Ужоснах! Вляпался...Троян просит отправить смс.

[А_Иваныч]

Короче, сегодня получаю от, скажем так, знакомого (изредка общаемся по одной он-лайн игрухе) по аське ссыль и подпись "посмотри, не сильно видно что фотошопом обработано?"

Ничтоже сумняшеся (ну не била судьба ещё:002 кликаю. Там стандартное окошко: " файл бла-бла-бла. jpg Открыть-сохранить-отмена"
Жмякаю (вот где дурак, а?) "Открыть", пару секунд созерцаю эрофото, потом получаю синий экран, много всего там понаписано, суть такая - пошлите смс на номер 6005, стоимость 10 рублей без ндс, полученный код введите в окошко, ну и курсор в окошке... Слабо веря попробовал перезагрузится - естественно, что после перезагрузки увидел тот же самый синий экран. В безопасном режиме войти не получалось - сбрасывало снова на обычный, и снова синий экран... Вот, только закончил ставить основные проги после сноса винды...
Помимо предупреждения (хотя слабо верю, что на этом сайте ещё есть оригиналы кроме меня, которые могли так глупо вляпаться), сей пост несет ещё один вопрос - были ли ещё выходы, кроме сноса винды?

ЗЫ... и как бы ещё выяснить - у него аську ломанули, или это было сознательно послано?

 

[fast]

Короче, сегодня получаю от...

В принципе можно было и использовать другой метод прогнать диск на наличие вируса примерное поведение зловреда обсуждали здесь http://www.crack-forum.ru/showthread.php?t=15380&page=2
А антивирус установлен какой?
в ПМ можно скинуть сылку на это счастье

 

[And1977]

Снос системы

я то вообше подругому делаю, даже хоть не вирус, да или просто реестр весь в мусаре, или чегото тупить стала, - тоже сношу но весь процесс занимает гдето до 7 минут

Вообщем так с помощью акроникс - делаешь образ системы, и получается что установка проходит 7 минут, + программы все наместе если в папке программ фалы, если же программы ставишь на другой то делаешь образ системного диска и диска с установленными программами

Кратко win XP устанавливается объемом 40 GB с имеющими прогами от 5-до 7 , win 7 - больше гдето около 10-12 и опять погнали,:bud:

Одно плохо если образ системы и прог на венике и он рухнул тогда бяда - бяда, после того как рухнул у меня веник, держу образ на флешке,
образ всего 7 GB, а из образа назад получается 26 GB, система плюс проги

Попробуй может понравится, мне да 7 минут и все наместе, можно еще и другими прогами, например нортон партишек, и т.д

 

[slesh]

напиши тут код который просят отослать и номер короткий на сайте дрвеба глянем пришлем ответ что вписать и вирус отпустит

 

[Kabal]

ЗЫ... и как бы ещё выяснить - у него аську ломанули, или это было сознательно послано?

Для таких вещей как правило используют чужие аськи. Только дебил может своим знакомым подкладывать свенью....хотя на Русси дураков лет на 100 припасено.

А у тебя еще средства связи с ним есть, кроме как по Аське? По Аське смысла нет связыватся, так как если ломанули , то ты сам понимаешь. Может через игруху с ним можешь пообщатся... только на прямую не надо спрашивать.. типа "ты мне жопу подогнал" можно просто спросить "чето тебя давно в аське не видно". Ну и т.п. косвенные вопросы.. по которым можно делать выводы.. хотя лучше не парится и забить на него. Что бы не разочаровыватся.

 

[Andrey]

То же подобное недавно было-писал. Только от меня летело, причем и ночью тоже(хотя комп был выключен.) Ну думаю все-угнали асю. Оказалось только попользовали-сменил пароль и все вроде нормально, а то по приходу на работу получил кучу постов от знакомых-мол, что за ерунду отправляешь.

