Внимание троян

[Mad Max 257]

Извини, я имел ввиду "пришло письмо по рассылке" и дальше текст этого письма.

Да, я понял, что это письмо было, просто подумал, может, знаешь... придется опять всю ночь по порно-сайтам искать  <_< .

[dohtor]

А ты экстремал...<_<

[androic]

На каком сайте можно такого трояна поймать? Хочу файервол свой проверить... :rolleyes:

Я свой экземпляр поймал на бестрефератс.ру, давненько уже. А вот недавно товарищ один словил этакой прыщик. Он, в основном, занимается скачкой фильмов и сериалов, и где пасётся - молчит, как рыба об лёд.

Каспер ему не помог, платил бабки мошенникам (время хотел выиграть), но исходника не нашёл. Так что у него весь "секас" ещё впереди! :wacko:

Изменено 4 ноября, 2009 пользователем androic

[amikemaster]

Вчера весь вечер "улыбался" над компом .

Словил вирус , хотя стояло два антивирусника .

Его конечное действо : Отключает всё на рабочем столе , горячие клавиши не действуют , выводит на экран всего одну форму оповещающую о незарегистрированной версии windows ( :smoke: ) и просит отправить SMS (ловушка для идиота) .

Действия : Ресет . Во время перезагрузки нажал F8 и выбрал безопасный режим . Прошустрил весь системный диск (вирус не обноружен двумя антивирами :good: ) . Со второй попытки нормально загрузиться понимаю , ет скатинка прописалась в реестре :dance: (?) с автозагрузкой . "Повторяю разговор с F8" . Благо есть портабельная RegCleaner . Посмотрел , что есть незнакомого в автозагрузке , посмотрел адреса и перешёл место расположение . Сие был вирус C:\Windows\Windows7addon.exe (иконка с ключиком). Удалил его и ещё удалил файл (тож exe , но имя может быть разное ) , который он сооружает в корне системного диска (для востановления) .

[Mad Max]

А firewall есть?

[amikemaster]

А firewall есть?

Outpost

[mikle545]

У меня такая защита:

Shadow Defender -это новый аналог программы, подобной ShadowUser, позволяющей поставить систему в режим тени - Shadow mode, при котором вам не грозят ни удаление важной информации, ни атака вирусов....

Огромное спасибо!

Попробовал эту чудесную программу.Я просто в восхищении.Мне часто приходится устанавливать различные программки для проверки,после чего диск засоряется остатками деинсталированных программ,что неизбежно приводит к замедлению работы компа.Да и остатки игрушек вносят свою лепту.

Проблему решал с помощью Acronis true image, который позволяет переустановить систему за считанные минуты.Плюс бесплатный Avast для защиты от троянов.

Shadow Defender -программа два в одном,да и работает шустро.Мне показалось, что в режиме Shadow скачка идет побыстрее,особенно в Dc++.

Хочу попробовать деинсталировать Avast и посмотреть скорость скачки.

Еше раз спасибо за наводку....

Пришло на почту, может пригодится кому:

В рунете разбушевалась мерзопакостная тварь под названием Trojan.Winlock (в классификации Dr.Web).

Эта зверюга подкрадывается незаметно (не ловится многими антивирусами даже с обновленными базами) и нападает на компьютер, вяжет его по рукам и ногам (блокирует), и начинает шантажировать владельца надписью типа этой:

Всякой гадости много в интернете.Мне попался экземпляр,который грузил процессор и очень шустренько размножался,даже умудрился залезть на флешки.Я не стал с ним возиться, а просто воспользовался Acronis. Я был просто в шоке потому,что этот номер не прокатил. Отформатировал винчестер,снова Acronis-снва мимо кассы,причем комп не грузиться вообще...

Только после второго форматирования диска комп стал работать.

Как выяснилось форматирование не уничтожает всю информацию.Перед вторым форматированием запустил программку восстановления данных,которая вытащила фотографии,которые были на винчестер 3 года назад...

