SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Технологии > Интернет и сети
Важная информация

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Winlock и компания. СМС-вымогатели как самостоятельные вирусы
Старый Добавлено: 01.01.2010, 22:04
  (#1)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию Winlock и компания. СМС-вымогатели как самостоятельные вирусы

Комментарий модератора
Фдуч:
Здесь обсуждается борьба с самостоятельными, не привязанными к браузерам вирусами, которые просят деньги через СМС. Старые вариант - т.н. "порноинформер" - жил в надстройках или скриптах браузера


Ребята, у меня полный ахтунг. Сегодня включаю комп, появляется порнушный баннер розового цвет и говорит, мол отправь смс, и он уберётся.

Я и авирой проверял и аутпостом. Портавными курейт и авз. Ничто его не видит. Он не даёт открыть диспетчер задач и даже мозиллу и експлорер. Но я посмотрел через аутпост, появился новый процесс svcnost.exe. Что это может быть как убрать ? В реестре в винлогоне убрал этот свцност.экзе. Но баннер как был так и есть.

Что за вирус, хэлп ?

Сервис деактивации вымогателей-блокеров

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Для мобильных телефонов
[Ссылки могут видеть только зарегистрированные пользователи. ]

Комментарий модератора
Фдуч:
Важно!
Разблокировка кодом СМС не приводит к удалению заражения!
После разблокировки - обязательная проверка антивирусными утилитами со свежими базами, и очень желательно с загрузочного CD-DVD диска.


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось Фдуч; 09.04.2010 в 06:33..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
BadDogg (07.02.2010)
Старый Добавлено: 04.01.2010, 22:37
  (#61)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

kiril1992, отредактируйте свое сообщение, используйте вложение или ссылку.

Добавлено через 41 минуту
Код:
C:\Users\Гарик\tetatet\tetatet.exe
Этот файл известен? Если нет, удалите.

Выполните скрипт в AVZ (либо в AVPTool):
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\m3SrchMn.exe','');
 QuarantineFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL','');
 QuarantineFile('C:\Program Files\MyWebSearch\bar\3.bin\M3OUTLCN.DLL','');
 DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
 DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
 DeleteFileMask('C:\Program Files\MyWebSearch\', '*.*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar Search Scope Monitor');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Если проблемы остаются, повторите лог.

Добавлено через 14 минут
И ещё: посмотрите файл
Код:
C:\Windows\system32\drivers\blbdrive.sys
Если есть, проверьте на [Ссылки могут видеть только зарегистрированные пользователи. ]

Последний раз редактировалось virtuOS; 04.01.2010 в 22:54..
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Старый Добавлено: 04.01.2010, 22:40
  (#62)
dima4o
Супер-модератор
Супер-модератор
 
Аватар для dima4o

По умолчанию

И антивирус не мешало бы обновить
Цитата:
Сообщение от kiril1992 Посмотреть сообщение
Attention !!! Database was last updated 21.08.2009 it is necessary to update the database (via File - Database update)




Штирлиц, проходя по переулку заметил, как маляр закрашивал матерные слова на заборе.
- "Модератор" - подумал Штирлиц.
dima4o вне форума Отправить личное сообщение для dima4o
Вверх
Ответить с цитированием
Старый Добавлено: 07.01.2010, 19:55
  (#63)
kiril1992
Гость
 