 

[fast]

Немного информация по подобным зловредам попадалась в инете так что привожу как есть:
Вирус из серии вымогателей денег (например, “отправьте смс с текстом k205114000 на номер 4460″). Сама программа выглядит как окно проверки на вирусы с текстом вверху “Внимание! eKav antivirus обнаружил вредоносное ПО на вашем компьютере”
1. Берём текст, который нам предлагают выслать в теле смс. Например, k205114000
2. Меняем первую букву k на цифру, стоящую после этой буквы. В нашем примере это цифра 2. В итоге код будет 2205114000
3. Добавляем к каждой цифре кода число 2. То, что получилось, записываем в ряд. При этом, если после добавления “двойки” получается 10, то записываем 1, если 11, то записываем 2.
В нашем примере имеем новый код 4427336222
4. Полученный код пробуем ввести в окошко для ввода кода. Если подошёл – вы это увидите сразу, так как окошко исчезнет и после перезагрузки всё заработает.
5. Если код из п. 4 не подошёл, то к каждой цифре этого кода добавляем 1 и полученные цифры записываем в ряд. Если после добавления получается 10, то записываем 1.
В нашем примере это будет код 5538447333
6. Переходим к пункту 4.
Обратите внимание – в полученных кодах НЕ должно быть ни одной цифры 0.
Всего различных комбинаций 10.
Например, для кода k204114100 у меня подошла лишь 5-я комбинация – 8861771766
Не забудьте после успешного ввода кода перезагрузиться. Затем обновите антивирус или скачайте бесплатный антивирусный сканер по ссылке http://www.freedrweb.com/cureit/ Затем проведите полное (в крайнем случае быстрое) сканирование компьютера на вирусы.
Для тех, кто совсем немощный в математике, есть генератор подбора кода
Только он немного кривоватый, выдаёт не все комбинации, точнее, одна из комбинаций НЕ видна, чтобы её увидеть надо ползунок верх подтянуть.
http://files.mail.ru/15CNRR

и еше немного:
По данным смс на номер 6005 стоит ≈177 руб.
По сообщениям пользователей ≈300.75 руб.
Попробуйте код 5251723 или 10312111 или 52849190
если неполучается:
Windows заблокирован. Для разблокировки просит отправить смс на номер 6005. Что делать?
Поэтапно: 1)ctrl+alt+delete 2)диспетчер устройств, 3) новая задача, 4)ехрlorer, 5) выполнить, 6)regedit? 7)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe Там будет
Userinit = C:\WINDOWS\Help\hpl.exe - если не вылечил
И поправь на
Userinit = C:\WINDOWS\system32\userinit.exe
дальше по обстоятельствам разберёшся....
а) Заходим в меню Пуск – Выполнить, в открывшемся окошке прописываем строчку %SYSTEMROOT%\system32\drivers\etc\hosts (просто скопируйте отсюда) – далее Выбор программы – выбираем Блокнот. (если не получается, пребываем проделать тоже самое в Безопасном режиме)
б) В открытом документе просматриваем, есть ли в тексте упоминание о сайте vkontakte.ru (вконтакте ру). Если есть, удаляем такие строчки.
в) Открываем поиск и водим имя фаила vkontakte.exe. Дополнительные параметры, поиск в скрытых фаилах и папках, а так же поиск в системных папках. Выполняем поиск по всем папкам и дискам компьютера. Найденный фаил vkontakte.exe – удалям.
г) Проверяем весь компьютер антивирусами, желательно скачать Dr.Web CureIt – антивирусный сканер, он точно отыщет всё лишнее.
д) Меняем входной пароль на сайт Вконтакте. И радуемся жизни.
ipsyedinmk.ru

 

[avary]

Поступила следующая информация
Есть такая утилитка Combofix - восстанавливает как я понял критические системные файлы и ключи реестра не переустанавливая(!!!) при этом винду!

Combofix может удалять файлы, записи реестра, которые были созданы вредоносными программами. Такими как трояны, черви, спайваре. Эта программа имеет два режима: автоматический и ручной. В первом режиме вам нужно просто ее запустить, программа просканирует ваш компьютер и удалит найденное спайваре. Во втором режиме программе нужно передать специальным образом составленный файл, в котором задаются специфические действия, такие как, удаление файлов, удаление каталогов, удаление сервисов и драйверов и многое другое. По результатам выполнения программы в первом и втором случае будет сгенерирован лог файл по которому в дальнейшем можно провести анализ, заражён компьютер или нет.

Подробнее ТУТ
Сам протестить пока что не успел!
Но есть мнение что сама идея проги хорошая и должно хорошо помогать!

 

[Andrey]

Поставил-запустил. Не понятно, что и где чистит программа, но инет и сеть она мне отрубила-пришлось восстанавливать. Ни одного русского слова я в ней не нашел-поэтому крайне не рекомендую новичкам. Я не знаю как она проявит себя на других машинах и что еще вылезет на моей, поэтому рекомендую создать точку восстановления системы, чтобы потом откатиться можно было.

