Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 33
сколько не встречался с подобными вирусами — все они стартовали из HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon/Userinit
это для них самый удобный способ, заменять експлорер или винлогон собой, тогда «обычный» пользователь не догадается как исправить это,
для профилактики всем кому ставлю винду настраиваю параметры безопасности целой ветки HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon как READ ONLY
так же самое делаю для папки %windir%\system32\drivers\etc и риск заразится всякими скучными вирусами по идеи пропадает
для профилактики всем кому ставлю винду настраиваю параметры безопасности целой ветки HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon как READ ONLY
так же самое делаю для папки %windir%\system32\drivers\etc и риск заразится всякими скучными вирусами по идеи пропадает
Сколько не пытался встретится с подобными вирусами чтобы посмотреть — не встретился… :(
Зато девушка подцепила такой сегодня, спасибо, как раз собирался лечить :)
Зато девушка подцепила такой сегодня, спасибо, как раз собирался лечить :)
сегодня качал трейнеры к test drive unlimited и таки нарвался. Если очень хотите, даж могу постараться найти ту самую ссылку )
+1 был такой же вирус, 1в1! код сгенерировал с помощью спец. утилиток, которые можно найти в нете.
>> Попытки загрузиться в безопасных режимах приводили точно к такому же результату
странно, у меня без проблем грузится safe mod и я мог удалить вирус
>> Форматируем диск в NTFS
как по мне, так это _самый_ крайний вариант, форматировать диск…
>> Попытки загрузиться в безопасных режимах приводили точно к такому же результату
странно, у меня без проблем грузится safe mod и я мог удалить вирус
>> Форматируем диск в NTFS
как по мне, так это _самый_ крайний вариант, форматировать диск…
Спасибо! Не догадался :)
вот тут AVZ (с этим вирусом) не прокатывает — как только выделяешь какой-нить объект, в названии которого есть avz (каталог, файл) — комп вырубается мгновенно, меня не спасало даже переименовываение logonui (я так и не понял почему)
Я ее вылечел по другому — воспользовался ERD Commander — вручную в реестре нашел все подозрительные места, где он пропислася (помимо классических мест — у него есть своя тулбар в IE и скрипты при логине любого пользователя + впервые созданного — по этом не прокатывает создание чистой учетки (даже гостевой)
после всех этих манипуляций умудрился из под органиченной записи запустить таки AVZ (с правами админа) — стало полегче, но все равно система после очистки стала неадекватная (задувается иногда на несоклько секунд) и прочие мелочи — в итоге снес и поставил 7
Я ее вылечел по другому — воспользовался ERD Commander — вручную в реестре нашел все подозрительные места, где он пропислася (помимо классических мест — у него есть своя тулбар в IE и скрипты при логине любого пользователя + впервые созданного — по этом не прокатывает создание чистой учетки (даже гостевой)
после всех этих манипуляций умудрился из под органиченной записи запустить таки AVZ (с правами админа) — стало полегче, но все равно система после очистки стала неадекватная (задувается иногда на несоклько секунд) и прочие мелочи — в итоге снес и поставил 7
ооо спасибо за статью :) как раз в пятницу пришёл такой вирус :))
кстати год прожил без антивируса, проверял раз в месяц куреитом и чистота, всё думал как люди с касперским цепляют, потом поставил касперского обновил прожил месяца и тут бах эта зараза, пользуюсь ФФ по плохим сайтам не хожу :)
слава богу дуал бут и любимя убунту приютила меня :))
Из неё снова куреитом сканировал всё. вроде чего-то наудалял dll преимущественно, ребут в венду и снова оно вылазит повторная чистка inf файлов и драйверов в безопасном грузимся, стоит альтернативный таск менеджер, запускается убиваем «лишние процессы» дальше запускается куреИТ но он ничего не видит, запуск АВЗ даёт синий экран.
кстати год прожил без антивируса, проверял раз в месяц куреитом и чистота, всё думал как люди с касперским цепляют, потом поставил касперского обновил прожил месяца и тут бах эта зараза, пользуюсь ФФ по плохим сайтам не хожу :)
слава богу дуал бут и любимя убунту приютила меня :))
Из неё снова куреитом сканировал всё. вроде чего-то наудалял dll преимущественно, ребут в венду и снова оно вылазит повторная чистка inf файлов и драйверов в безопасном грузимся, стоит альтернативный таск менеджер, запускается убиваем «лишние процессы» дальше запускается куреИТ но он ничего не видит, запуск АВЗ даёт синий экран.
Я лечил обычно так:
1. Найти код в сети.
2. Деактивировать вирус.
3. Проверить систему CureIt или аналогами.
Сколько машин вылечил везде была одна проблема: старые базы антивируса или его отсутствие. Правда одна попалась с DrWeb и его последним обновление, вирус тот же что в топике.
1. Найти код в сети.
2. Деактивировать вирус.
3. Проверить систему CureIt или аналогами.
Сколько машин вылечил везде была одна проблема: старые базы антивируса или его отсутствие. Правда одна попалась с DrWeb и его последним обновление, вирус тот же что в топике.
Был этот у меня вирус.
Лечила интересным способом — перевела часы на пару дней назад (до заражения). Система разблокировалась, ну а дальше дело за антивирусниками)
Лечила интересным способом — перевела часы на пару дней назад (до заражения). Система разблокировалась, ну а дальше дело за антивирусниками)
Была подобная проблема, только вымогатель был Download Manager… что то подобное. Избавился просто — откатился до точки восстановления, которая была сделана автоматически несколько часов назад.
