Доброго времени суток Дорогие експерты вот решил поделится инфой по поводу новой модификации троянвинлока который блокирует клиентские копмы в больших количествах -короче теперь троянец просит прислать смс на конкретный номер и Бугуга пишет что код разблокировки вы найдете на чеке терминала!!!!!Вобщем сервисы деактивации о нём всё знают но коды с 4х сайтов антивирусов- каспера, вебера, вирусинфо и нод 32 неподходят ни как!В безопасном режиме не дает грузится та жэ картинка !Диспетчер задач конечно не пашет!!Лечил из под лайвсиди 2 раза 1й раз нашёл 4 вируса в папке систем 32 но табличка непропала!второй раз глубокой проверкой доктор веб кюреит нащёл 2 файлика с расширением темп в C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache обычно они гады там и сидят и чтоб долго не искать их можно тупо удалить эту папку оперы и всё!Вобщем после 1.5 часа мучений я его удалил - чего и вам желаю!!!
Изображения
  [Ответ]

+1
У нас лежит пациент с точно такой же картинкой, правда за него ещё не брались ибо халтурка и пока некогда. Спс за путь к вирю! [Ответ]

Нет, не такой уж он и "новый". Убирается за 5 минут. Остальное лечить приходиться дольше. Обычно там ещё что-нибудь болтается. [Ответ]

Сообщение от shuri:
Нет, не такой уж он и "новый". Убирается за 5 минут. Остальное лечить приходиться дольше. Обычно там ещё что-нибудь болтается.

LiveCD Dr.WEB свежескачанный его не нашёл. Дело было почти неделю назад, с тех пор нетронутый бук лежит. Завтра посмотрим, найдёт ли его свежий Др. Веб. [Ответ]

Сообщение от ram777:
C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache

вообще-то это кэш оперы. туда попадают js, которые многие антивирусы принимают за вирусы. никакой опасности они не несут.
hklm\software\microsoft\windows nt\winlogon
там два параметра: shell и userinit
обычно они себя туда прописывают. [Ответ]

Сообщение от Катя.:
вообще-то это кэш оперы. туда попадают js, которые многие антивирусы принимают за вирусы. никакой опасности они не несут.

На самом деле, вирусня часто так и проникает на комп, прикидываясь картинками и скриптами. А при наличии уязвимостей в браузере такой вирус успешно заражает комп. [Ответ]

Сообщение от Part!zan:
А при наличии уязвимостей в браузере такой вирус успешно заражает комп.

это наверно только через ie с его activex? [Ответ]

Катя., у всех браузеров есть уязвимости. Особенно, когда их годами не обновляют. [Ответ]

Загрузка с лайв сиди, затем:
1) Поиск всех Temp папок и их очистка. Обязательно очистить кэш-папки всех браузеров.
2) Удаление Корзин со всех дисков
3) Удаление, или архивация под пароль, а затем удаление оригинала папок System Volume Information со всех дисков
4) Поиск файлов созданных за <срок от обнаружения вируса до сегодняшнего дня> и "ручной" разбор полученных данных.
5) Проверка антивирусом

Пункт 4 можно пропустить, но вот антивирусом систему проверять только после того, как будут выполнены пункты 1, 2, 3. Во-первых это уменьшит время проверки, а во-вторых увеличит вероятность уничтожения неизвестной антивирусу заразы. [Ответ]

Ну я бы добавил еще пункт N, как правильно сказал Катя. - реестр. В winlogon, в большинстве случаев, видно кто виновник. [Ответ]

Сообщение от Part!zan:
Катя., у всех браузеров есть уязвимости.

