Alexander A Manaeff -

 
 

Борьба с очередным трояном

Все об администрировании рабочих станций Windows 95/98/NT/2000/XP/7/8. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.

Модератор: UncleFather

Борьба с очередным трояном

Сообщение UncleFather » 18 янв 2010 13:35, Пн

Проблема:
Имеем Windows XP SP1 Rus. После загрузки открывается традиционное для данной категории торянов окно с сообщением о нарушении лицензионного соглашения и предложением отправить смс с текстом "k705813900" на номер 4460.
Никакие приложения при этом не запускаются. На DrWeb трояна с таким текстом смс нет.
В процессах из подозрительных только "RunDLL32.exe". Если его завершить - окно трояна исчезает, но приложения так же не запускаются, либо при запуске очередного приложения открывается окно трояна.
В безопасном режиме - та же самая ситуация.
Дело в том, что троян прописывает в себя в реестре таким образом, что при вызове любых dll файлов запускается сам троян. ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs")
Решение:
Если есть физический доступ к зараженному компьютеру - никаких проблем нет. Загружаемся с LiveCD или любого другого загрузочного носителя (либо вынимаем НЖМД и подключаем его к другому компьютеру) и сканируем бесплатной утилитой от DrWeb "DrWeb CureIt!".
Если физического доступа к компьютеру нет, но он находится в локальной сети, то:
  1. На здоровом компьютере, в той же ЛВС, что и зараженный:
    • Открываем
      Код: Выделить всё
      regedit
    • Подключаем сетевой реестр зараженного компьютера (подключение должно быть выполнено с правами администратора зараженного компьютера)
    • Находим разделHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Если обновить реестр несколько раз, то видно, что значение ключа "AppInit_DLLs" постоянно меняется. Это действует вирус. В оригинале значение ключа должно быть пустым.
    • Чтобы запретить вирусу менять значения этого параметра, оставляем права "Только чтение" для всех групп и пользователей, предварительно сняв галочку "Наследовать права" для всего раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    • Чтобы обнулить значение ключа "AppInit_DLLs", добавляем пользователя "Сеть" с полными правами на раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    • Очищаем значение параметра "AppInit_DLLs"
  2. На зараженном компьютере:
    • Перезагружаемся, после перезагрузки окно трояна уже не должно появляться
    • Запускаем бесплатную утилиту от DrWeb "DrWeb CureIt!", выполняем быстрое, а затем и полное сканирование системы
    • Перезагружаемся
    • Возвращаем права на раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
PS:
  1. Коды активации:
    • K705813900 - 4927135222
    • K705913800 - 4927235422
    • K705113900 - 4927335222
    • K704113300 - 4926935322
  2. Телефон техподдержки, где сообщают коды разблокировки: (495)3631427 добавочный 555
  3. Утилита очистки от Касперского
Аватара пользователя
UncleFather
Site Admin
 
Сообщения: 1256
Зарегистрирован: 17 авг 2004 17:20, Вт

CMedia и FieryAds – очередные порно-sms-вымогатели

Сообщение Bibigool » 18 янв 2010 13:37, Пн

Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ). При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте. При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему.
Симптомы заражения:
На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
Лечение:
  1. Перезагружаемся в безопасном режиме под тем же пользователем (либо придется сделать исправление в bat-файле - вместо %userprofile% пишем полный путь до папки Application data зараженного пользователя)
  2. Выполняем reg-файл:
    Код: Выделить всё
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{6B830884-20E3-4AB6-B672-2629F0F72071}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    "FieryAds v2.0.2"=-
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32]
    @=""
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID]
    @=""
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID]
    @=""
  3. Запускаем bat-файл:
    Код: Выделить всё
    rd /S /Q "%userprofile%\Application data\CMedia"
    rd /S /Q "%userprofile%\Application data\FieryAds"
    del /f /q "%userprofile%\Application data\fieryads.dat"
    regsvr32 /i shell32.dll
  4. Сканируем систему свежим антивирусом
Оригинал статьи
Аватара пользователя
Bibigool
 
Сообщения: 41
Зарегистрирован: 18 авг 2004 00:13, Ср


Вернуться в Администрирование Windows Workstations

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Alexander A Manaeff -
@Mail.ru .