Рекламный блок.

что самое прикольное, народ таки платит, факт. причем отправив три четыре SMS стоимостью 35 грн. потом зовет меня что бы я за символические 100 грн. или пиво это починил. гадость сия может проступать в виде нескольких модификаций. на сайде DrWEb был даже выложен генератор ключей. есть возможность того что "само рассосется" через пару часов.

но лучшая возможность не лазить х.. знает где

вероятная точка проникновения вируса, наш дорогой и всеми любимый IE

Присоединённые изображения

Rumata вообще то точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля.
Кейген полмагает, лично пробовал.
И вроде как через 2-3 часа блокировка должна сама исчезнуть.

баян

так же видел как нижнюю половину окна ИЕ появляется мега банер с порносодержанием который нельзя закрыть, где пишется что мол хочешь убрать отправь СМС на номер бла бла ... юзеры отпраяли, а он не уберался.. так они раздасадованные обиженно несли ПК ко мне))) а лечилось простым сбросом настроек ИЕ к дефолтным и указанием пользователя не пользоватся ИЕ

Rumata
Микрософту ещё учиться и учиться зарабатывать бабки.
Заблокировало пиратскую винду - отправь смс стоимостью 69 долларов

Нефиг по порносайтам лазить. И запускать скачанные оттуда activex библиотеки - запускаемые файлы.

Баян, не баян, а актуальности тема не теряет:

точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля.

Не только и не столько кодЕки. Любимый источник - программы для повышения рейтинга Вконтакте, левые даунлодеры, кряки и прочая гадость. Мне попадался залоченный комп, в который эта кака пролезла через jpg-картинку. Причем через Файрфокс-2. Правда - с порносайта, факт =)

Кейген полмагает, лично пробовал.

Увы, не всегда.

И вроде как через 2-3 часа блокировка должна сама исчезнуть.

Скорее всего это кому-то попалась "отладочная" версия, убежавшая от автора =)

Нефиг по порносайтам лазить. И запускать скачанные оттуда activex библиотеки - запускаемые файлы.

Истина


На самом деле этот поганец - скорее всего разновидность дряни, именуемой Каспером "Trojan-IM.Win32.Krotten", а DrWeb'ом - "Trojan.Locker".

Случай, когда троян просто лочит комп - самый простой, загрузка с лайв-сиди, бэкап важных данных, переустановка/накат системы. Или восстановление реестра плюс тщательный поиск и убиение пакости. Вот полезная ссылка: http://support.microsoft.com/default.aspx?...kb;Ru-RU;307545

А вот одно из описаний проблемы: http://forum.kaspersky.com/lofiversion/ind...php/t50043.html

Второй по гадостности случай - когда вирус в добавку к порче реестра еще и переименовывает файлы системы, причем так, как сама винда сделать не в состоянии. Бэкап и ресетап. Или кейгены от Каспера, ДрВеба или кто там еще не поленился написать.

Ну и первое место: локеры-шифровальщики.
В дополнение к вышеупомянутым пакостям шифруют файлы заданного типа.
Вот тут приходится погеморроиться. Антивирусные компании давно выпустили тулзы, которые расшифровывают файлы. Но: нужно знать ключ. Аналитики выкладывают ключи для всех отловленных и вскрытых вирусов - а их модификаций много. Да и одна и та же зараза от версии к версии шифрует разными ключами. Последние модификации шифраторов используют 1024-битные ключи и их, насколько я знаю, до сих пор не вскрыли.

Следует учесть, что попытка расшифровать файлы с чужим ключем их необратимо портит, поэтому манипуляции надо производить на копиях.

В этом случае обычная практика - заплатить требуемую сумму. Увы =(

В этом случае обычная практика - заплатить требуемую сумму

Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов. Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.

Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов.

Само собой. Просто это меры профилактические, а я рассматривал случай когда компутер УЖЕ заболел =)

Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.

Это верно.
Но чаще всего, если ни один ключ из предложенных антивирусными компаниями не подошел, или такового еще не существует (а брутфорсинг 1024-битного ключа занимает очень много времени на не самой слабой технике), обычно плата - последний работающий метод.

ЗЫ прошу не считать, что я "поощряю терроризм".

Была и такая байда. нужно просто замочить процесс ctfmon.exe работающий из C:\windows
запустить explorer.exe с помощью "выполнить" в диспетчере. и удалить из реестра автозагрузку этого файла

Отредактировал SynkMaster - 9 Октября, 2009, 17:50

Именно так сегодня и сделал людям , сначала поотрубал все из автозугрузки, а потом включая поочереди, понял что это

процесс ctfmon.exe работающий из C:\windows

Вот только так и не понял как безвредный ctfmon.exe, который собственно отвечает за языковую панель в трее, может приводить к подобной фигне

Вот только так и не понял как безвредный ctfmon.exe, который собственно отвечает за языковую панель в трее, может приводить к подобной фигне

Очень просто. Во первых вирус мог просто заменить этот файл на свой зараженный, во вторых даже не заменяя, просто дописаться к коду этого файла, да и другие способы есть.

все проще. оригинальный файл лежит в %windir%\system32

Да. Я вообще написал про случай, когда "безвредный файл" может быть модифицирован и быть вредоносным

SynkMaster
а путь загрузки файла?

WereWolf
тоесть путь загрузки файла??
он работает и загружается прям из винды.
а выполняется експлорером когда идет автозапуск программ с РЕЕСТРА.
C:\windows\ctfmon.exe

Да и еще если в папке windows есть файл svchost.exe удаляйте его ТОЖЕ ВИРУС.

ОРИГИНАЛЬНЫЙ SVCHOST.EXE И CTFMON.EXE ЛЕЖАТ В \SYSTEM32

в некоторых локальных сетях Харькова народ возмущался по поводу появления такого, причем такое появлялось вроде как после прихода мастеров настройки, когда тупо отрубали фаирволы и антивирусы...
такое встречалось после установки любителей Zver сборки винды.

такое встречалось после установки любителей Zver сборки винды.

любят детишки разные комбайны...
а книжки читать некогда, все аськи, контакты и ютубы...
потом смотрят в список процессов и видят фигу

SynkMaster
Стандартный вариант восстановления системы-просто загрузиться с флешки и подцепив внешний реестр, посмотреть в него. а уж если известны пути, откуда лезет дрянь-так просто вычистить оную ручками!
А ещё поймать бы написателя этой дряни..... Ух, и размялся бы я
Хотя, спасибо ему, пока такие писатели будут-мы не останемся без нашего кусочка масличка на вкусном хлебушке

По роду работы уже приходилось сталкиваться пока только с тем, что у народа в "ишаке" окно, которое просит отправить СМС и дать денег. Лечится Ctrl+Alt+Del. Сессию начинать заново. Дополнения, если таковые появились, в настройках обозревателя - удалять или хотя бы отключать