Изменено 19 ноября, 2009 пользователем mebeljer
2.8. Несколько сообщений подряд (не забывайте, что если вы забыли высказать какую-то мысль, то не обязательно «флудить», можно отредактировать собственное сообщение и/или дополнить его). и 2.10. Оверквотинг - цитирование сообщения участника превышающ

[Mad Max]

Как выяснилось форматирование не уничтожает всю информацию.Перед вторым форматированием запустил программку восстановления данных,которая вытащила фотографии,которые были на винчестер 3 года назад...

Интересно-интересно... опять мне не попадались вирусы, которые бы выживали после форматирования... что-то я не так делаю... а, может у вас несколько дисков, а вы форматировали только системный?

[dohtor]

mikle545 Вот-вот. Я даже не помню когда последний раз прибегал к востановлению системы.

Закладки сохраняю на сервисе интернет закладок. Важную информацию не храню на диске. Новые программы испытываю на полезность в теневом режиме, и с последующей перезагрузкой они слетают без следа.

Главное преимущество - летаешь в интернете и не боишься ничего. Успехов.

Shadow Defender не дружит с Acronis. Удаляйте при установке другой.

Изменено 31 марта, 2011 пользователем dohtor

[amikemaster]

Обнаружил троян xxtr.lro (в сети нашёл страницу в которой сказано , что троян официально обнаружен в сети 14.11.09 на териториях Россия и америка ) . C неделю не предавал значения , так как антивир его постоянно грохал , но предупреждения о найденом тож выводят . Единственным избавлением стала утилита SUPERAntiSpyware , но и она не до конца избавила от проблем , т.к. троян залез в автозагрузку и при загрузке системы выдавал сообщение , что xxtr не найден . Опять же пришлось поработать поиском в regedit . 15мин ковыряния и стало всё спокойно :)

[zima11]

Закладки сохраняю на сервисе интернет закладок.

Я чьото туплю, разжуйте пожалуста, ато после каждой перезагрузки сохраненные закладки в избранном пропадают. Где этот сервис интернет закладок? :)

[dohtor]

здесь и ему подобные.

[amikemaster]

здесь и ему подобные

Интересный сервис , ток не всегда открывается.

[androic]

Кстати, по блокировщикам-вымогателям пять копеек. У Др.Веб, кажется, есть интересная страничка - симулятор кучи разновидностей этого трояна. Находишь окошко просьбы о подаянии, похожим на своё, и вводишь молимое СМС. В "ответ" приходит "код", который и вводишь у себя в окне трояна - ну типа уже заплатил. Если окошко выбрано верно и код подошёл, змей-трояныч отправляется отсыпаться в логово до следующей вылазки. Вот тут его и выщемить можно (блокировки антивир временно пропадают). Экстремальный способ, но может прокатить у тех, кто в реестре "в гостях"... :(

[dohtor]

Сосед обратился за помощью: заблокирован комп, требуют SMS. Поискал и нашёл: http://news.drweb.com/show/?i=304&c=9&p=0

Помогло. А то он хотел вызывать лекарей за 500 рублей.

[amikemaster]

Сосед обратился за помощью: заблокирован комп, требуют SMS. Поискал и нашёл: http://news.drweb.com/show/?i=304&c=9&p=0

Помогло. А то он хотел вызывать лекарей за 500 рублей.

Это временное действие и не факт , что поможет . В любом случае необходимо очистить реестр и удалить ключевой файл-вирус.

[dohtor]

Появилась хоть возможность поискать причину.

[Mad Max]

А прикольно они сделали - "найди своего трояна на скриншоте"...  :rolleyes: могли бы уж keygen для СМС-троянцев выпустить  :rolleyes:

[Butch]

А прикольно они сделали - "найди своего трояна на скриншоте"...  :rolleyes: могли бы уж keygen для СМС-троянцев выпустить  :rolleyes:

Вроде Symantec что то похожее сделал!!!

>Да еще можно прочесть<

[plotnik]

Наконец и у меня нашлось что сказать по этой теме :sorry:

Ставил какую-то прогу, в итоге неожиданно часов через 10 вылез проситель 5и копеек. До этого как раз прочитал тему, естественно денег тоже жалко на такую дрянь кидать. В общем, по верх всех окон вылазит реклама порномагазина с ссылками типа все это по подписке, т.е. законно покажет 1000 раз или 2 мес. Но можно откупиться. DrWeb стандартный не спас, записал диск с http://news.drweb.com/show/?i=304&c=9&p=0

Перезагрузился с диска, нашел еще 3 вируса, попутно рядом с одним из них в C:/Documents and settings/User/Application data валялся файл CMedia со всем и с фото, что вылазило.Обычно не удалялось. Поменял свойства, перезагрузился и удалил все на... И прочистил комп всеми чистилками реестра и служебными. Надеюсь, снес.

