продукта Download Master
Заблокированы Диспетчер Задач, Реестр, не запускаются Антивирусы и другое ПО, кроме программ из папки System32...
при добавлении полиморфного AVZ в систем32 запустился, но через некоторое время был убит, при активации АВЗ Гард через некоторое время комп уходит в перезгрузку... через 2-3 раза перестал запускаться совсем...
Разблокировал с помощью данного поста. Ограничения на запуск снялись.
Взято отсюда
Симптомы: Висит окно с требованием СМС:
Вы нарушили лицензионное соглашение продукта Download Master
Заблокированы Диспетчер Задач, Реестр, не запускаются Антивирусы и другое ПО, кроме программ из папки System32...
при добавлении полиморфного AVZ в систем32 запустился, но через некоторое время был убит, при активации АВЗ Гард через некоторое время комп уходит в перезгрузку... через 2-3 раза перестал запускаться совсем...
Разблокировал с помощью данного поста. Ограничения на запуск снялись.
Взято отсюда
- Сообщения
- 3,628
- Решения
- 1
- Реакции
- 2,143
Aleksa106, То о чем вы говорите действительно и для лже-антивируса eKAV (очевидно автор один) смотреть по ссылке там уже и утилиту для разблокировки написали. https://safezone.cc/threads/razblokirovka-trojanov-semejstva-winlock-sms-vymogateli.3019
----------------------------------------------------------------------------
Удаление порнобаннера.
Добавлено через 2 минуты 46 секунд
Это окно почти во весь экран, на котором свеху изображения, а ниже, на розовом фоне, предлагают подождать 30 дней, обратиться в саппорт или отправить SMS "733162 на номер 9800"
Как это убрать
Загрузиться с любого LiveCD и в корне X:\Program Files удалить файл plugin.exe, где X: - буква системного диска. Далее спокойно грузимся и проходимся любимым антивирусом. Возможно ничего и не найдётся.
источник yurfed
https://safezone.cc/threads/razblokirovka-trojanov-semejstva-winlock-sms-vymogateli.3019----------------------------------------------------------------------------
Удаление порнобаннера.
Добавлено через 2 минуты 46 секунд
Это окно почти во весь экран, на котором свеху изображения, а ниже, на розовом фоне, предлагают подождать 30 дней, обратиться в саппорт или отправить SMS "733162 на номер 9800"
Как это убрать
Загрузиться с любого LiveCD и в корне X:\Program Files удалить файл plugin.exe, где X: - буква системного диска. Далее спокойно грузимся и проходимся любимым антивирусом. Возможно ничего и не найдётся.
источник yurfed
Последнее редактирование:
Файл plugin.exe может быть в папке C:\WINDOWS
Другой вариант этого вируса создает файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll и в назначенных заданиях "SystemCheck"
Еще один вариант (который, кстати, сейчас и распространяется) создает файл *.exe и *.dll в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp и в назначенных заданиях "WindowsCheck"
Также может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe
Aleksa106
Новый пользователь
- Сообщения
- 10
- Реакции
- 4
Спасибо, буду иметь ввиду...
К сожалению, этот вариант наверное не проходил...
комп находился в Бокситогорске, я в Питере... давать пользователю удалять файлы из-под Live-CD, как мне кажется было бы себе дороже...
CureIt при сканировании ничего не обнаружил...
в итоге после разблокировки и сбора логов Hi-Jack и AVZ, обнаружился
c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aahz ( AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
- Сообщения
- 3,628
- Решения
- 1
- Реакции
- 2,143
Ещё полезная ссылка по теме http://forum.oszone.net/thread-164453.html
Aleksa106
Новый пользователь
- Сообщения
- 10
- Реакции
- 4
Новые алгоритмы определения ответного кода для eKAV антивирус.
Вот случайно наткнулся... как раз по теме.
Вот случайно наткнулся... как раз по теме.
Alex1983
Разработчик
- Сообщения
- 1,154
- Реакции
- 264
Вопрос. А как удалить смс вымогателя если ОС вообще не запускается( то есть после выбора учетной записи происходит писк и сразу появляется смс вымогатель пише
В нижнем правом углу написано
Первая переустановка не помогла то есть после выхода в интернет и перезагрузки вирус опять появился.После второго пока нет.
Код:
Onlain Antivirus
У вас обнаружен вирус для его удаления отправьте смс на номер ****
текст 6625020 и тд.
Код:
Переустановка системы не поможет так как вирус сохранен в секторе жесткого диска.здесь пробывали найти ответный код?
http://www.drweb.com/unlocker/
неоднократно помогала форма конкретно с вирусом, который вы указали, хотя существует много разновидностей. После разблокировки он все равно остается, поэтому надо полностью сканировать и удалять зловредов до конца
если не найдете, загрузить с Live-CD и просканируйте компьютер Drweb Cureit.
здесь посмотрите
https://safezone.cc/forum/showthread.php?t=3019
Последнее редактирование:
