Перейти к содержанию
glb_ussr

прибиваем СМС вымогателя

Recommended Posts

glb_ussr

Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в целом еще один вариант. Спасибо! Хотя я использовал иной, но за него благодарность однозначная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а твой способ где ?

выкладывай ! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis

Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

это из своего опыта так получается? Не судите по себе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

а, ну да, точно, это шутка такая, хер на весь десктоп, поверх всех окон, блокировка запуска всех выполняемых фалов, размещение по центру всех запущенных программ , прямяком позади банера ... вот тока где смеятся не написанно ...

переустановка компа конструктора со всем софтом это от трех часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

последние модификации не так глупы как кажется ... попав на комп, троян, не будучи обнаруженным АВ (это же шутка, как считают некоторые) скачивает себя с р2р сети, организованной этим жа трояном, с каждым разом он становится все злее, боротся с ним становится все интереснее, дома меня ждет еще один "больной", жду встречи с нетерпением )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cel
Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Да я за такое время венду перебью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Вышел: Firefox 67 Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль ) https://www.comss.ru/page.php?id=6074
    • kareba
      Многие люди сейчас ищут заработок или подработку в интернете, но почти везде платят копейки. Нашел ресурс, где без привлечения рефералов, работая 2-3 часа в день, заработок составит минимум 100$ в месяц. Работая больше, соответственно и заработок будет больше. Вывод моментальный, от 0.5$. Подойдёт абсолютно всем, кто хочет хорошо зарабатывать или продвигать в топ свои сайты. Если интересно регистрируйтесь
       
    • francn
      Да, хорошо, что молодым людям предоставляется такая возможность немного заработать. Да и нам, потребителям, тоже немаловажно получать необходимую информацию о товарах и услугах. Так что, такие рекламные агентства, как разнесурекламу.рф, не зря едят свой хлеб.
    • FurniCase
      На коленях можно пользоваться ноутом, но если это не долго. Я когда начала работать дома, за ноутбуком, тоже не видела необходимости в столике. А когда посидела в кресле с ноутом целый день.... неудобно совсем. Купила небольшой компьютерный столик во в этом магазине Компьютерные столы. Но для ноута у них нет. А на выходных, когда меньше времени уделяю работе хотелось бы пользоваться переносным столиком. Подскажите где маленький купить?
    • Антон3
      Открывая свой интернет магазин. Я столкнулся с проблемой продвижения. Обращался на разные ресурсы, но дело шло как то медленно. Последним кому доверил раскрутку интернет магазина http://semkeys.ru/. Результат пока радует, есть прогресс лучше чем у других.
×