Перейти к содержанию
Cronis

Злой баннер трубует отправить смс

Recommended Posts

akoK

Андрей-001, сменить образ :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей-001, сменить образ

Да, это выход. Но для этого придётся запастить стопочкой... чистых болванок. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Да, это выход. Но для этого придётся запастить стопочкой... чистых болванок. ;)

Зачем же болванок? Microsoft Windows AIK никто не отменял, собрать загрузочную флешку - минута делов, если на ядре от NT 6.1 (WinPE 3.0) то совсем хорошо 150 метров скушает на флехе, а в 3.0 и флешки на лету определяются и проврека цифровых подписей работает, дрова под новое железо и само-собой CureIt с uVS пашут без проблем. :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Пока тикет возьмут - я успею почистить.

Вы - да. Но Вы - не среднего уровня пользователь. Я тоже быстрее почищу.

Кроме техподдержки есть ещё форум с разделом "Помощь по лечению". Если ничего экзотического (т.е. мейнстримовое), то многочисленные хелперы тоже могут помочь.

А вообще - да, жару создатели винлоков антивирусным компаниям дают. Но это уже не в первый раз. Что-нибудь придумается. И уже придумывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
она конечно есть. Называется - в трекер. Скорость реакции? :rolleyes: Пока тикет возьмут - я успею почистить. Гарантированная скорость какова? Поэтому и первый путь, и второй - весьма небыстрый

Вот по горячим следам -- сегодня утром мне позвонил на мобильный человек, которому я пару раз лечил машину аж в далёком 2007. Сегодня тоже оказалось нужным лечить от eKAV'а. Ну, и настройки по мелочи.

Оказалось, что он сначала позвонил в киевский офис, и предложение -- "Сделайте заявочку в московском трекере" -- сказанное сладким голосом отвечавшего, его не устроило в виду неоперативности решения проблемы.

Благодаря болванкам от того же Dr.Web и Kaspersky Rescue (ссылку на который здесь приводили, за что и спасибо! -- удобная штука) удалось всё починить -- Dr.Web увидел вредоносную DLL, Kaspersky -- её дроппер и PDF-эксплойт. Пропустивший вендор получил семплы для добавления, уведомления об их добавлении в базу мной получены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

K_Mikhail

Кстати да- удобно юзать 2 RD от докторов и ЛК- одно что то видит и второе- в итоге система оживает..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Кстати да- удобно юзать 2 RD от докторов и ЛК- одно что то видит и второе- в итоге система оживает..

Потому как Высшая истина (ожившая система) -- важнее всего. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Комп, который мне достался на препарацию, был вылечен при помощи второго компьютера, к которому подсоединил HDD с зараженного. Там был целый винигрет из вирусов, немудрено, что атакой в лоб победить заражение не удалось.

eKAV.jpg

post-3858-1263228649_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Летучий отряд винлокеров продолжает своё шальное шествие по планете WWW...

Всё что увидили сидилайвы - находилось старыми добрыми ручными методами. Даже в папке Downloads.

Деактиваторы также не справились.

В итоге Баннер стоял как приклеенный:

"Доступ в сеть заблокирован! Уведомление о необходимости активации ПО Get Access"

70cb2edee72bt.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Андрей-001

Советую затем проверяться этим (после того как излечились от баннера) на системах х86:

TDSSKiller.rar

Список изменений в этой версии утилиты:

- Улучшено детектирование и лечение руткитов TDSS второго поколения (TDL2) - теперь используется парсер реестра вместо снятия перехватов. Утилита требует меньшего взаимодействия с пользователем при лечении.

- Реализовано детектирование и лечение новых TDL3.21, TDL3.22.

- Улучшено лечение системных драйверов, зараженных руткитом - если есть возможность восстановить файл из резервной копии, он восстанавливается

вместо лечения зараженного содержимого.

Так как TDSS также качает эту приблуду юзерам( правда не все версии )

TDSSKiller.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Danilka

Хорошо, попробуем. Этот "киллер" у меня был закачен ранее, но это оказывается более новая версия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Андрей-001

Да, лишние несколько минут для подстраховки не повредят. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Danilka

Ещё бы, как говорится, не "после", а "вместо" - и тогда высвободившееся время можно было бы потратить на что-то более интересное. ;)

Даёшь RansomKiller'а в первый квартал 2010!!!

...а смс-провайдеры не дремлют и точат на нас свои острые зубки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Андрей-001

Включить Род. Контроль и не пущать юзеров на порно сайты. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
... не пущать юзеров на порно сайты.

Да туда взрослые дядьки больше лезуть. %)

А молодёжь поголовно записывается в вконтактёры. Там 99% заражений.

1% чистогана появился только сегодня.

Сегодня см. ещё один комп, тоже вконтактёрский, с баннером типа "дырки-палки".

Так там, кроме легкокилляемого plugin'а ничего больше и не было. Ну, немножко мусора - и всё!

А комп был без защиты с октября. Как заговорённый...

Позже: У этого компа через несколько дней пришлось переустановить систему. Бсодил через раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

В самом RD что-то обновилось или это просто перезаливка предыдущего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Я так думаю, что он с новыми базами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Перезаливка с обновленными базами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Перезаливка с обновленными базами.

Понял, спасибо!

Кстати, можно было бы сделать прикреплённую тему в подфоруме Антивируса Касперского и выкладывать там, допустим, раз в неделю, iso-шник RD с обновлёнными базами. Т.е. выкладывать недельные срезы.

Мысль? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Легко :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

K_Mikhail

Готово.

Да, это просто с новыми базами- так как у некоторых на зараженной машине нельзя подключить инет(например если он там через VPN и т.п.) чтобы он сам их обновил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Готово.

Да, это просто с новыми базами- так как у некоторых на зараженной машине нельзя подключить инет(например если он там через VPN и т.п.) чтобы он сам их обновил.

Добро, понял. У себя в подфоруме тоже реализовал такой же подраздельчик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

K_Mikhail

Кстати куреит у них не всегда с первого раза качается- у меня обычно раза с 7. Может IE8 тупит- но факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Кстати куреит у них не всегда с первого раза качается- у меня обычно раза с 7. Может IE8 тупит- но факт.

У меня всё нормально качается с первого раза -- и под IE7 (8-го нет, ибо IE вообще не пользуюсь) и Firefox 3.5.7...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] (!) Невозможно открыть процесс: start.exe [2960] Полное имя                  START.EXE
      Имя файла                   START.EXE
      Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
       ---------------------                         Самый обычный запуск и чистая система. Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...  
    • PR55.RP55
      В окнах -  появилась реклама. ( ожидаемо ) uVS этого не видит. ------------ New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0 ----------------- # Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU --------------- Disable Security and Maintenance Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance Value Name: Enabled (DWORD)
      Value: 0 Disable OneDrive Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop Value Name: Enabled (DWORD)
      Value: 0 Disable Photos Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App    
    • PR55.RP55
      Как оказалось всё гораздо хуже... Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника ) значит работает 32-х битный модуль... на 64-х битной системе.    
    • PR55.RP55
      В общем судя по всему активации 64-х бит. модуля мешал Windows Defender По хорошему нужно логи\журналы защитника в образ автозапуска сохранять. Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть. Возможно чтобы антивирусы так не реагировали что-то придумать.
    • PR55.RP55
      uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS] (!) Не удалось активировать 64-х битный модуль ----------- Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download
×