[Grey_rnd]

Цитата Котяра:

Популярная у вирусописателей тема - фальшивый антивирус. »

Мне всегда было интересно кто ведется на такого рода антивири?

[Baw17]

при отсутсвии интернета незаменим
и самое интересное что все эти порно баннеры и вымогатели неработают под X64

Цитата Котяра:plugin.exe »

а вот эта зараза откуда запущена оттуда и стартует
в автозапуске невидно

[Котяра]

Цитата Baw17:

а вот эта зараза откуда запущена оттуда и стартует в автозапуске невидно »

Все классически (http://virusinfo.info/showthread.php...t=plugin.exe):

Код:

O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"

Цитата Grey_rnd:

Мне всегда было интересно кто ведется на такого рода антивири? »

Существует даже онлайновый псевдоантивирус.
Сайт d?f??d-p?.ru (значком ? закрыл некоторые символы). (http://news.drweb.com/show/?i=867&c=23&p=0)

[Котяра]

Вирус Internet Security на FAT32 (http://virusinfo.info/showthread.php?t=68054):

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\uhqryrocs.dll

Защита от Trojan-Ransom:

• Избегайте установки кодеков (Flash) с сайтов, рекламируемых баннерами
• Следует читать лицензионные соглашения устанавливаемого ПО. Есть, например, flvDecode.exe, он перед блокировкой системы выдает соглашение, в одной из строк которого написано при мерно следующее: "Через 1 час Вы обязаны отправить SMS". И действительно, если пользователь соглашается, то в папку Temp помещается файл kui[ЦИФРА].tmp или don[ЦИФРА].tmp, который запускается, ждет 1 час и выводит окно "Уведомление о необходимости оплат"
• Отключите автозапуск флешек
• Обновляйте Adobe Reader и не пользуйтесь IE (особенно 6)

Помимо Trojan.Winlock существуют и другие виды троянских вымогателей.
Один из таких видов - Trojan.Encoder. В случае заражения данным трояном файлы пользователя шифруются, их расширение изменяется, например, на .crypt, _crypt_.rar и т.п.
В таком случае недостаточно удалить троянскую программу, требуется восстановить файлы. Обычно для этого нужен либо пароль к файлам, либо утилита расшифровки.

(Пароль для _crypt_.rar: http://forum.oszone.net/thread-163287.html)

Также существует троянская программа Krotten. Она использует стандартные политики Windows для ограничения возможностей работы в ОС. В таком случае удалить троянскую программу также недостаточно, требуется удалить или изменить параметры реестра, отвечающие за измененные троянской программой политики.
(Примеры проявления такого трояна: вместо индикации системного времени отображаются бранные слова, пропал пункт "Выключить" в меню Пуск, не запускаются программы и т.д.)

[voldemar67izm]

Я ПАРУ РАЗ СКАЧИВАЛ FLASH И ЧЕРЕЗ КАКОЕ ТО ВРЕМЯ ПРИХОДИТ СООБЮЩЕНИЕ ОБ ОПЛАТЕ ПО SMS. БЛОКИРУЕТ ВЕСЬ ЭКРАН РАБОТАТЬ НЕВОЗМОЖНО.ПРИХОДИЛОСЬ ПЕРЕБИВАТЬ ВИНДОВС НО РЕЗУЛЬТАТ ПЛАЧЕВНЫЙ .СООБЩЕНИЕ ПРИХОДИТ ВНОВЬ.УСТАЛ ОТ ЭТОЙ ФИГНИ.КАК ИЗБАВИТЬСЯ.МОЙ ЕМАЙЛ-******* СПАСИБО!


voldemar67izm - выломайте капслок и исправьте сообщение в соответствии с правилами.

