SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Технологии > Интернет и сети
Важная информация

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Winlock и компания. СМС-вымогатели как самостоятельные вирусы
Старый Добавлено: 01.01.2010, 22:04
  (#1)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию Winlock и компания. СМС-вымогатели как самостоятельные вирусы

Комментарий модератора
Фдуч:
Здесь обсуждается борьба с самостоятельными, не привязанными к браузерам вирусами, которые просят деньги через СМС. Старые вариант - т.н. "порноинформер" - жил в надстройках или скриптах браузера


Ребята, у меня полный ахтунг. Сегодня включаю комп, появляется порнушный баннер розового цвет и говорит, мол отправь смс, и он уберётся.

Я и авирой проверял и аутпостом. Портавными курейт и авз. Ничто его не видит. Он не даёт открыть диспетчер задач и даже мозиллу и експлорер. Но я посмотрел через аутпост, появился новый процесс svcnost.exe. Что это может быть как убрать ? В реестре в винлогоне убрал этот свцност.экзе. Но баннер как был так и есть.

Что за вирус, хэлп ?

Сервис деактивации вымогателей-блокеров

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Для мобильных телефонов
[Ссылки могут видеть только зарегистрированные пользователи. ]

Комментарий модератора
Фдуч:
Важно!
Разблокировка кодом СМС не приводит к удалению заражения!
После разблокировки - обязательная проверка антивирусными утилитами со свежими базами, и очень желательно с загрузочного CD-DVD диска.


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось Фдуч; 09.04.2010 в 06:33..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
BadDogg (07.02.2010)
Старый Добавлено: 02.01.2010, 00:54
  (#21)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

ALTi, я не могу это сделать, я в безопасном режиме...

Может быть есть какой то способ проще ?

Добавлено через 2 минуты
GBerG, может быть вы сможете помочь ? ))

И ещё мне интересно, как это Авира и Аутпост смогли пропустить этот вирь ?


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:01
  (#22)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

ну если антивири его не детектят - то лучше всего зарегистрироваться там, или, как крайний вариант, переустановить Винду, если уж на форуме Др.Веба не помогут - то мало кто поможет...


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:04
  (#23)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

ALTi, я не могу cure it запустить в норм. режиме, эта табличка мешает. А в безопасном запускаю, но он ничего не находит.


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:07
  (#24)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

регистрируйся там, и описывай свою проблему, там всё подробно объяснят.


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 01:14
  (#25)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Самое простое в Безопасном режиме посмотри и откатись на раннюю ближнюю точку восстановления Винды до того как схватил этот баннер.
Пуск Все проги Стандартные Служебные Восстановление системы.


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 01:23
  (#26)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

GBerG, я нашёл код и баннер убрался. Теперь что получается этот вирус ушёл или как ? Нужно обратно откатываться ?


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:26
  (#27)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

Обязательно надо проверить машину разными антивирусами.


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:28
  (#28)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

ALTi, всё, что мне дали в постах выше avz kaspersky cure it и моя авира я проверил удалил с компа все кряки и кейгены, ничего не пожалел но именно этот вирус ни кто не нашёл...


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:31
  (#29)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Цитата:
Теперь что получается этот вирус ушёл или как ? Нужно обратно откатываться ?

Нет, если убрал баннер, то откатыватся не надо. Ищи что запускало его.
Пароцесс ты мог найти только тогда когда баннер стартовал и показывался. Сейчас ищи где находятся его запускающие файлы и где он прописался.
Используй Всё утилитой Зайцева пройдись AVZ.


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 01:34
  (#30)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

GBerG, я проходил уже, но она тоже ничего не нашла. А куда она логи складывает ? Виртуоз говорил покажи логи.


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 01:43
  (#31)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

OsGooD,
В avz сознательно не включаются все новинки, ЛК не хочет, чтобы зловреды "затачивались" против ее продуктов.
Логи avz и gmer если можно приложите, разберемся.
PS агнитум скорее всего пропустил из за мягких настроек, каспер - из за того что зловреда еще нет в базах.
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 01:45
  (#32)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Цитата:
А куда она логи складывает ?

В папку где распакована. если не указал другое место


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 01:48
  (#33)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

SAlexB, так уже 10 дней со дня упоминания этого вируса прошло.

Логи приложу.

А Авира почему пропустила ?

Может в Агнитуме поставить режим блокировки ?


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 02:07
  (#34)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Это новый вирус который постоянно модифицируют и многие антивирусы его не видят или считают безопасным баннером.
На будущее - знай все свои процессы на компе. Файлы которые их запускают. При возникновении нового процесса - задумывайся и разбирайся.


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 02:11
  (#35)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

GBerG, горе мне... )) Как же всё запомнить то ?

Вот лог авз кстати
Вложения
Тип файла: txt avz_log.txt (13.9 Кб, 9 просмотров)


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 02:55
  (#36)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Горя нет
Постепенно. Всё запомнишь и будешь знать.
У меня на компе в инете всего 25-28 процессов


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 02:58
  (#37)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

GBerG, ясно. а что с логом ? ))


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 03:18
  (#38)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Я особо логи не читаю
Вроде всё чисто. Перехватчики у тебя - Агнитум.
Рекомендации - внизу
Цитата:
8. Поиск потенциальных уязвимостей

А если хочешь провериться плотнее зайди и зарегся [Ссылки могут видеть только зарегистрированные пользователи. ]


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 04:07
  (#39)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

OsGooD,
>А Авира почему пропустила ?
Не было в базах, он запустился, а потом авира с ним мало что сможет сделать...
>Может в Агнитуме поставить режим блокировки ?
Навряд ли вирь так уж легко оперирует окнами запросов агнитума, скорее всего режим блокировки тут не поможет.
Это не тот лог, нужен лог лечения, скрипт 3.
C:\Documents and Settings\Admin\Local Settings\Temp\drw00000.tmp это что?
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 13:06
  (#40)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

SAlexB, а где этот лог ? В корне проги я такого не нашёл.


Цитата:
Сообщение от SAlexB Посмотреть сообщение
C:\Documents and Settings\Admin\Local Settings\Temp\drw00000.tmp это что?

Я не знаю.


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Реклама



Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot

Время генерации страницы 5.33589 секунды с 38 запросами