Доброго времени суток! На одной из машин поймали очередной винлокер (который был plugin.exe). "Специалисты хреновы" посчитали себя самыми умными, никого не спросив, удалили его (возможно и еще что-то с ним вместе), а сейчас в результате запустить вообще ничего нельзя. При загрузке просто черный экран без всяких окон. Еще не смотрел. По результатам отпишусь.
» Windows заблокирован!
CrakerИ у KIS и у DrWeb сиё чудо в базах(добавлены 17 января) и детектируется и лечится,базы обновлены были?
ynbIpb
Если нужно могу прислать,стукни в асю.
ynbIpb
Если нужно могу прислать,стукни в асю.
Цитата:
Если нужно могу прислать,стукни в асю., если палится уже не интересно.
Цитата:
На одной из машин поймали очередной винлокер (который был plugin.exe).
Разобрался. Просто попутно еще и слетел драйвер NVidia. В безопасном режиме загрузился вместе с винлокером. Драйвер переустановил. Вирус был не plugin.exe. Уже известный розовый порнобаннер.
Цитата:
Вы установили банер для доступа на наш сайт. Срок действия банера 30 дней. Если вы хотите прекратить действие банера ранее установленного срока, то отправьте SMS по указанному номеру и введите код удаления. Суппорт. Отправьте SMS с текстом 733167 на номер 9800. Введите полученный код: ( ) удалить банер
Живет: C:\Program Files\Internet Explorer\svcnost.exe, закачан был скриптовым загрузчиком Trojan.Click.37869 с помощью файла C:\WINDOWS\system32\netprotocol.#ll. Скорее всего подцепили где-то на сайте. После удаления файлов и подчистки реестра
Цитата:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exeВсе пришло в норму. Может кому пригодится.
Добавлено:
Антивирусник файлы не удалил, нужно удалять вручную.
Вчера был очень сложный случай: установленный DrWeb в дауне и запуск других программ блокирован, утилиты не находят при запуске с LiveCD, отключена система восстановления винды (сбока Зверя будь она неладная со своими твиками).
При запуске любых программ окно ЛЖЕ-антивируса вымогателя, ключ разблокировки не подходит.
Чистка файлов вируса вручную, загрузившись с флехи (ALKID). Восстановление ключа запуска Эксплорера:
"Shell"="Explorer.exe rundll32.exe ovjp.fbo tklvr" из-под ERD-коммандера.
При запуске любых программ окно ЛЖЕ-антивируса вымогателя, ключ разблокировки не подходит.
Чистка файлов вируса вручную, загрузившись с флехи (ALKID). Восстановление ключа запуска Эксплорера:
"Shell"="Explorer.exe rundll32.exe ovjp.fbo tklvr" из-под ERD-коммандера.
IvANANvI
ну разве это сложный случай, если вы справились двумя прогами..
вот слыхал, но не видел
вирус лочит помимо винды и сидюк
вот это радость, один выход подцеплять к здоровой машине и чистить
ну разве это сложный случай, если вы справились двумя прогами..
вот слыхал, но не видел
вирус лочит помимо винды и сидюк
вот это радость, один выход подцеплять к здоровой машине и чистить
Интересно как он лочит CD если запуск LiveCD происходит при выключеной ОС ?
ynbIpb
сам задавался этим вопросом, но встречал на вирусинфо именно такие симптомы
сам задавался этим вопросом, но встречал на вирусинфо именно такие симптомыЦитата:
Интересно как он лочит CD если запуск LiveCD происходит при выключеной ОС
да быть такого не может...
tahirg
Как официальный хелпер VI заявляю: это невозможно! А описанные симптомы действительно имели место, но были связаны не с вирусом, а с кривыми руками и настройками BIOS.
Как официальный хелпер VI заявляю: это невозможно! А описанные симптомы действительно имели место, но были связаны не с вирусом, а с кривыми руками и настройками BIOS.
Поражает тот факт, что все что мы тут рекомендуем очень оперативно вносится вирусописателями в код вируса.
Пример: они теперь не имеют атрибутов скрытости, либо не прячутся в системных папках.
сами отключают систему восстановления винды,
не дают создавать нового пользователя,
не дают запустить офисных программ,
пока дают запустить волков коммандер, но дальше из-под него ничего не запускается либо запускается, но банер вымогатель. Кстати где в реестре ключ запуска программ восстановить, чтоб через альтернативную загрузку решать все это. Жаль, что этого не может делать AVZ погрузив реестр зараженной машины, было бы очень клево!!
Пример: они теперь не имеют атрибутов скрытости, либо не прячутся в системных папках.
сами отключают систему восстановления винды,
не дают создавать нового пользователя,
не дают запустить офисных программ,
пока дают запустить волков коммандер
, но дальше из-под него ничего не запускается либо запускается, но банер вымогатель. Кстати где в реестре ключ запуска программ восстановить, чтоб через альтернативную загрузку решать все это. Жаль, что этого не может делать AVZ погрузив реестр зараженной машины, было бы очень клево!!IvANANvI
Цитата:
естественно, деньги то не хилые
народ то в первую очередь шлет смс и не по одной
это нужно рубить на корню, у опососа,
они только повышают максимальную цену смс
тем самым поощряя вирусописателей
песня - "пока живут на свете..." будет во все времена актуальной...
