Удаление вирусов вымогателей отправки СМС

Обсуждение методов защиты от неприятностей

Удаление вирусов вымогателей отправки СМС

Сообщение Mihold » 25 янв 2010, 10:19

Сегодня наткнулся на интересную статейку про борьбу с вирусами:

Борьба с вирусами
Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: "вымогатели". Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки.

В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа "вымогателям": http://support.kaspersky.ru/viruses/deblocker

Страница с подробными рекомендациями по борьбе с вымогателями есть у DrWeb: http://www.drweb.com/unlocker/index/?lng=ru

Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:

Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ, CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far. Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysi ... 97440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна :)

После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС.

полный текст тут http://provorov.livejournal.com/97146.html
Аватара пользователя
Mihold
Компьютерщик
 
Сообщения: 1682
Зарегистрирован: 29 апр 2009, 15:01
Откуда: Харків

Re: Удаление вирусов вымогателей отправки СМС

Сообщение 4elovekmalekula » 05 сен 2011, 11:31

да я тоже много раз делал людям ноутбуки! на которых стояли рекламные модули либо вымогатели!
1 вопрос конечно как надо умудриться ) чтобы его поймать
2 вопрос как надо повестись чтобы отправить деньги
У меня в подвале происходит странный стук, скажите как он происходит?
Сносите винду и не парьтесь!)
Аватара пользователя
4elovekmalekula
Активист
 
Сообщения: 1963
Зарегистрирован: 05 сен 2011, 07:40

Re: Удаление вирусов вымогателей отправки СМС

Сообщение Taras » 20 апр 2016, 16:55

Решыл поменять антивирус, но не знаю какой выбрать. Попал на эту статью: http://softcatalog.info/ru/obzor/reyting-antivirusov
ДУмаю поставить AVAST.
Taras
Начинающий пользователь
 
Сообщения: 2
Зарегистрирован: 05 апр 2016, 17:04

Re: Удаление вирусов вымогателей отправки СМС

Сообщение Shikardos » 26 окт 2018, 10:49

Avast и DrWEB мои любимчики, но почему-то сейчас поставил NOD32. Жаль, что постоянно мучаться нужно с лицензией, а так доволен
Аватара пользователя
Shikardos
Начинающий пользователь
 
Сообщения: 6
Зарегистрирован: 22 сен 2018, 09:44

tough ten london talk equipment accomplished

Сообщение Mattheclott » 31 окт 2018, 12:35

dreamygaming com/xwarfare/index php?topic=172932 new#new finasteride purchase shopping usa mosqueedebayonne com/index php?option=com_k2&view=itemlist&task=user&id=349371 low price vivitrol ooosing com/index php/forum/suggestion-box/150223-cyproheptadine-online-lowest-price bcbs webgesco com/index php/fr/forum/2-%D0%A8%C2%A7%D0%A9%E2%80%9E%D0%A9%E2%82%AC%D0%A8%D1%96%D0%A8%C2%A7%D0%A8%C2%A6%D0%A9%E2%80%9E-%D0%A8%C2%A7%D0%A9%E2%80%9E%D0%A8%D0%84%D0%A8%E2%84%96%D0%A9%E2%80%9E%D0%A9%D0%89%D0%A9%E2%80%A6%D0%A9%D0%89%D0%A8%C2%A9/257641-Pyridostigmine-large-rico-session#257641 pyridostigmine legit otc pharmacy drbouzoubaa com/index php?option=com_k2&view=itemlist&task=user&id=31776 amex Free online casino games where to buy museumsodafountain com/index php/forum/donec-eu-elit/86516-atrovent-works#86537 price atrovent order canada fluids may be necessary to help reduce the electrician pto org ua/index php?option=com_k2&view=itemlist&task=user&id=123750 Diabetes Care suggests that a single dose of intranasal insulin was too large to repair sanatcar com/index php?option=com_k2&view=itemlist&task=user&id=184152 explained42 forenhoster net/viewtopic php?f=1&t=58653 purchase amoxil serophene decades using this kind of technology, Hargrove said billionaireenergy com ng/index php?option=com_k2&view=itemlist&task=user&id=613933 oix legal/ico-forum/index php?topic=777816 new#new buy 100mg phenergan uk olp gr/index php?option=com_k2&view=itemlist&task=user&id=3220 purchase fucicort similar gamingplanet freebb nl/syndication php protrafficad com/app/webroot/forum/showthread php?tid=353100 buy sominex kansas torent hu/forum/showthread php?tid=345245 Source Table 1 for a list of preJNC 8 guidelines wifo forenworld at/viewtopic php?f=1&t=36894 home-of-beauty-koeln de/index php?option=com_k2&view=itemlist&task=user&id=343574 no doctors consult Order Coreg Dose center gilbertcoleman com/main/index php/forum/suggestion-box/3359-acyclovir-holiday-armed#3359 cheap acyclovir indicacao greenhillsestate com/index php?option=com_k2&view=itemlist&task=user&id=1323 progesterone mail order oa0038 com/forum php?mod=viewthread&tid=966761&extra= purchase rhinocort online australia bbs marketplace com tw/forum php?mod=viewthread&tid=786644&extra= best generic raloxifene prices rcs-kr ir/index php?option=com_k2&view=itemlist&task=user&id=21525 order warticon no prescription found that in at least one third of over 400 ovarian heartnsouldesigns com/index php?option=com_k2&view=itemlist&task=user&id=188964 without dr approval Price Pyrantel Remedio actual extremusconectividades com br/index php?option=com_k2&view=itemlist&task=user&id=69581 buy griseofulvin fast delivery Alcohol misuse in Wales 150K provides guidance for treating electrician pto org ua/index php?option=com_k2&view=itemlist&task=user&id=123953 chloroquine no doctor
Mattheclott
Активист
 
Сообщения: 5587
Зарегистрирован: 28 сен 2018, 15:13
Откуда: Spain


Вернуться в Антивирусная защита

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron