Перейти к содержанию
glb_ussr

прибиваем СМС вымогателя

Recommended Posts

glb_ussr

Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в целом еще один вариант. Спасибо! Хотя я использовал иной, но за него благодарность однозначная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а твой способ где ?

выкладывай ! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis

Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

это из своего опыта так получается? Не судите по себе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

а, ну да, точно, это шутка такая, хер на весь десктоп, поверх всех окон, блокировка запуска всех выполняемых фалов, размещение по центру всех запущенных программ , прямяком позади банера ... вот тока где смеятся не написанно ...

переустановка компа конструктора со всем софтом это от трех часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

последние модификации не так глупы как кажется ... попав на комп, троян, не будучи обнаруженным АВ (это же шутка, как считают некоторые) скачивает себя с р2р сети, организованной этим жа трояном, с каждым разом он становится все злее, боротся с ним становится все интереснее, дома меня ждет еще один "больной", жду встречи с нетерпением )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cel
Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Да я за такое время венду перебью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×