Цитата:
Поражает тот факт, что все что мы тут рекомендуем очень оперативно вносится вирусописателями в код вируса.
естественно, деньги то не хилые
народ то в первую очередь шлет смс и не по одной
это нужно рубить на корню, у опососа,
они только повышают максимальную цену смс
тем самым поощряя вирусописателей
песня - "пока живут на свете..." будет во все времена актуальной...
gjf
тогда сорри, сам и других ввёл в заблуждение
тогда сорри, сам и других ввёл в заблуждение
Добавил в шапку RansomHide, найденную на просторах инета, обновляется постоянно
dmitri23
Спасибо, сайты шапке не помогли, софтинка выручила.
Спасибо, сайты шапке не помогли, софтинка выручила.
Цитата:
Интересно как он лочит CD если запуск LiveCD происходит при выключеной ОС ?
Цитата:
tahirg
Как официальный хелпер VI заявляю: это невозможно! А описанные симптомы действительно имели место, но были связаны не с вирусом, а с кривыми руками и настройками BIOS.
ЭЭЭ, требует скорей конкретизации:
1.Не все гаджеты где стоит Windows это традиционная сборка ПК с кнопкой эджект на CD
, возьмите например IMAC7 где эджект происходит программным образом и(или)
волшебной комбинацией клафиш, о которой большинство пользователей просто не знают или не хотят заморачиваться этим знанием.
2.Скорей всего tahirg просто не понял, предполагаю что шла речь о программной блокировке, с подменой драйвера от CD. От такой разновидности сам лечился.(также дважды было замечена подмена драйвера звуковой).
В этих случаях использовался старый Реаниматор 2007 и "касперский ремовал тоолс" + AVZ
Или Флешкой(картой) с установленными на них рековери диск Касперского, через мультибут или аналогичных.
hohkn
На выходных чистил его, но немного другой, тоже были plugin.exe и netprotocol, но был еще вирусняк подстроился даже по дате установочных файлов винды сп3, но спалился тем, что нельзя было его просмотреть, был заблочен, разлочил unlocker'ом и NOD его тут же схавал как вирус. Так же пришлось чистить ветку реестра в HKLM и HKCU Winlogon, там много было запчастей от вируса этого.
ЗЫ. А отключать систему восстановления винды очень даже полезно, иначе меяя этот круговорот достаёт: NOD удаляет из system32 вирус, система восстановления восстанавливает его назад. Лучше уж делать образ акронисом, и если что откатывать систему с помощью его.
Если уж вирус не даёт ничего запускать, лучше всего помогает винда с LiveCD, загрузился, прогнал антивирусом комп, подключил реестр, почистил его и запустил комп.
И пользовался для удаления с экрана этого розового банера таким способом:
На компе был установлен Total Commander с плагином "Диспетчер задач", запускал его, переходил в диспетчер задач и убивал процесс plugin.exe, дальше утилитой CureIt вычищал комп.
На выходных чистил его, но немного другой, тоже были plugin.exe и netprotocol, но был еще вирусняк подстроился даже по дате установочных файлов винды сп3, но спалился тем, что нельзя было его просмотреть, был заблочен, разлочил unlocker'ом и NOD его тут же схавал как вирус. Так же пришлось чистить ветку реестра в HKLM и HKCU Winlogon, там много было запчастей от вируса этого.
ЗЫ. А отключать систему восстановления винды очень даже полезно, иначе меяя этот круговорот достаёт: NOD удаляет из system32 вирус, система восстановления восстанавливает его назад. Лучше уж делать образ акронисом, и если что откатывать систему с помощью его.
Если уж вирус не даёт ничего запускать, лучше всего помогает винда с LiveCD, загрузился, прогнал антивирусом комп, подключил реестр, почистил его и запустил комп.
И пользовался для удаления с экрана этого розового банера таким способом:
На компе был установлен Total Commander с плагином "Диспетчер задач", запускал его, переходил в диспетчер задач и убивал процесс plugin.exe, дальше утилитой CureIt вычищал комп.
Milk
У СМС-вымогателей дров не подменяется - максимум инфицируется. При этом основной функционал не меняется, просто так себя скрывает вирусная компонента.
Я ОЧЕНЬ сомневаюсь в том, что вирусописатель будет издавать версию, нацеленную на узкую аудиторию пользователей именно с такими приводами. И точно так же я сомневаюсь, что в приводе нет возможности экстренного открывания лотка (ака "метод скрепки").
Вирусов, которые поражают BIOS, всего два и оба неактуальны
У СМС-вымогателей дров не подменяется - максимум инфицируется. При этом основной функционал не меняется, просто так себя скрывает вирусная компонента.
