2
12
Не в сети
Сообщений: 9
Благодарностей: 0
Предупреждений:
Из:
Род занятий:

Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом

#205596   | 16.05.12 17:15
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

#205596 comod :
Приходиться формат и переустанувку


Убивал бы за такое. Подключаете винт к другому компьютеру, запускаете Kaspersky Virus Removal Tool и проверяете MBR у зараженного винта. 2 минуты и готово.

#205597   | 16.05.12 19:08
Не в сети
Сообщений: 9
Благодарностей: 0
Предупреждений:
Из:
Род занятий:


Убивал бы за такое.


Координальное решение. Ёще раз повторяю : Диски оказываются НЕФОРМАТИРОВАНЫЕ.

#205601   | 16.05.12 21:06
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

comod, да видал я. Kaspersky VRT лечит MBR, заодно и восстанавливает тип и разметку дисков.

Координальное

Может все-таки "кардинальное"?

#205609   | 17.05.12 10:48
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#205596 comod :
Зловреды становяться все зловредней.


Единственный кардинальный способ борьбы - разрушить мафиозную цепочку оператор-владелец короткого номера-недобросовестный контент провайдер. Тогда такие программы просто вымрут как класс (если их авторов и их крышевал реально сажать в тюрьму).
Трудно представить, чтобы в штатах такие бяки вымогали бы номера кредиток.

#205613   | 17.05.12 19:12
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#205596 comod :
Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом


Пробуем новую бесплатную программу AntiSMS 2.0

Поблагодарили: W8Phone

#206133   | 04.06.12 17:01
Не в сети
Сообщений: 4
Благодарностей: 1
Предупреждений:
Из: Russia Москва
Род занятий: W7Ph developer

Действительно, эта прога расшифровывает зараженные участки дисков; у моей сестры месяц назад такое было- v1.8 справилась. только качать лучше не с трекера, а с оф.сайта

#206159   | 04.06.12 21:46
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#198753 Johny-electric :
cybercop, да, это хорошо, если троян-вымогатель такого типа (отправь смс блаблабла и получишь в ответ код разблокировки), но если троян как в моём случае, тут эти службы не помогут. Тут вымогатель требует пополнить счёт указанного номера телефона через терминал оплаты и на распечатанном чеке якобы будет указан код разблокировки. Это вообще что-то) А про смс так и у Dr.Web есть подобный сервис.


Недавно подцепил такой на лицензионной предустановленной Win7 HP x64, правда, вирус оказался слабым - спасло прямое удаление тела вируса из пользовательской папки - он даже других юзеров не задел. Странно, но лицензионный Нод 32 5-ой версии с актуальными базами его пропустил. Возможная причина - сам вирус был подписан (sic!) цифровым сертификатом подлинности из страны ... Зимбабве. Мне лично больше всего не понятно, как такие зловреды минуют строгий фильтр максимально включенного UAC.

#208904   | 29.12.12 12:53
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

#208904 Wusa :
спасло прямое удаление тела вируса из пользовательской папки - он даже других юзеров не задел.
...
Мне лично больше всего не понятно, как такие зловреды минуют строгий фильтр максимально включенного UAC.


UAC и не смотрит за пользовательскими папки, только за системными.

#208905   | 29.12.12 18:25
Не в сети
Сообщений: 45
Благодарностей: 1
Предупреждений:
Из: ---
Род занятий:

При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.

#209023   | 25.01.13 18:40
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

SysAdminko писал:При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.


UAC ещё контролирует доступ к системным папкам на уровне NTFS прав. Винлокер самый простой, часто такие встречаю. Записываются в корень папки пользователя и в автозапуск, права админа не нужны. Удаляется из другого профиля ручками или спецсофтом для надежности. UAC бы например заволновался, если бы попытались winlogon или explorer заменить. Это уже не из под винды лечится. Антивирусы тоже не всегда на такие штуки реагируют.
Видел, кстати, как получают такие винлокеры. В почту пользователю приходит письмо на тему, типа, вот вам счет от такой то компании, оплатите. Прикрепленный файл называется Счет.jpg.exe, да только истинное расширение не видно, если не включена опция его отображения, вот пользователь жмет и при следующей загрузке получает заблокированный профиль.

#209024   | 25.01.13 20:18
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#209024 Singularity :

SysAdminko писал:При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.


UAC ещё контролирует доступ к системным папкам на уровне NTFS прав. Винлокер самый простой, часто такие встречаю. Записываются в корень папки пользователя и в автозапуск, права админа не нужны. Удаляется из другого профиля ручками или спецсофтом для надежности. UAC бы например заволновался, если бы попытались winlogon или explorer заменить. Это уже не из под винды лечится. Антивирусы тоже не всегда на такие штуки реагируют.
Видел, кстати, как получают такие винлокеры. В почту пользователю приходит письмо на тему, типа, вот вам счет от такой то компании, оплатите. Прикрепленный файл называется Счет.jpg.exe, да только истинное расширение не видно, если не включена опция его отображения, вот пользователь жмет и при следующей загрузке получает заблокированный профиль.


Singularity, а разве в почтовой программе, да и в онлайн-почтовиках по-умолчанию расширения файлов вложений не отображаются? Еще до того, как ты это вложение скачал?

#209029   | 27.01.13 15:18
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Wusa писал:а разве в почтовой программе, да и в онлайн-почтовиках по-умолчанию расширения файлов вложений не отображаются? Еще до того, как ты это вложение скачал?


В тот раз почему то не отображалось. Это был outlook 2007.

#209031   | 27.01.13 15:53
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#205596 comod :
Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом


Антивирусная компания Trend Micro предупреждает о новом бэкдоре BKDR_MATSNU.MCB, [не смей качать! - TheVistaTeam] который активно распространяется через спам-рассылки, особенно в Германии. Зловред обладает неприятной особенностью: по команде с удаленного C&C-сервера он может или заблокировать загрузку ПК, или стереть главную загрузочную запись. Бэкдор класса ransomware перед этим вымогает денежные средства у жертвы. Вероятно, стирание MBR осуществляется в отместку за то, что пользователь отказался платить, хотя это может быть частью процедуры по скрытию улик после уже произведенной оплаты.

Другая антивирусная компания McAfee сообщает о значительном росте MBR-атак в I кв. 2013 года. Тут уже речь идет не о бэкдорах-вредителях, а о троянах, которые изменяют главную загрузочную запись для надежной прописки в системе с правами администратора.

В I кв. 2013 года компания McAfee зарегистрировала рост таких инцидентов на 30%. К числу самых популярных относятся mebroot, Tidserv, Cidox и Shamoon.

#209444   | 13.06.13 22:05
Все права принадлежат © MSInsider.ru (ex TheVista.ru), 2019
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.047 секунд (Общее время SQL: 0.011 секунд - SQL запросов: 79 - Среднее время SQL: 0.00014 секунд))