Компьютер просит отправить смс? Вирус-попрошайка добрался и до вас? Вам сюда! [внешний сервис]
Автор
Сообщение
FATTEL
Стаж: 16 лет
Сообщений: 54
eHaszНет, конешно же файлы удалил анлокером)))
То что в реестре записи были, я удалил прогой которую ты выложил.
ТямЫыЧ
Стаж: 15 лет
Сообщений: 14
Откуда: это Бла-Бла-Бла
MIHAN-56
Чё это такое? У меня ничё не было
shocker ROMA
Стаж: 15 лет
Сообщений: 5
Откуда: От верблюда
не надо порнуши качать и мандрожировать и всё в порядке будет
Keine
Стаж: 15 лет
Сообщений: 94
Откуда: USSR
nail2024
прочти первый пост на 1 странице...
nail2024
Стаж: 15 лет
Сообщений: 7
Откуда: Уфа
не надо порнуши качать и мандрожировать и всё в порядке будетна такие сайты не заходил
nail2024
Стаж: 15 лет
Сообщений: 7
Откуда: Уфа
nail2024
прочти первый пост на 1 странице...Там только как разблокировать,а кодов на внешнем сайте нету
on-line
Стаж: 15 лет
Сообщений: 126
nail2024
Попробуй с Live-CD загрузиться (только предварительно в Биос поставь первую загрузку с CD). Если нормально с него загрузится, то можно уже будет посмотреть - какая тварь прокралась. Проверить автозагрузку, антивирусником почистить и т.п. (смотри в предыдущих постах, вот например, этот пост у P_L_A_Y_B_O_Y: https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 )
Keine
Стаж: 15 лет
Сообщений: 94
Откуда: USSR
nail2024
вот тут глянь http://support.kaspersky.ru/viruses/solutions?qid=208637133 описаны примеры и способы решения таких проблем.
nail2024
Стаж: 15 лет
Сообщений: 7
Откуда: Уфа
nail2024
Попробуй с Live-CD загрузиться (только предварительно в Биос поставь первую загрузку с CD). Если нормально с него загрузится, то можно уже будет посмотреть - какая тварь прокралась. Проверить автозагрузку, антивирусником почистить и т.п. (смотри в предыдущих постах, вот например, этот пост у P_L_A_Y_B_O_Y: https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 )настроил все(вчера еще),спасла консоль восстановления
Последний раз редактировалось: nail2024 (2011-12-14 20:41), всего редактировалось 1 раз
MysteRy XIII
Стаж: 15 лет
Сообщений: 31
Откуда: Russia
версия со скринами того, что писал P_L_A_Y_B_O_Y ( https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 )
взято отсюда http://stopvirus.ru/winlock/index.html
Процедура удаления Трояна.Winlock.GEN
ЦЕЛЬ: Добраться до Проводника Windows чтобы удалить вирус, или запустить необходимую Утилиту для поиска Трояна.
Всё делаем живенько, т.к. вирус через какое-то время заново скрывает все окошки. И придется заново добираться до Проводника
нажимаем SHIFT несколько раз (6-10 раз)
Жмем ПАРАМЕТРЫ, и наведя курсор мыши на слово "Залипание", жмем Правой кнопкой Мыши
По появившемуся белому тексту Правой Кнопкой Мыши
При нажатии на ПРОВОДНИК, вылетит ошибка. Это результат работы вируса. Не обращаем Внимание.
Действие 1 : запустить утилититы для проверки системы (AVZ, cureit, ...)
Действие 2 : Необходимо зайти в C:Documents and SettingsВАША_УЧЕТНАЯ_ЗАПИСЬLocal SettingsTemp - И Всё Удалить там. (это временные файлы)
Цель: Удалить файлы don (могут быть другие). Те которые Не получится удалить, Необходимо ПЕРЕМЕСТИТЬ в любое место.
Перезагружаемся
Последний раз редактировалось: MysteRy XIII (2010-01-31 14:37), всего редактировалось 1 раз
nail2024
Стаж: 15 лет
Сообщений: 7
Откуда: Уфа
MysteRy XIII
мне бы это не помогло)) шифт тоже не работал
P_L_A_Y_B_O_Y
Стаж: 16 лет
Сообщений: 31
Откуда: Portal [PRO LiVe]
nail2024
Tогда Win+U и быстро жмёшь запустить! там потом будет ссылка Веб-узел Майкрософт жмёшь на неё после этого окроется браузер по умалчанию далее файл > открыть > обзор и далее по моей инструкции!
Чуть позже сниму видео! Кстати Winlock имееено такой как у тебя в базе Dr.Web пока нет кодов разблокировки, поймал и обезвредил буквально на днях!
Скриншот Winlock
MysteRy XIII
Там ошибочка (Держим SHIFT 8-15 сек) SHIFT не держать надо а имеено 5 раз нажать!
kav
Стаж: 15 лет
Сообщений: 51
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
27 января, 2010 - 13:36 — Мячин Дмитрий
К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.
Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).
Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.
В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты Winlogonshell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно. Вот как это выглядит в конечном счете:
Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".
В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:
Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).
Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:
Параметры безопасности Internet Explorer
Зоны Internet Explorer
Параметры встроенного фаервола
Ветку политик
...и прочее
Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":
После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.