Я ОЧЕНЬ сомневаюсь в том, что вирусописатель будет издавать версию, нацеленную на узкую аудиторию пользователей именно с такими приводами. И точно так же я сомневаюсь, что в приводе нет возможности экстренного открывания лотка (ака "метод скрепки").
Вирусов, которые поражают BIOS, всего два и оба неактуальны
Очень интересный проект для лечения подобных зараз.
http://dsrt.jino-net.ru/uvs.htm
Billtmх
В том то и дело, что простой прогон антивирусом поможет только после добавления этих сигнатур в базы, а это случится не скоро при условии их постоянного обновления и малой времени жизни. Без ручного вмешательства здесь не обойтись.
http://dsrt.jino-net.ru/uvs.htm
Billtmх
В том то и дело, что простой прогон антивирусом поможет только после добавления этих сигнатур в базы, а это случится не скоро при условии их постоянного обновления и малой времени жизни. Без ручного вмешательства здесь не обойтись.
Цитата:
Очень интересный проект для лечения подобных зараз.
http://dsrt.jino-net.ru/uvs.htm
... с помощью которого кривые руки могут легко угробить всю систему
Цитата:
возьмите например IMAC7 где эджект происходит программным образом и(или) волшебной комбинацией клафиш, о которой большинство пользователей просто не знают
Взять "например" можно любой комп с Maс OS и eject это одна специальная клавиша на клавах Apple? ничего знать не надо.
Цитата:
У СМС-вымогателей дров не подменяется - максимум инфицируется. При этом основной функционал не меняется, просто так себя скрывает вирусная компонента.
Я ОЧЕНЬ сомневаюсь в том, что вирусописатель будет издавать версию, нацеленную на узкую аудиторию пользователей именно с такими приводами. И точно так же я сомневаюсь, что в приводе нет возможности экстренного открывания лотка (ака "метод скрепки").
А ну сомневаться ваше право но: есть гугль, и есть поиск по картиникам, можно глянуть и то и другое
Цитата:
Взять "например" можно любой комп с Maс OS и eject это одна специальная клавиша на клавах Apple? ничего знать не надо.
Это там в том районе где у ПС цифровая раскладка? Она не отработала, отработало удержание при загрузке компа буквы "С"
gjf Проект для опытных людей разумеется.
IvANANvI
Так как раз и после того, как др.веб прошарит комп, вручную дочищаю, если остался, по опыту, остаётся очень прилично хвостов и не опознанных антивирусом файлов. Хотя они палятся по дате или по тому, что висят в автозагрузке, для этого как раз LiveCD незаменим, тот же Alkids LiveCD, умеет подключать реестр зараженной винды.
Так как раз и после того, как др.веб прошарит комп, вручную дочищаю, если остался, по опыту, остаётся очень прилично хвостов и не опознанных антивирусом файлов. Хотя они палятся по дате или по тому, что висят в автозагрузке, для этого как раз LiveCD незаменим, тот же Alkids LiveCD, умеет подключать реестр зараженной винды.
Свежеотловленный с розовым порнобаннером, пока не детектится ни касперским, ни DrWeb-ом, ни большинством остальных антивирусов. Отчёт на Virustotal. Пароль на архив #.
Milk
Цитата:
Под Mac OS X или под Виндой?
Цитата:
это в firmware только работает, и это не eject, а загрузка с диска в приводе, если он загрузочный
Цитата:
где у ПС цифровая раскладка? Она не отработала
Под Mac OS X или под Виндой?
Цитата:
удержание при загрузке компа буквы "С"
это в firmware только работает, и это не eject, а загрузка с диска в приводе, если он загрузочный
Доброй ночи!Дайте пожалуйста ключ к висте хом премиум.
Flech025
Енто ты не сюда забрался, тебе сюдой надыть.
Енто ты не сюда забрался, тебе сюдой надыть.
ProcessExplorer+
что-то типа модификациии обычного ProcessExplorer'a повышающей его возможности.
Будет полезно в арсенале ловцов.
что-то типа модификациии обычного ProcessExplorer'a повышающей его возможности.
Будет полезно в арсенале ловцов.
Цитата:
to Neon2
Посмотри - нет ли чего подозрительного в реестре, вроде такого:
Код:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe"="C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe:*:enabled:Security_Monitor_Helper_Process"
Код:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe"="C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe:*:enabled:Security_Monitor_Helper_Process"
Код:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe"="C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe:*:enabled:Security_Monitor_Helper_Process"
В данном примере везде запись от трояна: "C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe"="C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe:*:enabled:Security_Monitor_Helper_Process"
Огромное спасибо!
Был, в указанных ветках, путь, типа
C:\DOCUME~1\kgenius\LOCALS~1\Temp\4_pinnew.exe:*:Enabled:Enabled
Причем в самой папке я такого файла не нашел (при выставленных параметрах - показывать скрытые файлы и папки). Путь более в реестр автоматически не прописыватся. Правда доверия к текущему экземпляру винды уже нет. Переставлять все же буду.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.