быдло-кодеры-вымогатели еще не до росли до такого уровня. этим жалким поделкам далеко до конфикеров и салити [Ответ]

Сообщение от lokil23:
быдло-кодеры-вымогатели еще не до росли до такого уровня. этим жалким поделкам далеко до конфикеров и салити

Тут все сложнее. Винлокеры, обычно, сами по себе ничего не умеют, кроме своих винлокерских пакостей. Их подгружают более другие зловреды, которые умеют проникать на комп. Найти же эксплоит в инете не проблема даже для "быдлокодеров". Понятие "скрипт-кидди" существует уже не первый год... [Ответ]

Сообщение от ED-209:
Ну я бы добавил еще пункт N, как правильно сказал Катя. - реестр. В winlogon, в большинстве случаев, видно кто виновник.

Импорт куста и его разбор требует определённого скилла, тогда как вышеперечисленные действия может выполнить даже ребёнок. [Ответ]

Сообщение от Lazy_lemial:
вышеперечисленные действия может выполнить даже ребёнок

Сообщение от Lazy_lemial:
Удаление, или архивация под пароль, а затем удаление оригинала папок System Volume Information со всех дисков

ребенок не сможет... и даже не всякий не ребенок не сможет. [Ответ]

кг/ам.
все равно данный топик никому не поможет. проще вызвать знакомого хакера, чтобы он починил.. [Ответ]

Сообщение от Part!zan:
ребенок не сможет... и даже не всякий не ребенок не сможет.

Да брось. [Ответ]

Lazy_lemial, по умолчанию к этой папке доступа нет. У большинства пользователей включен "простой общий доступ", который не дает разрешения папок/файлов менять. Так что, нетривиальная задача. [Ответ]

Сообщение от Part!zan:
у всех браузеров есть уязвимости. Особенно, когда их годами не обновляют.

А пападробней можно? [Ответ]

TANAT,
http://www.opennet.ru/
поиск по слову "уязвимость". Там постоянно такие новости:"Преобразование строки в число... переполнение буфера... позволяют злоумышленнику выполнить код" [Ответ]

TANAT, http://seclists.org/bugtraq/ [Ответ]

Сообщение от Part!zan:
Lazy_lemial, по умолчанию к этой папке доступа нет. У большинства пользователей включен "простой общий доступ", который не дает разрешения папок/файлов менять. Так что, нетривиальная задача.

Шо во фразе "Загрузка с лайв сиди, затем" вам-таки непонятно? [Ответ]

Lazy_lemial, эээ. Ну, проглядел, бывает... [Ответ]

А кто-нить встречал модификацию, при которой обрубается клавиатура, вероятно на корню(PS/2)? Причём в hklm\software\microsoft\windows nt\winlogon ничего лишнего нет. [Ответ]

Вы чо, запустили винлокер на дебиане? [Ответ]

Lazy_lemial, Африка знатный извращенец. [Ответ]

Сообщение от 3zh1k:
кто-нить встречал модификацию, при которой обрубается клавиатура, вероятно на корню(PS/2)

Какая-то бессмысленная модификация. А как же код вводить?

Сообщение от dr dick:
у меня есть нетбук (eee pc 901) c win xp

Не верю, что ты сразу туда не поставил какого-нть пингвина... [Ответ]

Сообщение от dr dick:
у меня есть нетбук (eee pc 901) c win xp

Сочувствую вашему горю. [Ответ]

Сообщение от :
Какая-то бессмысленная модификация. А как же код вводить?

А зачем его вводить7 Лох кладёт деньги на счёт, всё, профит. [Ответ]

Сообщение от Part!zan:
Какая-то бессмысленная модификация. А как же код вводить?

Да они совсем обнаглели. [Ответ]

Сообщение от 3zh1k:
А зачем его вводить7 Лох кладёт деньги на счёт, всё, профит.

Даже самый тупой лох поймет, что есть клава не работает, то ввести он ниче не сможет (он же деньги ради кода кладет, не так ли?). И тогда никакого профита. Разве что, в сообщении вымогателя будет написано, что клавиатура волшебным образом разблокируется только после оплаты. ) Но, опять таки, любой мало-мальски здравомыслящий чел поймет, что что-то тут не так. [Ответ]