Аватар для kiril1992

По умолчанию

Ребята извините, что молчал -небыло интернета и с компьютером были проблемы-питания не было. Огромное спасибо всем за помощь ! ! !
Attention !!! Database was last updated 21.08.2009 it is necessary to update the database (via File - Database update)
Лог:
AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 04.01.2010 13:03:13
Database loaded: signatures - 237871, NN profile(s) - 2, malware removal microprograms - 56, signature database released 21.08.2009 14:23
Heuristic microprograms loaded: 374
PVS microprograms loaded: 9
Digital signatures of system files loaded: 135524
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=137B00)
Kernel ntkrnlpa.exe found in memory at address 82239000
SDT = 82370B00
KiST = 822E582C (391)
Function NtAlertResumeThread (0D) intercepted (824CBF0D->87499100), hook not defined
Function NtAlertThread (0E) intercepted (82444E01->874991C0), hook not defined
Function NtAllocateVirtualMemory (12) intercepted (82480F19->87491290), hook not defined
Function NtConnectPort (36) intercepted (82406AA7->873AC1E8), hook not defined
Function NtCreateMutant (43) intercepted (824593AC->87498E40), hook not defined
Function NtCreateThread (4E) intercepted (824CA580->874921E0), hook not defined
Function NtFreeVirtualMemory (93) intercepted (822BDF3F->874910F0), hook not defined
Function NtImpersonateAnonymousToken (9C) intercepted (823F3EBE->87498F10), hook not defined
Function NtImpersonateThread (9E) intercepted (824094C0->87498FD0), hook not defined
Function NtMapViewOfSection (B1) intercepted (82449446->87498008), hook not defined
Function NtOpenEvent (B8) intercepted (824329E7->87498D80), hook not defined
Function NtOpenProcessToken (C3) intercepted (8243A5F8->87491008), hook not defined
Function NtOpenThreadToken (CA) intercepted (82454E48->874981C8), hook not defined
Function NtProtectVirtualMemory (D2) intercepted (82452E7D->8CA052F0), hook C:\Windows\system32\drivers\wpsdrvnt.sys, driver recognized as trusted
Function NtQueryDefaultLocale (D8) intercepted (8240A0EA->8FABA880), hook C:\Windows\SYSTEM32\Drivers\SysPlant.sys, driver recognized as trusted
Function NtResumeThread (11A) intercepted (824546E5->874DEE40), hook not defined
Function NtSetContextThread (121) intercepted (824CB253->87498108), hook not defined
Function NtSetInformationProcess (131) intercepted (8244D474->87498298), hook not defined
Function NtSetInformationThread (132) intercepted (82431EC5->87499008), hook not defined
Function NtSuspendProcess (14A) intercepted (824CBE47->87498CC0), hook not defined
Function NtSuspendThread (14B) intercepted (823D3929->874992C8), hook not defined
Function NtTerminateProcess (14E) intercepted (82429D5D->873BADA8), hook not defined
Function NtTerminateThread (14F) intercepted (824550CF->87499388), hook not defined
Function NtUnmapViewOfSection (15C) intercepted (82449709->87498368), hook not defined
Function NtWriteVirtualMemory (166) intercepted (824464D9->874911C0), hook not defined
Function NtCreateUserProcess (17F) intercepted (82402B82->8FABA7D0), hook C:\Windows\SYSTEM32\Drivers\SysPlant.sys, driver recognized as trusted
Functions checked: 391, intercepted: 26, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking IRP handlers
Checking - complete
2. Scanning RAM
Number of processes found: 72
Number of modules loaded: 625
Scanning RAM - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
>>> C:\Program Files\MyWebSearch\bar\3.bin\M3OUTLCN.DLL HSC: suspicion for Spy.MyWebSearch (high degree of probability)
>>> C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL HSC: suspicion for Spy.MyWebSearch
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 697, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 04.01.2010 13:03:39
Time of scanning: 00:00:28
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address [Ссылки могут видеть только зарегистрированные пользователи. ] conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress


Script commands

Add commands to script:

* Blocking hooks using Anti-Rootkit
* Enable AVZGuard
* Operations with AVZPM (true=enable,false=disable)
* BootCleaner - import list of deleted files
* Remove traces of deleted files
* BootCleaner - activate
* Reboot
* Insert template for QuarantineFile() - quarantining a file
* Insert template for BC_QrFile() - quarantining file via BootCleaner
* Insert template for DeleteFile() - deleting a file
* Insert template for DelCLSID() - removing a CLSID item from registry

Additional operations:

* Performance tweaking: disable service TermService (@%SystemRoot%\System32\termsrv.dll,-268)
* Performance tweaking: disable service SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
* Performance tweaking: disable service Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
* Security tweaking: disable CD autorun
* Security tweaking: disable administrative shares
* Security tweaking: disable anonymous user access
* Security: disable sending Remote Assistant queries


File list

Последний раз редактировалось NeliyZar; 07.01.2010 в 20:19..
Вверх
Ответить с цитированием
Старый Добавлено: 07.01.2010, 20:22
  (#64)
zzkk
•°•°•°•°•°•°•°
Пользователь
 
Аватар для zzkk

По умолчанию

Знакомые надавно обратились с похожей проблемой.
Меня подключили на стадии, когда банера с СМСкой на экране уже не было.
Запустил CureIt в безопасном режиме - удалил три малварки.
Поставил КИС. Вроде порядок.


.