Добавлено через 7 часов 5 минут
добавка к ответу-софтина снесла The Bat и RAdmin -пришлось восстанавливать. Короче очень осторожно с нелицензионным софтом.

 

[Finist3]

Загружаешься с любого live-cd и в реестре в автозагрузке удаляеш все лишнее. короч без переустановки данную проблему точно можно было решить

А вот и не точно. Есть информеры, которые портят файлы для корректной работы ОС безвозвратно, Хотя в боьшинствк случаев -конечно можно почистить реестр. Есть информеры которые сажаются как драйвера устройств и антивирусами вроде NOD,WEB, KIS не детектирутся.

 

[avary]

Есть информеры которые сажаются как драйвера устройств и антивирусами вроде NOD,WEB, KIS не детектирутся.

так и есть!
после лечения винда бывает ругается - найдено неизвестное устройство....
нужно дать ей поставить это устройство (оно будет с восклицательным знаком в диспетчере устройств). А затем просто удалить его из диспетчера (удаление устройства)
обычно в дальнейшем не беспокоит.

 

[Finist3]

так и есть!
после лечения винда бывает ругается - найдено неизвестное устройство....
нужно дать ей поставить это устройство (оно будет с восклицательным знаком в диспетчере устройств). А затем просто удалить его из диспетчера (удаление устройства)
обычно в дальнейшем не беспокоит.

Вообще-то уж если драйвер "дает о себе знать" , то вполне вероятно его появление и в дальнейшем, например, при проверке установленных устройств в диспетчере оборудования. Хотя в большинстве случаев такие устройства не проявляются в системе, по крайней мере не встречала, но вполне верю что такое может быть.
Есть более изящное решение - смотрится через OSAM подгружаемые драйвера - и удаляются "левые". В программке есть одна интересная фича (устанавливается вручную) - удаление не только таких драйверов, но связанных с ним объектов.

есть такая проблема. запускаеш любой браузер и сразу переходит на вирусованый сайт и любые другие не работают. как избавиться от этого вируса. каспер не находит его.

Чистим кеш браузеров, чистим реестр - возможно ссылка прописана напрямую там - тогда ее можно найти простым поиском. Смотрим секцию Winlogon. Чистим временные папки, файлы и прочее. Используем OSAM. Можно проверить HOST системы, но туда вирусы редко записыватся.

Сcылка на сайт разработчика - здесь.

 

[avary]

Finist3 при всем уважении !
ни разу заморочек не возникало после убийства "устройсва" якобы...
остаются INF. ФАЙлы которые в данный момент, когда лжедрова изничтожены на систему не влияют, и вирусами не являтся
ну и пусть будут...
конечно переустановка винды все решает, но это не мой путь.

 

[Finist3]

Finist3 при всем уважении !
ни разу заморочек не возникало после убийства "устройсва" якобы...
остаются INF. ФАЙлы которые в данный момент, когда лжедрова изничтожены на систему не влияют, и вирусами не являтся
ну и пусть будут...
конечно переустановка винды все решает, но это не мой путь.

Да нет - совсем не против такого способа решения, тем более вирусов, которые устанавливаются как неизвестное устройство в диспетчере оборудования - не встречала. Высказала некоторое общее ощущение ситуации. В целом мы показали разные способов подхода к данному моменту, в результате - копилка знаний стала больше.Тем более - вирусы могут быть совершенно разные, так что гарантий ни при одном из способов дать нельзя, например - драйвер может развертываться из какого-нибудь загружаемого файла. Да и вообще - если способов возможных решений будет больше - тем будет проще сориентироваться в сложной ситуации.

 

[Finist3]

Привет
Сталкивался с такими штуками.
Самое верное средство загрузиться с DVD с Windows-portable
из папки System Volume Information скопировать копии реестра
в C:\WINDOWS\system32\config и все!

Не пойдет такой вариант, во-первых - в папке могут быть уже "плохие" копии, во-вторых - если на ПК уже устанавливались программы, да и ряд вирусов могут идти не из реестра, а из подмененных файлов системных процессов и различных dll. Много есть и всякой другой кракозябры -например, данные вирусные файлы маскируются под системные с соответсвующими характеристиками и хорошо скрытые - поиском не обнаруживаются и увидеть их можно только загрузив ПК с другой ОС, например, с того же DVD.
Собственно - Ваше сообщение не несет ничего нового, да уж ладно....

