1
1 2
Не в сети
Сообщений: 98
Благодарностей: 0
Предупреждений:
Из: Russia Zelenograd
Род занятий:

Всем привет!
Произошла значит такая ситуация, мой батя где то подцепил вредоносную программу, которая блокирует вход в систему.
Мол отправьте СМС на указанный номер и т.д. Горячие клавиши и безопасный режим не спасает...
Система Vista SP2 + MSE
Загрузился с WinPE, прошелся KAV(ом) и DrWeb(ом) результат ноль

Так вот вопрос, в каких файлах хранится автозагрузка, службы и т.д. то есть чего можно удалить такого?)

#188771   | 26.01.10 13:31
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

PAV2, запустите из под WinPE/WinRE, Sysinternals Autoruns.

#188772   | 26.01.10 13:34
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

arseny1992, ничего не выйдет, Autoruns работает только с реестром загруженной в данный момент системы. Другое дело можно подключить куст реестра, загрузившись в WinPE и ручками его поковырять...

#188773   | 26.01.10 13:55
Не в сети
Сообщений: 98
Благодарностей: 0
Предупреждений:
Из: Russia Zelenograd
Род занятий:

подключить куст реестра


Можно по подробней?!

#188775   | 26.01.10 14:07
Не в сети
Сообщений: 253
Благодарностей: 4
Предупреждений:
Из: Russia Россия
Род занятий: Инженер

Был у меня такой случай. Спасло то, что на компе было 2 ОСи - ХР и 7-ка. ХР поймала эту хрень. Из под семерки KAVом просканировал диск с ХР, удалил вирусы и вуаля - ХР заработала.

#188777   | 26.01.10 14:19
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

PAV2, Редактирование куста реестра образа в конечном устройстве

Библиотека MSDN писал:Правка реестра целевого устройства

1. Загрузите среду предустановки Windows.
2. В командной строке введите команду regedit.
3. Щелкните узел HKEY_LOCAL_MACHINE
4. В меню Файл выберите команду Загрузить куст. Могут появиться несколько окон с сообщениями о том, что не удалось найти папку или что расположение недоступно. Пропустите эти сообщения, нажав кнопку ОК при их появлении. Появится диалоговое окно Загрузить куст.
5. В поле Тип файлов выберите Все файлы.
6. Перейдите в место расположения реестра на целевом устройстве. Например, если образ расположен на диске C, перейдите в папку C:\WINDOWS\system32\config.
7. В папке config выделите куст, который необходимо изменить, и нажмите кнопку ОК.
8. В диалоговом окне Загрузить куст введите имя раздела. Например, TEST_DEVICE. Чтобы загрузить дополнительные кусты, повторите предыдущую последовательность действий.
9. Выберите раздел HKEY_LOCAL_MACHINE, затем выберите созданный новый раздел реестра.
10. Просмотрите или внесите изменения в разделы реестра.
11. После завершения правки разделов реестра выберите раздел HKEY_LOCAL_MACHINE, затем в меню Файл выберите команду Выгрузить куст.

#188778   | 26.01.10 14:23
Не в сети
Сообщений: 98
Благодарностей: 0
Предупреждений:
Из: Russia Zelenograd
Род занятий:

slef, повезло, но на этом компе нету вирусов =(

#188779   | 26.01.10 14:25
Не в сети
Сообщений: 168
Благодарностей: 88
Предупреждений:
Из: ---
Род занятий:

Это Trojan. Winlock .
Есть способы разблокировки http://www.drweb.com/unlocker/index/?lng=ru

Поблагодарили: PAV2

#188780   | 26.01.10 14:29
Не в сети
Сообщений: 98
Благодарностей: 0
Предупреждений:
Из: Russia Zelenograd
Род занятий:

Всё получилось, огромное спасибо!
DrWeb просто молодцы, что подняли такой хороший сервис!

#188781   | 26.01.10 15:06
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

Конкретный пример. Сегодня очередной пациент принёс винт на лечение. Владелец лазил в тырнете, выключил комп, а на следующий день при запуске системы появлялось окно с требованием отправить смс для разблокировки. Всё просто. Подключаем винт больного, сканируем его с помощью MSE и CureIt!, после зачистки вирусов подгружаем куст реестра SOFTWARE и по пути

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


смотрим значение строкового параметра Shell. Вместо дефолтного значения explorer.exe все трояны-вымогатели прописывают туда путь к исполняемому файлу заставки с требованием отравить смс. Вот примерно так:



Вуаля, меняем обратно на explorer.exe, выгружаем куст и срубаем бабло на пиво получаем деньги за устранение проблемы.

