Перейти к содержанию
glb_ussr

прибиваем СМС вымогателя

Recommended Posts

glb_ussr

Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в целом еще один вариант. Спасибо! Хотя я использовал иной, но за него благодарность однозначная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а твой способ где ?

выкладывай ! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis

Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ну самый простой способ у Alexqr.

Заплатил по СМС и всех делов.

это из своего опыта так получается? Не судите по себе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
ИМХО - Хм, в реестр можно прописать все что хочешь, другое дело будет ли это работать, не проще ли было просто проверить сразу авто загрузку прожкой типа AnVir Task Manager или подобной... любая загрузка через реестр пустой звук если файла нет, а тем более нормальные программы проверки автозагрузки чистят и реестр против такой заразки... к чему тратить 40 минут, когда это можно сделать за пару минут... Прописка в ослика виде скрипта легко лечится, чуть труднее бороться с подменой системного файла (но в таком случае антивирус может среагировать) и поэтому, зачастую, рэкетиры делают проще, при запуске "заразной" программки создается файлик например services.exe и копируется в не родную но в системную папку(чтобы труднее было понять...) т.е. зачастую все эти программы смс рэкета являются по сути шуточными программами, вот почему на них не реагируют антивирусы...

а, ну да, точно, это шутка такая, хер на весь десктоп, поверх всех окон, блокировка запуска всех выполняемых фалов, размещение по центру всех запущенных программ , прямяком позади банера ... вот тока где смеятся не написанно ...

переустановка компа конструктора со всем софтом это от трех часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

последние модификации не так глупы как кажется ... попав на комп, троян, не будучи обнаруженным АВ (это же шутка, как считают некоторые) скачивает себя с р2р сети, организованной этим жа трояном, с каждым разом он становится все злее, боротся с ним становится все интереснее, дома меня ждет еще один "больной", жду встречи с нетерпением )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cel
Привет.

Имею полезный опыт, думаю будет интересно всем.

Итак, имеем виндовс ХР зараженый смс вымогателем.

для его уничтожения нужен:

1. не зараженный комп, дистриб

2. загрузочный диск, типо Winternals

3. флешка

4. прога starter , установленная на живом компе

5. свежий combofix

И так приступаем:

1. с незараженного компа копируем explorer.exe на флешку и установленную прогу starter

2. грузимся с лайвЦД

3. переименовываем explorer.exe в explore.exe, тот что на флешке

4. копируем explore.exe в windows, копируем starter на зараженный комп.

5. на лайвЦД должен быть редактор реестра, редактируем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell, удаляем чего там есть, прописываем наш explore.exe

6.перегружаем

7.после подмены експлорера у меня окно вымогателя не появляется, но нормальная работа компа еще не возможна

8. запускаем starter, у него есть закладка с процессами, убиваем ВСЕ процессы, которые дает убить система

9.пробуем запустить combofix, если стартует, читаем что он пишет и строго выполняем

10. приходит счастье

апосля чистим хвосты AVZ и прочими прихватами

общее время 40 минут

ЗЫ таким способом вычистил уже два компа

ЗЫЗЫ стоит SEP с последними апдейта, тяму у него не хвыатает противостоять такой заразе .... Буду честным до конца, ни у кого не хватает ...

Да я за такое время венду перебью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×