 

[Alexandr-IP]

Мне на лечение привезли машину с информером в виде окошка IE где написано что нужно отправить деньги не через СМС, а через платежный терминал. Указан номер счета и сумма. Заверялось, что при заполнении формы платежа надо будет указать "ваш номер телефона для получения вами кода разблокировки". Самое интересное, что ни один антивирь ничего на этом винте не нашел. Подключал к 3 машинам и лечил Др.Вебом. Касперским WKS. Пандой. Безопасный режим заблокирован. Диспетчер заблокирован. Разрешение экрана не меняется. В информере написано что данные будут уничтожены на винте в случае попытки нелегального снятия данной пакости. При этом винт постоянно работал. Точек восстановления нет почти (есть одна за сутки до попадания машины ко мне, но уже с этой заразой, т.к. машина в нете эту хрень выхватила неделю назад).
Удаление IE c винта результата не дало. Информер не в IE подживлен был, а выполнял точную имитацию внешнего вида IE.
Как не парадоксально, но при попытке системного отката ось восстановлена не была. Откат делал с помощью ERD Commandera. А после перезагрузки информер ушел. При этом пришлось восстанавливать инденксные файлы NTFS.
Файлик информера я позже ручками нашел. porno_video4353.avi.exe 129 Кб. Лежал в Programm Files\Download Master\

Так что может кому инфа поможет....

 

[avary]

повторюсь, но по-моему не лишне.
первым делом автозапуск - через любой livecd есть выход к реестру.
вторым восстановление системы (менеджер задач, редактор реестра и тд) лучше avz (z-oleg.com) пока для этого дела не встречал.
третьим убить содержимое папок
document and setting\local setting\temp\
windows\temp\
временные файлы браузера (путь зависит от браузера)

думаю написать подробну статью по этой теме, где постараюсь раскрыть "подводные камни" на следующей неделе ждите...

 

[Finist3]

Получается антивирусы не видят этти трояны при открытии? Кстати, какой антивирь больше защищен от этого? Нод или Каспер?

Никакой. Антивирусы работают только с уже известными вирусами, эвристический анализ не панацея. Хорошее решенение предлагает антивирус Зайцева (AVZ), котрый формирует что-то вроде контрольного значения системных файлов ( точно не помню) и таким образом позволяет
хорошо отслеживать такие моменты. Но использовать его надо до заражения - потом уже не имеет смысла...
Как-то был случай, что не NOD ни KIS не могли справиться с данной проблемой и только ничем не выдающийся Avast сумел добить "бяку". Но там был особый случай -после удаления информера Windows вставал "в ступор" и зависал при загрузке рабочего стола в обыкновенном режиме. Хотя это был единственный случай когда Avast оказался на высоте.

Вы так спрашиваете, наверное, потому что еще не сталкивались с вирусами, которые после удаления - "прибивают" учетные записи пользователей. По факту - понацеи нет. Наиболее оптимальным вариантом остается создание учетной записи пользователя с ограниченными правами, вход в ОС с ее помощью, и проведение установок различных программ и других задач, требующих доступа к реестру, к папке Windows, Documenst Setting и др. в этой записи с правами администратора (правый клик по ярлыку запуска программы и там будет эта опция).

 

[avary]

Альтернативный запуск новой задачи на блокированном компе!

Столкнулся с такой проблемой:

после лечения (при загрузке через liveCD)
пропал рабочий стол, отключен диспетчер и вообще все что можно отключить...(это уже при загрузке с винта.)
новую задачу запустить нет возможности.
понимаю, что AVZ запущенный из-под системы решил бы эту проблему, но запустить то его никак!!!

Выход:
1. Прописать AVZ в автозагрузку в реестре из под liveCD

2. Более простой, которым я и воспользовался:
клавиши (Windows)+U
(Windows) это кнопочка с флагом между CTRL и ALT

запустится диспетчер служебных программ
нажать "СПРАВКА"

Вылезет справка.
Если кликнуть по самой верхней надписи "Диспетчер служебных программ" правой мышью откроется контекстное меню, где будет пункт "Перейти по адресу (URL)..."
загоняем туда полный путь до нужной проги!
В моем случае это был C:\avz4\avz.exe
после запуска функционала восстановление системы все отлично заработало!:clap_1:

Если не знаете где лежит программа обзор диска можно оформить через "печать-установка принтера - я сам поставлю драйвера - обзор"

 

[Alexandr-IP]

ссылка не работает!

http://support.kaspersky.ru/viruses/deblocker

это уже на сайте касперыча. там же подробная инфа и готовые рецепты.