Вирус, который каким-то макаром правил хост так, что вход на одноклассники был невозможен. Было перенаправление на
http://www.odnoklassniki.ru/check_security.php после того как вбиваешь свой логин и пароль. На странице пишется, что от юзера было много спама и нужно разблокировать учетку, указав свой номер.
Файл системный, относится к какой-то службе. CureIT и MSE эту гадость еще не знают.
Зараженый host выложить не могу, потому, как его kaspersky rescue cd "исправил", хотя я до этого на hosts из под wnpe глядел акельпадом - обычный хост.
AntiSMS 3.5 из под живой системы не спас, ровно как и AntiSMS.ISO не нашел вообще следа негодника.
Пароль на архив 1
Находилась гадость в c:\windows\system32 После чистки этого файла каспером система загружалась ну ооочень долго. Помогло восстановление реестра через ERDNT. Вся гадость была захвачена под ХР друга, который живет далеко, а потому больше информации предоставить не могу. (Железо и где поймал)
http://rghost.ru/45069674
P.S. Отправьте его кто-нибудь в лабораторию мелкомягких. Я не умею
(Свежак же https://www.virustotal.com/ru/file/9ad8 … 365183110/)
Отредактировано MBTY (05.04.2013 20:33:32)
скорее всего это новый вирус, что заменяет rpcss
g0dl1ke
так то оно так, да только деньги вымогает, потому как при указании номера в одноклассниках приходит на телефон инструкция, что мы должны отправить смс на короткий номер, чтобы разблокироваться. Вобщем не вирус больше, а ломалка настроек интернета, которые AntiSMS из под живой системы не вылечил. Сам понимаю, что это больше зловред вирусный, но счел нужным и сюда разместить
MBTY Удалила эту гадость у соседки простым сканированием ESS4. Сынок её играл онлайн и выключил антивирь. После сканирования и очистки всё пришло в норму.
есет умеет "лечить" зараженный файл
в случае использования других (ибо другие продукты лечить пока НЕ научились) необходимо из под live заменить зараженный файл
фактически это очередной баннер, но с более хитрой системой интегрции, ибо простым сбросом носков (winsock), сбросом арп и днс, чисткой хостс - данная угроза не лечится
g0dl1ke
Вспоминаю 2009 год, когда мне самый свежий на то время Eset стер все ехе молча, которые были заражены каким то типичным трояном. Да так, что даж Win запуститься не смогла.. Ох я тогда намучался. Касперский умеет лечить из под Rescue Disk и из под живой ОСи, да и Dr.Web и CureIt.
P.S. Сегодня сам хапнул винлокер с сайта http://rustorka.com, хотя был и Adbloсл включен и прочие предосторожности приняты. AntiSMS справился. Стало мне везти на "новинки". Его тоже на virustotal нкто кроме каспера еще не знал
MBTY
а как на русторке умудрился? частенько туда захаживаю, но у меня "корова" с "адблоком" в паре трудятся...
MBTY
в данном случае тока есет и лечит
а так да, бэкапы рулят
happywanderer
http://rustorka.com/forum/viewtopic.php?t=71076
Нажал на Age of empires 2 HD. Вылезла страница на заднем плане. (Pounder или clickunder, хрен ее знает), потом пуск пропал, свернул оперу, а под оперой уже блокиратор красуется с рассказами о том, что я глядел гей порно. Диспетчер задач заглох, всё заглохло. Ну я сам оперу альт+табом вызвал, закрыл. Ребутнулся в AntiSMS, вылечился. На рабочем столе нашелся какой-то циферный ехе (2134234.exe). Скачал я потом Age of Empires 2 HD. А её и правда п%:расы делали. Флуд (раскрыть): Старую добрую игруху запороть умудрились. Растянули стартовое меню, что оно как замыленное выглядит. Текстуры холмов и оврагов в игре тоже заменили на хрен знает, что (вся игра с рождения в 256 цветов, а тут яма чи холм так нарисована в TrueColor, что не поймешь - возвышенность это или яма.
Вот как рельеф реализован в новой HD версии , а вот что было в оригинале
Ну в общем выходные не удались.
0 0 сообщает:
После отработки AntiSMS и запуска Win 8 x32 идёт проверка системного диска. Затем восстановление, диагностика и устранение проблем.