.
•°•°•°•°•°•°•°:
ВЕЛИКАЯ БОРЬБА между добром и злом - http://samforum.org/showpost.php?p=982169&postcount=1

twitter.com/SDAblog

Последний раз редактировалось zzkk; 07.01.2010 в 20:40..
zzkk вне форума Отправить личное сообщение для zzkk
Вверх
Ответить с цитированием
Старый Добавлено: 08.01.2010, 11:06
  (#65)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

kiril1992, если проблемы остались, повторите стандартный скрипт №3 в AVZ. Ваш последний лог бесполезен.
И более точно опишите проблемы с запуском браузеров - непонятно.
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Старый Добавлено: 08.01.2010, 13:09
  (#66)
Фдуч
Модератор
Модератор
 
Аватар для Фдуч

По умолчанию

kiril1992
Цитата:
Сообщение от kiril1992 Посмотреть сообщение
Attention !!! Database was last updated 21.08.2009 it is necessary to update the database (via File - Database update)

, - это вам антивирус или AVZ сообщает? В любом случае, обновление необходимо.


Нам, лентяям, недоступно
Наслажденье битвой жизни
Фдуч вне форума Отправить личное сообщение для Фдуч
Вверх
Ответить с цитированием
Старый Добавлено: 15.01.2010, 10:57
  (#67)
savasuk
Наблюдающий
Пользователь
 
Аватар для savasuk

По умолчанию

Запусти Autoruns от М.Русиновича,удали баннер из автозагрузки и его дерево,если не исчез то перезагрузись и о чудо.На всякий случай проверь ИЕ (Надстройки).
P.S.Не забудь дать поиск файла баннера хотя бы по диску С: и удали .exe файл.Мне повезло-у меня НОД сразу его изолировал и пишет Win32/LockScreen.ET троянская прога,а соседу не повезло,пришлось помогать.

Последний раз редактировалось savasuk; 15.01.2010 в 11:08..
savasuk вне форума Отправить личное сообщение для savasuk
Вверх
Ответить с цитированием
Старый Добавлено: 16.01.2010, 12:08
  (#68)
karsaz
Гость
 
Аватар для karsaz

По умолчанию

прога для удаления информеров(банеров) [Ссылки могут видеть только зарегистрированные пользователи. ]
Комментарий модератора
NeliyZar:
Не проверено.

Последний раз редактировалось NeliyZar; 16.01.2010 в 15:24..
Вверх
Ответить с цитированием
Старый Добавлено: 16.01.2010, 15:23
  (#69)
NeliyZar
♠ Bestiia ♠
Заслуженный пользователь
 
Аватар для NeliyZar

По умолчанию

karsaz, что за прога, где описание? Или туфту впариваем для заработка?


NeliyZar вне форума Отправить личное сообщение для NeliyZar
Вверх
Ответить с цитированием
Старый Добавлено: 16.01.2010, 15:25
  (#70)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

NeliyZar,
Оффтоп



У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 24.01.2010, 02:55
  (#71)
papa61
Наблюдающий
Пользователь
 
Аватар для papa61

По умолчанию

Доброго времени суток. Вчера тоже попал на информера. Испытал все советы этой ветки - безрезультатно. Обнаружил plugin.exe в автозагрузке, располагался С-Program Files и по времени совпал с инфицированием. В безопасном режиме удалил... Попустило. Ну, а дальше, CureIt. Может еще кому поможет.

Последний раз редактировалось papa61; 24.01.2010 в 03:01..
papa61 вне форума Отправить личное сообщение для papa61
Вверх
Ответить с цитированием
Старый Добавлено: 26.01.2010, 12:49
  (#72)
schta
Увлечённый
Пользователь
 
Аватар для schta

По умолчанию

"По радиву" вчера вечером слышал, что докторвеб и касперский хором заявили о миллионах компов, зараженных информерами, миллиардных прибылях мошенников и крайней необходимости не ругаться на "каспера" и "дрвеба"


schta вне форума Отправить личное сообщение для schta
Вверх
Ответить с цитированием
Старый Добавлено: 26.01.2010, 13:24
  (#73)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

Цитата:
Сообщение от schta Посмотреть сообщение
вчера вечером слышал, что докторвеб и касперский хором заявили о миллионах компов, зараженных информерами

Компов действительно много (убедился на личном опыте), и не только Каспер с ДрВебом не могут отдетектить новые модификации ВинЛокера.


