Страница 1 из 1

Удаление вирусов вымогателей отправки СМС

СообщениеДобавлено: 25 янв 2010, 10:19
Mihold
Сегодня наткнулся на интересную статейку про борьбу с вирусами:

Борьба с вирусами
Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: "вымогатели". Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки.

В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа "вымогателям": http://support.kaspersky.ru/viruses/deblocker

Страница с подробными рекомендациями по борьбе с вымогателями есть у DrWeb: http://www.drweb.com/unlocker/index/?lng=ru

Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:

Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ, CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far. Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysi ... 97440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна :)

После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС.

полный текст тут http://provorov.livejournal.com/97146.html

Re: Удаление вирусов вымогателей отправки СМС

СообщениеДобавлено: 05 сен 2011, 11:31
4elovekmalekula
да я тоже много раз делал людям ноутбуки! на которых стояли рекламные модули либо вымогатели!
1 вопрос конечно как надо умудриться ) чтобы его поймать
2 вопрос как надо повестись чтобы отправить деньги

Re: Удаление вирусов вымогателей отправки СМС

СообщениеДобавлено: 20 апр 2016, 16:55
Taras
Решыл поменять антивирус, но не знаю какой выбрать. Попал на эту статью: http://softcatalog.info/ru/obzor/reyting-antivirusov
ДУмаю поставить AVAST.

Re: Удаление вирусов вымогателей отправки СМС

СообщениеДобавлено: 26 окт 2018, 10:49
Shikardos
Avast и DrWEB мои любимчики, но почему-то сейчас поставил NOD32. Жаль, что постоянно мучаться нужно с лицензией, а так доволен

tough ten london talk equipment accomplished

СообщениеДобавлено: 31 окт 2018, 12:35
Mattheclott
dreamygaming com/xwarfare/index php?topic=172932 new#new finasteride purchase shopping usa mosqueedebayonne com/index php?option=com_k2&view=itemlist&task=user&id=349371 low price vivitrol ooosing com/index php/forum/suggestion-box/150223-cyproheptadine-online-lowest-price bcbs webgesco com/index php/fr/forum/2-%D0%A8%C2%A7%D0%A9%E2%80%9E%D0%A9%E2%82%AC%D0%A8%D1%96%D0%A8%C2%A7%D0%A8%C2%A6%D0%A9%E2%80%9E-%D0%A8%C2%A7%D0%A9%E2%80%9E%D0%A8%D0%84%D0%A8%E2%84%96%D0%A9%E2%80%9E%D0%A9%D0%89%D0%A9%E2%80%A6%D0%A9%D0%89%D0%A8%C2%A9/257641-Pyridostigmine-large-rico-session#257641 pyridostigmine legit otc pharmacy drbouzoubaa com/index php?option=com_k2&view=itemlist&task=user&id=31776 amex Free online casino games where to buy museumsodafountain com/index php/forum/donec-eu-elit/86516-atrovent-works#86537 price atrovent order canada fluids may be necessary to help reduce the electrician pto org ua/index php?option=com_k2&view=itemlist&task=user&id=123750 Diabetes Care suggests that a single dose of intranasal insulin was too large to repair sanatcar com/index php?option=com_k2&view=itemlist&task=user&id=184152 explained42 forenhoster net/viewtopic php?f=1&t=58653 purchase amoxil serophene decades using this kind of technology, Hargrove said billionaireenergy com ng/index php?option=com_k2&view=itemlist&task=user&id=613933 oix legal/ico-forum/index php?topic=777816 new#new buy 100mg phenergan uk olp gr/index php?option=com_k2&view=itemlist&task=user&id=3220 purchase fucicort similar gamingplanet freebb nl/syndication php protrafficad com/app/webroot/forum/showthread php?tid=353100 buy sominex kansas torent hu/forum/showthread php?tid=345245 Source Table 1 for a list of preJNC 8 guidelines wifo forenworld at/viewtopic php?f=1&t=36894 home-of-beauty-koeln de/index php?option=com_k2&view=itemlist&task=user&id=343574 no doctors consult Order Coreg Dose center gilbertcoleman com/main/index php/forum/suggestion-box/3359-acyclovir-holiday-armed#3359 cheap acyclovir indicacao greenhillsestate com/index php?option=com_k2&view=itemlist&task=user&id=1323 progesterone mail order oa0038 com/forum php?mod=viewthread&tid=966761&extra= purchase rhinocort online australia bbs marketplace com tw/forum php?mod=viewthread&tid=786644&extra= best generic raloxifene prices rcs-kr ir/index php?option=com_k2&view=itemlist&task=user&id=21525 order warticon no prescription found that in at least one third of over 400 ovarian heartnsouldesigns com/index php?option=com_k2&view=itemlist&task=user&id=188964 without dr approval Price Pyrantel Remedio actual extremusconectividades com br/index php?option=com_k2&view=itemlist&task=user&id=69581 buy griseofulvin fast delivery Alcohol misuse in Wales 150K provides guidance for treating electrician pto org ua/index php?option=com_k2&view=itemlist&task=user&id=123953 chloroquine no doctor