Перейти к содержанию
glb_ussr

прибиваем СМС вымогателя

Recommended Posts

glb_ussr

Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в целом еще один вариант. Спасибо! Хотя я использовал иной, но за него благодарность однозначная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а твой способ где ?

выкладывай ! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis

Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

это из своего опыта так получается? Не судите по себе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

а, ну да, точно, это шутка такая, хер на весь десктоп, поверх всех окон, блокировка запуска всех выполняемых фалов, размещение по центру всех запущенных программ , прямяком позади банера ... вот тока где смеятся не написанно ...

переустановка компа конструктора со всем софтом это от трех часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

последние модификации не так глупы как кажется ... попав на комп, троян, не будучи обнаруженным АВ (это же шутка, как считают некоторые) скачивает себя с р2р сети, организованной этим жа трояном, с каждым разом он становится все злее, боротся с ним становится все интереснее, дома меня ждет еще один "больной", жду встречи с нетерпением )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cel
Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Да я за такое время венду перебью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×