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
a_lexx (26.01.2010)
Старый Добавлено: 26.01.2010, 19:57
  (#74)
Mirazh
Пользователь
Пользователь
 
Аватар для Mirazh

По умолчанию

наткнулся на новинку от писателей такого софта
программка блокирует любые действия пользователя лишь как только обнаруживается интернет соединение. Загружаемый контент понравился
Apache (полный набор), Radmin (добавление пользователя для доступа), утилитка которая отправляет на ящики в yandex и rambler ip компа.

Удаляется это всё чудо в сэйф моде (если кто то попался). испорчены userinit в реестре, в папке С: program files Nvidia можно будет найти апач настроенный. мусор чистим в Temp файлах пользователя и default user, local setting обязательно смотрим файлы с рандомным именем и расширением exe удаляем. в директории C: удаляем архивчики с radmin (если хотите рискнуть можете посмотреть winrar или другим самораспаковываемый архив, там же будут ящики куда отсылается ip). В директории системного диска (может быть не только) будут присутствовать дополнительные якобы корзины. папки с именами похожими на такое [S-1-5-21-2521835513-222222222222-1111111111] будте бдительны один из них точно ваша корзина не промахнитесь (при чистой козине внутри папки лежит файл desktop.ini и ни каких исполняемых файлов) дальше чистимся антивирусом под безопасным режимом или в обычном не запскаем интернет и браузеры. лечил КИСом вирусок назывался palevo


Хорошо жить Хорошо... А хорошо жить еще лучше
Siemens Был. Siemens Жив. Siemens Будет Жить
иногда надо вернуться
Mirazh вне форума Отправить личное сообщение для Mirazh
Вверх
Ответить с цитированием
Старый Добавлено: 27.01.2010, 00:58
  (#75)
bond01
Осваивается
Пользователь
 
Аватар для bond01

По умолчанию

В новой версии Total Comandera, сейчас есть хорошая утилита. Спасибо SamLabu, что ее добавил.
bond01 вне форума Отправить личное сообщение для bond01
Вверх
Ответить с цитированием
Старый Добавлено: 27.01.2010, 01:29
  (#76)
NeliyZar
♠ Bestiia ♠
Заслуженный пользователь
 
Аватар для NeliyZar

По умолчанию

bond01,
Цитата:
Сообщение от bond01 Посмотреть сообщение
В новой версии Total Comandera, сейчас есть хорошая утилита.

познакомьтесь с автором http://samforum.org/showthread.php?t=26229


NeliyZar вне форума Отправить личное сообщение для NeliyZar
Вверх
Ответить с цитированием
Старый Добавлено: 28.01.2010, 11:18
  (#77)
Mirazh
Пользователь
Пользователь
 
Аватар для Mirazh

По умолчанию

еще один сервис [Ссылки могут видеть только зарегистрированные пользователи. ]. в этот раз от Eset


Хорошо жить Хорошо... А хорошо жить еще лучше
Siemens Был. Siemens Жив. Siemens Будет Жить
иногда надо вернуться
Mirazh вне форума Отправить личное сообщение для Mirazh
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
Фдуч (28.01.2010)
Старый Добавлено: 28.01.2010, 13:24
  (#78)
Bruce
Заблокирован
Заблокирован
 
Аватар для Bruce

По умолчанию

А где цепляется эта штуковина? Какие способы распостранения?
Bruce вне форума
Вверх
Ответить с цитированием
Старый Добавлено: 28.01.2010, 13:32
  (#79)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

Bruce, чаще всего на сайтах "сомнительного содержания", а также через попап окна рекламы на других ресурсах. Всю рекламу, размещаемую на сайте, не все контролируют.
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Старый Добавлено: 28.01.2010, 13:41
  (#80)
Фдуч
Модератор
Модератор
 
Аватар для Фдуч

По умолчанию

Bruce, если вам для просмотра предлагают спецвидео скачать кодек, или клиент для доступа ко контенту - с немалой долей вероятности это вариант Winlock'а
Если посещённый вами сайт говорит, что у вас немеряно вирусов и тут же предлагает скачать какой-то беспородный антивирус - весьма вероятно то же самое - Winlock


Нам, лентяям, недоступно
Наслажденье битвой жизни
Фдуч вне форума Отправить личное сообщение для Фдуч
Вверх
Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Реклама



Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot

Время генерации страницы 5.28848 секунды с 46 запросами