Удаление вирусов вымогателей отправки СМС

Обсуждение методов защиты от неприятностей

Удаление вирусов вымогателей отправки СМС

Сообщение Mihold » 25 янв 2010, 10:19

Сегодня наткнулся на интересную статейку про борьбу с вирусами:

Борьба с вирусами
Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: "вымогатели". Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки.

В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа "вымогателям": http://support.kaspersky.ru/viruses/deblocker

Страница с подробными рекомендациями по борьбе с вымогателями есть у DrWeb: http://www.drweb.com/unlocker/index/?lng=ru

Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:

Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ, CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far. Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysi ... 97440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна :)

После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС.

полный текст тут http://provorov.livejournal.com/97146.html
Аватара пользователя
Mihold
Компьютерщик
 
Сообщения: 1682
Зарегистрирован: 29 апр 2009, 15:01
Откуда: Харків

Re: Удаление вирусов вымогателей отправки СМС

Сообщение 4elovekmalekula » 05 сен 2011, 11:31

да я тоже много раз делал людям ноутбуки! на которых стояли рекламные модули либо вымогатели!
1 вопрос конечно как надо умудриться ) чтобы его поймать
2 вопрос как надо повестись чтобы отправить деньги
У меня в подвале происходит странный стук, скажите как он происходит?
Сносите винду и не парьтесь!)
Аватара пользователя
4elovekmalekula
Активист
 
Сообщения: 1963
Зарегистрирован: 05 сен 2011, 07:40

Re: Удаление вирусов вымогателей отправки СМС

Сообщение Taras » 20 апр 2016, 16:55

Решыл поменять антивирус, но не знаю какой выбрать. Попал на эту статью: http://softcatalog.info/ru/obzor/reyting-antivirusov
ДУмаю поставить AVAST.
Taras
Начинающий пользователь
 
Сообщения: 2
Зарегистрирован: 05 апр 2016, 17:04


Вернуться в Антивирусная защита

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron