Перейти к содержимому


Фотография

Вирус


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 22

#21 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 26 Ноябрь 2010 - 06:00

читайте внимательно посты, уже довольно много советов на эту тему, в частности мой пост выше

Радуйтесь людям. Радуйтесь всему. Это Россия!


#22 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 29 Ноябрь 2010 - 05:15

Удаление Trojan-Ransom.Win32.Krotten своими руками


В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
«Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
Отключает контекстное меню у системных папок.
Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
Нарушает отображение обоев рабочего стола.
Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
Блокирует политиками запуск редактора реестра и диспетчера задач.
Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
Нарушает отображение и открытие дисков в проводнике.
Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

читать полностью

Радуйтесь людям. Радуйтесь всему. Это Россия!


#23 _Dazzz_

_Dazzz_

    Новичок

  • Пользователи
  • Pip
  • 3 сообщений
  • Пол:Мужчина
  • Интересы:advego.ru

Отправлено 26 Февраль 2012 - 12:02

Я лично не знаю ни одного человека, который бы смог снять банер поиском кода на сайтах антивирусов.
Сейчас банеры можно подцепить можно где угодно, не ттолько на порно сайтах! Я паследнего подцепил, когда хотел скачать фильм с одного достаточно популярного трекера!
В общем на моей памяти 6 банеров: 2 у меня, 4 у друзей! и снимал одним и тем же способом:
с помощью программы ERD Commander. Она загружается из под винды. Там есть возможность запуска аналога диспечара задач. В нём надо найти процессы со странными названиями не относящимися к вашей системе. Если нашли такой, жмёте правой кнопкой и делаете отсылку к этому файлу(там есть такая возможность)и удаляете его. Далее запускаете реестр и ищите этот же файл и его "следы". Скорее всего он будет в ветке автозагрузки. От туда его тоже надо удалить.
Вот собственно и всё!
PS из меня плохой рассказчик, но я описал так как мог!
advego.ru




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных