Борьба с очередным трояном

Все об администрировании рабочих станций Windows 95/98/NT/2000/XP/7/8. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Борьба с очередным трояном

Сообщение UncleFather »

Проблема:
Имеем Windows XP SP1 Rus. После загрузки открывается традиционное для данной категории торянов окно с сообщением о нарушении лицензионного соглашения и предложением отправить смс с текстом "k705813900" на номер 4460.
Никакие приложения при этом не запускаются. На DrWeb трояна с таким текстом смс нет.
В процессах из подозрительных только "RunDLL32.exe". Если его завершить - окно трояна исчезает, но приложения так же не запускаются, либо при запуске очередного приложения открывается окно трояна.
В безопасном режиме - та же самая ситуация.
Дело в том, что троян прописывает в себя в реестре таким образом, что при вызове любых dll файлов запускается сам троян. ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs")
Решение:
Если есть физический доступ к зараженному компьютеру - никаких проблем нет. Загружаемся с LiveCD или любого другого загрузочного носителя (либо вынимаем НЖМД и подключаем его к другому компьютеру) и сканируем бесплатной утилитой от DrWeb "DrWeb CureIt!".
Если физического доступа к компьютеру нет, но он находится в локальной сети, то:

  1. На здоровом компьютере, в той же ЛВС, что и зараженный:

    • Открываем

    • Подключаем сетевой реестр зараженного компьютера (подключение должно быть выполнено с правами администратора зараженного компьютера)

    • Находим разделHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Если обновить реестр несколько раз, то видно, что значение ключа "AppInit_DLLs" постоянно меняется. Это действует вирус. В оригинале значение ключа должно быть пустым.

    • Чтобы запретить вирусу менять значения этого параметра, оставляем права "Только чтение" для всех групп и пользователей, предварительно сняв галочку "Наследовать права" для всего раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    • Чтобы обнулить значение ключа "AppInit_DLLs", добавляем пользователя "Сеть" с полными правами на раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    • Очищаем значение параметра "AppInit_DLLs"

  2. На зараженном компьютере:

    • Перезагружаемся, после перезагрузки окно трояна уже не должно появляться

    • Запускаем бесплатную утилиту от DrWeb "DrWeb CureIt!", выполняем быстрое, а затем и полное сканирование системы

    • Перезагружаемся

    • Возвращаем права на раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

PS:

  1. Коды активации:

    • K705813900 - 4927135222

    • K705913800 - 4927235422

    • K705113900 - 4927335222

    • K704113300 - 4926935322

  2. Телефон техподдержки, где сообщают коды разблокировки: (495)3631427 добавочный 555

  3. Утилита очистки от Касперского


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение

Аватара пользователя
Bibigool
Сообщения: 41
Зарегистрирован: 17 авг 2004 23:13, Вт

CMedia и FieryAds – очередные порно-sms-вымогатели

Сообщение Bibigool »

Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ). При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте. При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему.
Симптомы заражения:
На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
Лечение:

  1. Перезагружаемся в безопасном режиме под тем же пользователем (либо придется сделать исправление в bat-файле - вместо %userprofile% пишем полный путь до папки Application data зараженного пользователя)

  2. Выполняем reg-файл:

    Код: Выделить всё

    Windows Registry Editor Version 5.00
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{6B830884-20E3-4AB6-B672-2629F0F72071}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    "FieryAds v2.0.2"=-
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32]
    @=""
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID]
    @=""
    [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID]
    @=""
    
  3. Запускаем bat-файл:

    Код: Выделить всё

    rd /S /Q "%userprofile%\Application data\CMedia"
    rd /S /Q "%userprofile%\Application data\FieryAds"
    del /f /q "%userprofile%\Application data\fieryads.dat"
    regsvr32 /i shell32.dll 
  4. Сканируем систему свежим антивирусом

Оригинал статьи

Ответить