Изменено 18 января, 2010 пользователем plotnik

[amikemaster]

C помощью msconfig можете посмотреть что у вас в автозагрузке .

C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe

Очень удобно отключать модули , которые вы не хотите чтоб загружались , т.к. и без них комп работает великолепно :sorry:

[amikemaster]

Любители виндовз и полазить по порно сайтам частенько попадаются на одну и туже "фишку c отправлением смс" (Блокируется рабочий стол картинкой с указанием отправить смс). Не обольщайтесь ... Кода вам не видать !

НО есть другой путь . Возможно в безопасный режим комп не захочет перегружаться. Ни один антивирь не определяет вирус (конечно , ведь это всего лишь картинка загружаемая вместо рабстола). Что делать , ведь это лохотрон ?

Здесь начинаюся "танцы с бубном" . Если у вас есть LiveCD , то вам несказанно повезло ! Так достаточно просмотреть содержимое папок используемое вашим браузером и "грохнуть" все просматриваемые страницы , видио , картинки , виджеты в каждой папке отдельно . Делее лезем в реестр и находим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell .Там должен быть прописан Explorer.exe !!! Можно сделать наоборот :drinks: Сначало изименить запись , затем найти и "грохнуть" инокоимённый файл.

[Mad Max]

В общем, напишу еще немного про этого трояна (из предыдущего поста, из серии Win.Lock), т.к. за последнее время пришлось уже трижды с ним бороться.

Платить деньги, сами понимаете, не вариант.

Дано: при обычной загрузке винда блокируется, и висит баннер (разного содержания), безопасный режим заблокирован.

Решения:

1) посетить с помощью другого здорового ПК сайты типа др. Веба в поисках кода и попытаться его ввести в баннер (мне не помогло),

2) подключить винчестер с зараженного ПК к здоровому и лечить (не факт, что антивирус обнаружит новую модификацию трояна),

3) загрузиться с любого носителя в любую ОС, но так, чтобы был доступ к системному диску (на котором винда),

удалить папки TEMP, TMP (найти с помощью поиска) - я удаляю сразу все, чтобы не рыться в мусоре в поисках вируса (на данный момент этот троян поселяется именно во временной папке пользователя), после этого троян не загрузится, даже если вы не удалили ссылку на него из реестра,

4) чистить реестр - с этим сложнее, т.к. имеется тенденция записи этого трояна в разных местах рееста и не только, но если вы его действительно нашли (место поиска в предыдущем посте) и исправили запись, то баннер не должен грузится после перезагрузки.

После всех манипуляций проверяем весь ПК на вирусы, устанавливаем файервол и настраиваем его нормально (т.к. в одном из моих случаев трояна пропустил работающий на автомате Eset Smart Security).

Есть еще вариант, что после удаления троянца перестанет работать оболочка винды (т.е. explorer). Решения этой проблемы - исправление ключей реестра - ищим в интернете (мне не помогло, т.к. всех исходных параметров и адресов я не знал, всякие скрипты, AVZ тоже не спасли). Работать без оболочки можно, но не очень удобно. Спасает переустановка винды или восстановление системы. Не вариант, кстати, тоже.

В общем, я решил поставить людям на время (т.к. ПК был рабочий) альтернативную оболочку под названием Aston (30 дней пробная версия). Поставил. Работает. Стол рабочий и панель задач заменяет. В общем, далее переключаете обратно на Explorer, и Aston сам восстанавливает все параметры, нужные для запуска старой оболочки винды.

[ozone]

Для пользователей огненной лисы советую пользоваться плагином NoScript,избавляет от многих проблем...

[Mad Max]

Сегодня лечил еще одну модификацию, на этот раз проблемы были с userinit, который еще прописался в Image File Executions со ссылкой на троянца в корне системного диска...