P_L_A_Y_B_O_Y
Стаж: 16 лет
Сообщений: 31
Откуда: Portal [PRO LiVe]
Staind666
Стаж: 15 лет
Сообщений: 9
тока что избавилсо от данной фигни)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 26-Ноя 04:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
FATTEL
Стаж: 16 лет |
|
|
eHaszНет, конешно же файлы удалил анлокером)))
То что в реестре записи были, я удалил прогой которую ты выложил. |
|
|
ТямЫыЧ
Стаж: 15 лет |
|
|
MIHAN-56
Чё это такое? У меня ничё не было |
|
|
shocker ROMA
Стаж: 15 лет |
|
|
не надо порнуши качать и мандрожировать и всё в порядке будет
|
|
|
Keine
Стаж: 15 лет |
|
|
nail2024
прочти первый пост на 1 странице... |
|
|
nail2024
Стаж: 15 лет |
|
|
не надо порнуши качать и мандрожировать и всё в порядке будет |
|
|
nail2024
Стаж: 15 лет |
|
|
nail2024 прочти первый пост на 1 странице... |
|
|
on-line
Стаж: 15 лет |
|
|
nail2024
Попробуй с Live-CD загрузиться (только предварительно в Биос поставь первую загрузку с CD). Если нормально с него загрузится, то можно уже будет посмотреть - какая тварь прокралась. Проверить автозагрузку, антивирусником почистить и т.п. (смотри в предыдущих постах, вот например, этот пост у P_L_A_Y_B_O_Y: https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 ) |
|
|
Keine
Стаж: 15 лет |
|
|
nail2024
вот тут глянь http://support.kaspersky.ru/viruses/solutions?qid=208637133 описаны примеры и способы решения таких проблем. |
|
|
nail2024
Стаж: 15 лет |
|
|
nail2024 Попробуй с Live-CD загрузиться (только предварительно в Биос поставь первую загрузку с CD). Если нормально с него загрузится, то можно уже будет посмотреть - какая тварь прокралась. Проверить автозагрузку, антивирусником почистить и т.п. (смотри в предыдущих постах, вот например, этот пост у P_L_A_Y_B_O_Y: https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 ) Последний раз редактировалось: nail2024 (2011-12-14 20:41), всего редактировалось 1 раз |
|
|
MysteRy XIII
Стаж: 15 лет |
|
|
версия со скринами того, что писал P_L_A_Y_B_O_Y ( https://torrents-local.xyz/viewtopic.php?p=2528661#2528661 )
взято отсюда http://stopvirus.ru/winlock/index.html Процедура удаления Трояна.Winlock.GEN
ЦЕЛЬ: Добраться до Проводника Windows чтобы удалить вирус, или запустить необходимую Утилиту для поиска Трояна. Всё делаем живенько, т.к. вирус через какое-то время заново скрывает все окошки. И придется заново добираться до Проводника нажимаем SHIFT несколько раз (6-10 раз) Жмем ПАРАМЕТРЫ, и наведя курсор мыши на слово "Залипание", жмем Правой кнопкой Мыши По появившемуся белому тексту Правой Кнопкой Мыши При нажатии на ПРОВОДНИК, вылетит ошибка. Это результат работы вируса. Не обращаем Внимание. Действие 1 : запустить утилититы для проверки системы (AVZ, cureit, ...) Действие 2 : Необходимо зайти в C:Documents and SettingsВАША_УЧЕТНАЯ_ЗАПИСЬLocal SettingsTemp - И Всё Удалить там. (это временные файлы) Цель: Удалить файлы don (могут быть другие). Те которые Не получится удалить, Необходимо ПЕРЕМЕСТИТЬ в любое место. Перезагружаемся Последний раз редактировалось: MysteRy XIII (2010-01-31 14:37), всего редактировалось 1 раз |
|
|
nail2024
Стаж: 15 лет |
|
|
MysteRy XIII
мне бы это не помогло)) шифт тоже не работал |
|
|
P_L_A_Y_B_O_Y
Стаж: 16 лет |
|
|
nail2024
Tогда Win+U и быстро жмёшь запустить! там потом будет ссылка Веб-узел Майкрософт жмёшь на неё после этого окроется браузер по умалчанию далее файл > открыть > обзор и далее по моей инструкции! Чуть позже сниму видео! Кстати Winlock имееено такой как у тебя в базе Dr.Web пока нет кодов разблокировки, поймал и обезвредил буквально на днях! Скриншот WinlockТам ошибочка (Держим SHIFT 8-15 сек) SHIFT не держать надо а имеено 5 раз нажать! |
|
|
kav
Стаж: 15 лет |
|
|
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
27 января, 2010 - 13:36 — Мячин Дмитрий К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением. Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS). Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении. В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты Winlogonshell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем: В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет. Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...". В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге: Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет). Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять: Параметры безопасности Internet Explorer Зоны Internet Explorer Параметры встроенного фаервола Ветку политик ...и прочее Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности": После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет. |
|
|
P_L_A_Y_B_O_Y
Стаж: 16 лет |
|
|
Staind666
Стаж: 15 лет |
|
|
тока что избавилсо от данной фигни)
|
|
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 26-Ноя 04:49
Часовой пояс: UTC + 5