К чему такие сложности? Сгенерите код и потом спокойненько дочистите машину.
treshyov.habrahabr.ru/blog/80691/#comment_2383965
treshyov.habrahabr.ru/blog/80691/#comment_2383965
И так отдельный топик писать нет желания хотелось бы поделиться своим решением.
у меня dualboot стоит убунта. собсвенно виндовс грузится в безопасном режиме и ничего не даёт запустить.
Запуск cureit не дал результата нашёл вирусы удалил, но очередная загрузка в венду показывает фигу :)
У меня стоит альтернативный таск менеджер от sysinternals штука очень полезная :)
И о чудо через меню программы он запускается. он позволяет посмотреть какие файлы использует процесс (процесс вируса виден на глаз, ну либо методом перебора), Вот в этом списке есть файл с альтернативным потоком
обознается он примерно так
C:\windows\inf\brm****.inf:asdasdfafgDSF_asdfasdf
Гружусь снова в убунту удалю данный файл и вот оно счастье. запускается куреит уже из венды, запускается HiJackThis
Который снимает блокировку на запрет редактирования реестра. ещё много чего полезного умеет :)
Дальше попутка запустить касперского (установленного со свежими базами) не удалась, мол политика безопасности установленная администратором {sdfasd;flkjsdlkrj23453lk4nzsdf}, кстати являюсь единственным пользователем в системе с 11 значным паролем, использую только свежий софт :))
в реестре даю поиск по этому самому ключу и вот они политики эти по соседсву удаляю всё, ребут касперский с радостью воскрешается. Зановес
у меня dualboot стоит убунта. собсвенно виндовс грузится в безопасном режиме и ничего не даёт запустить.
Запуск cureit не дал результата нашёл вирусы удалил, но очередная загрузка в венду показывает фигу :)
У меня стоит альтернативный таск менеджер от sysinternals штука очень полезная :)
И о чудо через меню программы он запускается. он позволяет посмотреть какие файлы использует процесс (процесс вируса виден на глаз, ну либо методом перебора), Вот в этом списке есть файл с альтернативным потоком
обознается он примерно так
C:\windows\inf\brm****.inf:asdasdfafgDSF_asdfasdf
Гружусь снова в убунту удалю данный файл и вот оно счастье. запускается куреит уже из венды, запускается HiJackThis
Который снимает блокировку на запрет редактирования реестра. ещё много чего полезного умеет :)
Дальше попутка запустить касперского (установленного со свежими базами) не удалась, мол политика безопасности установленная администратором {sdfasd;flkjsdlkrj23453lk4nzsdf}, кстати являюсь единственным пользователем в системе с 11 значным паролем, использую только свежий софт :))
в реестре даю поиск по этому самому ключу и вот они политики эти по соседсву удаляю всё, ребут касперский с радостью воскрешается. Зановес
Коллеги, а ни у кого случайно нет ссылки где можно скачать зверя?
Добавлю свой опыт, по точно такой же твари.
Эта штука, пока вы боритесь с ее разблокировкой, ищет на компе FAR и если там есть сохраненные FTP аккаунты, заходит на сервера ищет файлы в именах которых есть слова «main», «news», «catalogue», «index» с расширениями htm, html, php, inc, а так же все без исключений файлы .js и внедряет в конце зашифрованный Javascript код начинающийся с /*LGPL*/. Через него то и происходит заражение и распространение вируса.
Во время заражения у меня стоял бесплатный Avira AntiVir Personal он успел выкинуть окно с варнингом о трояне, но тут же видимо был блокирован вирусом, окно пропало и среагировать я не успел. Заразился под Google Chrome. Разблокироваться мне помог сервис докторвеба, главное вбивать код в правильном регистре с большой «К». После разблокировки CureIT и Avira не могли ничего найти, потому что тут же запускался процесс svhost который создавал 99% нагрузку на ЦП. Не стал сильно бороться форматнул диск и переставил систему. Сейчас стоит свежекупленный Avira Premium Security Suite, в его составе есть WebGuard вот он эту штуку точно блокирует, проверил на своих зараженных страницах.
Эта штука, пока вы боритесь с ее разблокировкой, ищет на компе FAR и если там есть сохраненные FTP аккаунты, заходит на сервера ищет файлы в именах которых есть слова «main», «news», «catalogue», «index» с расширениями htm, html, php, inc, а так же все без исключений файлы .js и внедряет в конце зашифрованный Javascript код начинающийся с /*LGPL*/. Через него то и происходит заражение и распространение вируса.
Во время заражения у меня стоял бесплатный Avira AntiVir Personal он успел выкинуть окно с варнингом о трояне, но тут же видимо был блокирован вирусом, окно пропало и среагировать я не успел. Заразился под Google Chrome. Разблокироваться мне помог сервис докторвеба, главное вбивать код в правильном регистре с большой «К». После разблокировки CureIT и Avira не могли ничего найти, потому что тут же запускался процесс svhost который создавал 99% нагрузку на ЦП. Не стал сильно бороться форматнул диск и переставил систему. Сейчас стоит свежекупленный Avira Premium Security Suite, в его составе есть WebGuard вот он эту штуку точно блокирует, проверил на своих зараженных страницах.
Пробовали подбирать код на всех сайтах — не помогает. Заражен этой хренью комп-р друга, который живет в другом городе.
мне помог именно сервис от докторвеб, посмотрите нод вроде тоже организовал сервис попробуйте:
esetnod32.ru/support/winlock.php
esetnod32.ru/support/winlock.php
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Восстановление работы ОС после вируса-вымогателя