smsrazvodu.netвсё об смс-мошенниках
СМС-мошенничество → Как удалить Trojan.WinLocker
Сегодня с утра на работе сотрудница словила троян, требующий отправки SMS на короткий номер.
Тут должна быть картинка с трояном, но что самое смешное, я не смог запустить его на виртуалке. Даже в автозагрузку его прописывал, ну не хочет работать и всё. В общем, если желающие сделают скриншот, то будет очень неплохо. Сам троян для опытов можно скачать отсюда. При этом я видел окно только мельком, но выглядело оно красиво :).
Распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).
Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).
Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
Убиваем его через taskill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.
В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.
И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.
Тут должна быть картинка с трояном, но что самое смешное, я не смог запустить его на виртуалке. Даже в автозагрузку его прописывал, ну не хочет работать и всё. В общем, если желающие сделают скриншот, то будет очень неплохо. Сам троян для опытов можно скачать отсюда. При этом я видел окно только мельком, но выглядело оно красиво :).
Распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).
Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).
Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
Убиваем его через taskill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.
В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.
И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.
Прямой эфир
- Vikki → Как вернуть деньги с отправленного на короткий номер 7122 сообщения? 13 в СМС-мошенничество
- vladimirukraine → Крупное мошенничество XXI века. 3 в Блог им. meex
- dmitriy2935021 → Осторожно!У вас может объявиться дядя(погибший) с большим наследством! 1 в Блог им. irleksa
- ceyhun → Очередной развод от SMSZilla. "СМСМаньяк" http://smsmanyak.ru/ 2 в СМС-мошенничество
- olgasuper → СМС мошенничество. Ошибочное пополнение вашего счета. 1 в Блог им. sergey_ognevsky
- misecondi → Сервис вида "Угадай-ка" 1 в Раскрываем карты
- wanya → Пишем жалобу в биллинг 2 в Офис спасателей Малибу
- ivamishin → Развод на примере конструктора ICQ-клиента jimm http://konstruktor-jimm.ru/ 1 в Раскрываем карты
- Amelin → Информирование о стоимости СМС для абонентов МТС. 4 в Новости проекта
- colobaev → Будьте бдительны. 1 в СМС-мошенничество
- Eris29 → Как бросить курить? СМС РАЗВОД НА tabakstop.ru 2 в Блог им. hardik
- olgafrolova → Развод от мобильных мошенников 1 в СМС-мошенничество
- LIMON → www.gazoilsystem.ru просят отправить смс для получения пароля за 305 рублей. 2 в СМС-мошенничество
- peran-vorona → Сервис контроля телефонов http://totalcontroler.com/ 4 в Раскрываем карты
- karlson → подскажите! 1 в Блог им. Merency
- Sashtigo → 3D-кинотеатр у вас дома! СМС-мошенничество на примере http://3d-home-cinema.ru/ и http://3dfilm-doma.ru 3 в Раскрываем карты
- karlson → Скачать новый JIMM за СМС 2 в Раскрываем карты
- malkov76 → Порнобаннеры и порновирусы (Часть I) 8 в СМС-мошенничество
- Doktor_klo → Новый развод мошенников 1 в Блог им. zloi2009
- Doktor_klo → Скачай 100 стилей «В Контакте» c http://vkonstyles.ru/ 2 в Блог им. Doktor_klo
Блоги
- 5.70Раскрываем карты
- 3.20СМС-мошенничество
- 0.00Новости проекта
- 0.00Офис спасателей Малибу
- 0.00Перлы поддержки
- 0.00Проверенные сайты
Наши партнёры:
|
- http://loxnet.ru. Всё о разводах, мошенничестве, лохотронах и аферах. |
|
- smsrent.ru. Правильный СМС-биллинг. |
© 2009 smsrazvodu.net "Все об смс-мошенниках"
Офис спасателей Малибу: support@smsrazvodu.net
При копировании материалов, ссылка на сайт обязательна.
Офис спасателей Малибу: support@smsrazvodu.net
При копировании материалов, ссылка на сайт обязательна.
|
|
|
|
|
|
Сайт работает на движке LiveStreet.ru
Комментарии (0)
RSS свернуть / развернутьТолько зарегистрированные и авторизованные пользователи могут оставлять комментарии.