Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
что самое прикольное, народ таки платит, факт. причем отправив три четыре SMS стоимостью 35 грн. потом зовет меня что бы я за символические 100грн. или пиво это починил. гадость сия может проступать в виде нескольких модификаций. на сайде DrWEb был даже выложен генератор ключей. есть возможность того что "само рассосется" через пару часов.
но лучшая возможность не лазить х.. знает где
вероятная точка проникновения вируса, наш дорогой и всеми любимый IE
Присоединённые изображения
____________________
Ничто так не сближает людей, как снайперский прицел
Rumata вообще то точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля. Кейген полмагает, лично пробовал. И вроде как через 2-3 часа блокировка должна сама исчезнуть.
Группа: Gold Member
Сообщений: 860
Регистрация: 11.02.09 Авторитет: 62
Вне форума
Предупреждения: (0%)
так же видел как нижнюю половину окна ИЕ появляется мега банер с порносодержанием который нельзя закрыть, где пишется что мол хочешь убрать отправь СМС на номер бла бла ... юзеры отпраяли, а он не уберался.. так они раздасадованные обиженно несли ПК ко мне))) а лечилось простым сбросом настроек ИЕ к дефолтным и указанием пользователя не пользоватся ИЕ
____________________
- Рыба, сказал он, я тебя очень люблю и уважаю. Но я убью тебя прежде, чем настанет вечер. (с) Э. Хемингуэй. Старик и Море.
Группа: Gold Member
Сообщений: 1124
Регистрация: 03.09.07 Авторитет: 41
Вне форума
Предупреждения: (0%)
Баян, не баян, а актуальности тема не теряет:
Цитата(Nikolas @ 9 Июля, 2009, 9:22)
точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля.
Не только и не столько кодЕки. Любимый источник - программы для повышения рейтинга Вконтакте, левые даунлодеры, кряки и прочая гадость. Мне попадался залоченный комп, в который эта кака пролезла через jpg-картинку. Причем через Файрфокс-2. Правда - с порносайта, факт =)
Цитата(Nikolas @ 9 Июля, 2009, 9:22)
Кейген полмагает, лично пробовал.
Увы, не всегда.
Цитата(Nikolas @ 9 Июля, 2009, 9:22)
И вроде как через 2-3 часа блокировка должна сама исчезнуть.
Скорее всего это кому-то попалась "отладочная" версия, убежавшая от автора =)
Цитата(Пэтро @ 9 Июля, 2009, 14:20)
Нефиг по порносайтам лазить. И запускать скачанные оттуда activex библиотеки - запускаемые файлы.
Истина
На самом деле этот поганец - скорее всего разновидность дряни, именуемой Каспером "Trojan-IM.Win32.Krotten", а DrWeb'ом - "Trojan.Locker".
Случай, когда троян просто лочит комп - самый простой, загрузка с лайв-сиди, бэкап важных данных, переустановка/накат системы. Или восстановление реестра плюс тщательный поиск и убиение пакости. Вот полезная ссылка: http://support.microsoft.com/default.aspx?...kb;Ru-RU;307545
Второй по гадостности случай - когда вирус в добавку к порче реестра еще и переименовывает файлы системы, причем так, как сама винда сделать не в состоянии. Бэкап и ресетап. Или кейгены от Каспера, ДрВеба или кто там еще не поленился написать.
Ну и первое место: локеры-шифровальщики. В дополнение к вышеупомянутым пакостям шифруют файлы заданного типа. Вот тут приходится погеморроиться. Антивирусные компании давно выпустили тулзы, которые расшифровывают файлы. Но: нужно знать ключ. Аналитики выкладывают ключи для всех отловленных и вскрытых вирусов - а их модификаций много. Да и одна и та же зараза от версии к версии шифрует разными ключами. Последние модификации шифраторов используют 1024-битные ключи и их, насколько я знаю, до сих пор не вскрыли.
Следует учесть, что попытка расшифровать файлы с чужим ключем их необратимо портит, поэтому манипуляции надо производить на копиях.
В этом случае обычная практика - заплатить требуемую сумму. Увы =(
В этом случае обычная практика - заплатить требуемую сумму
Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов. Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.
Группа: Gold Member
Сообщений: 1124
Регистрация: 03.09.07 Авторитет: 41
Вне форума
Предупреждения: (0%)
Цитата(alexk @ 9 Июля, 2009, 21:02)
Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов.
Само собой. Просто это меры профилактические, а я рассматривал случай когда компутер УЖЕ заболел =)
Цитата(alexk @ 9 Июля, 2009, 21:02)
Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.
Это верно. Но чаще всего, если ни один ключ из предложенных антивирусными компаниями не подошел, или такового еще не существует (а брутфорсинг 1024-битного ключа занимает очень много времени на не самой слабой технике), обычно плата - последний работающий метод.
Была и такая байда. нужно просто замочить процесс ctfmon.exe работающий из C:\windows запустить explorer.exe с помощью "выполнить" в диспетчере. и удалить из реестра автозагрузку этого файла
Вот только так и не понял как безвредный ctfmon.exe, который собственно отвечает за языковую панель в трее, может приводить к подобной фигне
Очень просто. Во первых вирус мог просто заменить этот файл на свой зараженный, во вторых даже не заменяя, просто дописаться к коду этого файла, да и другие способы есть.
WereWolf тоесть путь загрузки файла?? он работает и загружается прям из винды. а выполняется експлорером когда идет автозапуск программ с РЕЕСТРА. C:\windows\ctfmon.exe
Да и еще если в папке windows есть файл svchost.exe удаляйте его ТОЖЕ ВИРУС.
ОРИГИНАЛЬНЫЙ SVCHOST.EXE И CTFMON.EXE ЛЕЖАТ В \SYSTEM32
в некоторых локальных сетях Харькова народ возмущался по поводу появления такого, причем такое появлялось вроде какпослеприхода мастеров настройки, когда тупо отрубали фаирволы и антивирусы... такое встречалось после установки любителей Zver сборки винды.
SynkMaster Стандартный вариант восстановления системы-просто загрузиться с флешки и подцепив внешний реестр, посмотреть в него. а уж если известны пути, откуда лезет дрянь-так просто вычистить оную ручками! А ещё поймать бы написателя этой дряни..... Ух, и размялся бы я Хотя, спасибо ему, пока такие писатели будут-мы не останемся без нашего кусочка масличка на вкусном хлебушке
____________________
Время разбрасывать камни Время и убирать пришибленных!
По роду работы уже приходилось сталкиваться пока только с тем, что у народа в "ишаке" окно, которое проситотправить СМС и дать денег. Лечится Ctrl+Alt+Del. Сессию начинать заново. Дополнения, если таковые появились, в настройках обозревателя - удалять или хотя бы отключать