Не получается повторить проблему, система загружается без ошибок. Проведите несколько экспериментов, например появится ли ошибка, если загрузиться в WinPE, но не запускать AntiSMS, или что будет, если запускать другие WinPE на основе WinXP и Win7-8.
MBTY
К сожалению после подмены библиотеки троян никак себя не проявляет, на одноклассниках никаких аномалий не видно. Может быть он дополнительно модифицировал реестр (его можно посмотреть, ERDNT сохраняет резервные копии текущих кустов перед восстановлением резервной копии).
simplix, заражаю локером ось, гружусь в WinPE AntiSMS не запускаю, перезапускаю - проблема повторяется.
Если повторить тоже самое НЕ запуская локера, то опять имеем ту же проблему.
Отсюда вывод: ни локер, ни AntiSMS тут не причём. Проблема в тестовом стенде. (Возможно из-за перезагрузки ОС наживую.)
Отредактировано 0 0 (06.04.2013 23:01:07)
simplix, как иначе перезагружать систему заражённую локером?
simplix
Хост тоже был заражен (я писал выше), но я его выловить не успел, а вот реестр с радостью бы дал весь "слепок", да только когда попаду к другу за ПК - будет поздно уже.
0 0
Можно нажать на кнопку питания, тогда система корректно выключится. А в Win7 и выше Ctrl+Alt+Del всегда покажут экран, где можно перезагрузиться.
MBTY
Так или иначе, если всё делать по инструкции, в которой написано проверить компьютер антивирусом, проблема будет решена.
0 0 сообщает:
simplix, как иначе перезагружать систему заражённую локером?
В былые времена, когда локер блокировал раб.стол использовал в ХР последовательность манипуляций: Ctrl+Esc -> вверх -> вверх -> вверх -> набрать winword + Enter -> напечатать любой символ -> нажать кнопку выключения компутера (не резет), машина начинает сворачивать окна, остаётся только Ворд с вопросом "Сохранять?" "Не сохранять?", отменяем "Завершение работы", ну а дальше, у кого как голова думает...
MBTY http://rustorka.com/forum/viewtopic.php?t=71076
- Не знаю где вы там винлокер нашли? Я все "перещелкал" .....чисто!
- Вот свежий блокер http://rghost.ru/45114157 пароль virus ...AntiSMS на нем не тестировал.
olzaruta, AntiSMS справляется на ура. (уже и на Autoit пишут локеры))))
Русторка также не дала локера как не мучал
з.ы. По поводу перезагрузки: всё из-за того что нет "почтения" к тестовому стенду.
Был бы не тестовый стенд, а собственный комп, то, возможно, и "бережней" бы передёргивал, а не по ресету.
В любом случае, спасибо что ответили на риторический вопрос)
Отредактировано 0 0 (07.04.2013 15:46:35)
simplix
это ваша тема https://forum.drp.su/showthread.php?t=4140 ???
Скрытый текст (раскрыть):
если "да", то почему "собственный LiveCD"?
Отредактировано weldance (08.04.2013 15:15:34)
olzaruta
в этом блокере свежая только картинка, тестил на живой системе, кроме автозагрузки никуда не влез, да и из под винды можно грохнуть если постараться.
MBTY
заразил свою хр, ковыряю
кстати, сейчас ситуация намного лучше: https://www.virustotal.com/ru/file/9ad8 … 365404271/
20 / 46
авира умеет и могет лечить данный вирус - удаляя rpcss нафиг
Отредактировано g0dl1ke (08.04.2013 12:50:54)
simplix,MBTY Могу ли я при помощи AntiSMS USB Installer 3.5 записать мой собственный LiveCD на флешку? Я так понимаю ему главное указать путь к iso файлу а будет ли там сборка СМС или другая - не имеет значения?
Отредактировано warikkk (10.04.2013 11:47:37)
warikkk путь к iso файлу ANTISMS.iso Другой образ записать не получится да и не к чему - программ для записи образов много
simplix по моему в ХР еще можно нажать Ctrl+Alt+Del а потом еще раз Ctrl+Alt+Del и комп должен перезагрузится. но воможно ошибаюсь так как сейчас под рукой ХР нет, что бы проверить.