#197282   | 27.10.10 21:28
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

Очередной пример, на этот раз немного другой. Клиент попросил переустановить ОС, причину я не спросил. Когда приехал, оказалось, что у него порно-баннер не даёт загрузить рабочий стол. Я предложил не торопиться переустанавливать ОС, а просто удалить этот баннер. С собой было всего 2 диска: вин ХР и вин 7. Загрузившись с диска вин7 дождался появления окна установки, нажал Shift+F10 для вызова окна консоли и командой regedit запустил редактор реестра. В нём загрузил куст SOFTWARE из больной ОС (XP SP3) и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нашёл изменённый вирусом параметр Userinit:


К строке по умолчанию (C:\Windows\system32\userinit.exe,) вирус дописал ещё C:\Windows\system32\usrinit.exe. То есть, путь к своему телу. Лишнюю строку я удалил, куст выгрузил, перезагрузил комп и он теперь нормально загрузился. Антивирус Avast никак не отреагировал на на файл usrinit.exe в системной папке. Поэтому я его переместил себе на флешку интереса ради . Дома как только открыл флешку MSE сразу же заругался на троян Trojan:Win32/Malagent и удалил этот файл. Вот такая история излечения. Надеюсь, кому-нибудь пригодится.

#198738   | 27.12.10 12:36
Не в сети
Сообщений: 240
Благодарностей: 2
Предупреждений:
Из: Russia
Род занятий:

Johny-electric
Занятная история. Очередной плюс в копилку MSE

#198745   | 27.12.10 20:54
Не в сети
Сообщений: 47
Благодарностей: 1
Предупреждений:
Из:
Род занятий:

Лаборатория Касперского» для борьбы с СМС-блокерами разработала бесплатную мобильную версию сервиса по подбору кода разблокировки компьютера.

Программы-блокеры парализуют работу системы: чтобы убрать баннер с Рабочего стола и разблокировать Windows, необходимо отправить на короткий номер СМС-сообщение по дорогому тарифу. Однако, даже выполнив это условие, в 80 процентах случаев обманутые пользователи оказываются ни с чем. В начале года «Лаборатория Касперского» запустила на своем сайте сервис, который помогает получить необходимый код для восстановления работы компьютера. О востребованности данной услуги свидетельствует тот факт, что за прошедший период на сайте было зарегистрировано свыше 10 млн посещений. Теперь же воспользоваться этим сервисом стало проще — получить код разблокировки можно с любого мобильного устройства, имеющего доступ в Интернет. Для этого нужно пройти по ссылке http://sms.kaspersky.ru/ и указать номер телефона, на который будет выслан необходимый код. С момента своего первого запуска сервис был усовершенствован и дополнен новыми возможностями. К ним относятся, в частности, повышенная оперативность выкладывания кодов, предоставление утилит лечения, а также ссылок на полезные ресурсы. «Несмотря на возбужденные уголовные дела и реальные судебные приговоры, вынесенные злоумышленникам, программы-блокеры продолжают распространяться. Ежедневно тысячи компьютерных пользователей становятся жертвами сетевых вымогателей, — говорит старший вирусный аналитик «Лаборатории Касперского» Иван Татаринов. — Сами вредоносные программы усложняются, а количество сайтов, с которых они могут быть загружены на компьютер, увеличивается. Более того, в последнее время вымогатели стали использовать для перевода денег не только короткие, но и стандартные телефонные номера и сетевые кошельки, а стоимость смс-ки уже не ограничивается суммами в 300-500 рублей». Современные схемы вымогательства в сети становятся все более агрессивными. Чтобы не стать жертвой мошенников, необходимо следовать правилам Интернет-безопасности, открывать подозрительные файлы и запускать приложения только в безопасной среде — «песочнице», но главное не отправлять СМС-сообщения в обмен на коды разблокировки, спонсируя тем самым деятельность хакеров, говорят эксперты.

http://www.cybersecurity.ru/crypto/109545.html

#198752   | 28.12.10 10:05
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

cybercop, да, это хорошо, если троян-вымогатель такого типа (отправь смс блаблабла и получишь в ответ код разблокировки), но если троян как в моём случае, тут эти службы не помогут. Тут вымогатель требует пополнить счёт указанного номера телефона через терминал оплаты и на распечатанном чеке якобы будет указан код разблокировки. Это вообще что-то) А про смс так и у Dr.Web есть подобный сервис.

#198753   | 28.12.10 11:28
Не в сети
Сообщений: 47
Благодарностей: 1
Предупреждений:
Из:
Род занятий:

безусловно. Более того, я сейчас всем знакомым говорю одно и то же. Делайте резервные копии! И не морочьте голову! А в случае чего - восстанавливайтесь

#198756   | 28.12.10 11:35
Все права принадлежат © MSInsider.ru (ex TheVista.ru), 2019
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.086 секунд (Общее время SQL: 0.033 секунд - SQL запросов: 80 - Среднее время SQL: 0.00042 секунд))