Перейти к содержанию
glb_ussr

прибиваем СМС вымогателя

Recommended Posts

glb_ussr

Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в целом еще один вариант. Спасибо! Хотя я использовал иной, но за него благодарность однозначная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а твой способ где ?

выкладывай ! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis

Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

это из своего опыта так получается? Не судите по себе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

а, ну да, точно, это шутка такая, хер на весь десктоп, поверх всех окон, блокировка запуска всех выполняемых фалов, размещение по центру всех запущенных программ , прямяком позади банера ... вот тока где смеятся не написанно ...

переустановка компа конструктора со всем софтом это от трех часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

последние модификации не так глупы как кажется ... попав на комп, троян, не будучи обнаруженным АВ (это же шутка, как считают некоторые) скачивает себя с р2р сети, организованной этим жа трояном, с каждым разом он становится все злее, боротся с ним становится все интереснее, дома меня ждет еще один "больной", жду встречи с нетерпением )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cel
Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Да я за такое время венду перебью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
    • Gabrielmop
      Какое абстрактное мышление
      filmkont.online
    • Richardcrere
      Реально, https://intervision.ua/videonablyudenie - видеонаблюдение поможет в данной ситуации!
      Цифровые камеры передают четкую детализированную картинку. Чем выше качество изображения, тем «тяжелее» потоковое видео. В этом случае поможет видеорегистратор с емким жестким диском. Для удаленного контроля лучше использовать цифровые IP-видеокамеры, которые шифруют и сжимают сигнал. К тому же, многие IP-модели запитываются по витой паре или оптоволокну посредством технологии PoE. Благодаря этому системами IP-видеонаблюдения оснащают строящиеся объекты.
      https://intervision.ua/videonabludenie/lte-camera - 4g видеокамера
      Как установить видеонаблюдение для дома
      Установка и настройка аппаратуры происходит в несколько этапов. Сначала нужно подобрать и установить видеокамеры, записывающее устройство, а также обеспечить передачу сигнала и постоянное питание. Обратите внимание: проводное подключение требует прокладки кабелей для соединения компонентов. Для этого стоит вызвать мастера.
    • PR55.RP55
      В uVS есть возможность добавлять в базу проверенных: IPL; MBR и т.д. т.е. программа обрабатывает данные и преобразует их в SHA1 Аналогичным образом можно обработать записи: WMI ( и все стандартные\проверенные записи добавить в базу проверенных) Возможно, что-то ещё можно обработать аналогичным образом.    
×