[Котяра]

Цитата voldemar67izm:

Я ПАРУ РАЗ СКАЧИВАЛ FLASH И ЧЕРЕЗ КАКОЕ ТО ВРЕМЯ ПРИХОДИТ СООБЮЩЕНИЕ ОБ ОПЛАТЕ ПО SMS. БЛОКИРУЕТ ВЕСЬ ЭКРАН РАБОТАТЬ НЕВОЗМОЖНО.ПРИХОДИЛОСЬ ПЕРЕБИВАТЬ ВИНДОВС НО РЕЗУЛЬТАТ ПЛАЧЕВНЫЙ .СООБЩЕНИЕ ПРИХОДИТ ВНОВЬ.УСТАЛ ОТ ЭТОЙ ФИГНИ.КАК ИЗБАВИТЬСЯ.МОЙ ЕМАЙЛ-******* СПАСИБО! »

1) Да, этот вирус распространяется под видом обновления Flash
2) Если Вы хотите удалить вирус, обратитесь сюда http://forum.oszone.net/forum-87.html , выполнив правила раздела
3) Если Вас интересует характеристика вируса (какие коды подойдут, какие файлы и параметры реестра он создает), опишите подробно окно с требованиями SMS
4) Чтобы точно избавиться от вируса методом переустановки, переустановку нужно делать, отформатировав жесткий диск и , помимо этого, сразу после установки отключить автозапуск флешек (т.к. это вирус может жить на флешке, обычно это *.dll файл (иногда в папке RECYCLER) и autorun.inf).

Еще совет:
Если вид трояна неизвестен, а логи сделать невозможно, то могу посоветовать очистить папку C:\Documents and Settings\Имя пользователя\Local Settings\Temp. Система от этого не пострадает, а троян вполне может быть удален - многие Trojan.Winlock живут в этой папке.

Ветки реестра, куда часто прописывается Trojan.Winlock (как, впрочем, и другие трояны):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В этой ветке параметры:
Shell - определяет оболочку системы, оболочка отвечает за отображение Рабочего стола и Панели задач. Значение по умолчанию - "explorer.exe". Значение "C:\WINDOWS\system32\drivers\winlogon.exe", "C:\WINDOWS\system32\drivers\svchost.exe", "porno_12mb.exe" указывает на явное заражение трояном. Общее правило: это значение всегда "explorer.exe", кроме тех случаев, когда используется альтернативная оболочка. В этом параметре никогда не бывает пути к файлу svchost.exe, winlogon.exe, lsass.exe - это явно указывает на вирус.
Userinit - определяет путь к программе userinit.exe. Нужно соблюдать осторожность в работе с этим параметром, т.к. удаление из него пути C:\WINDOWS\system32\userinit.exe приведет к полной неработоспособности системы и потребуется правка параметры из LiveCD или переустановка ОС. Троянские записи: sdra64.exe или файл *.tmp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Стандартные параметры автозапуска

[pogarez]

Очень полезная тема ! много раз приходилось сталкиватся у друзей активных но безответственных пользователей интернета С начала делал формат потом надоело ставлю CCleaner и помогает .Да ешё выкидываю ярлык на папку темп на раб. стол и наказываю каждый вечер перед выкл компа чистить . Обращений стало меньше.

[Котяра]

Просьба к пострадавшим от вируса "eKav" или "Internet Security":
Напишите, как Вы заразились вирусом.
Мне интересно знать, как данный вирус распространяется.

[TDK]

Котяра, Хм...) Нормальное так дельце.) Буквально прочитал данную тему, и на следующий день выхватил Internet Security. Cвоевременная публикация И это при том, что на данной ОС установлен Dr.Web Security Space, с включенной функцией SpIDer Gate. Правда, если говорить по совести, он меня и избавил чуть позднее от этой заразы.) А происходило всё собственно следующим образом. На кануне, как обычно, подключил сеть, в общем то особо ни где не лазил, и ничего такого не скачивал. Зашёл только на форум, и до этого заходил на одну из своих страниц, где возможно как-то эту дрянь и выхватил. На следующее утро снова подключил сеть, но связь была плохая, по этому в сети находился считаные минуты. Решил установить одну мелкую "игрушку", диск проверен, вирусов нет. При инициализации окна установки, подтвердил и... А дальше ступор.) Установка не пошла, и до этого ещё заметил какое-то лёгкое подтормаживание компа. Полез удалить некоторые программы, через стандартный- Установка и удаление программ. При подтверждении удаления ничего не происходит, и ошибок при этом никаких не выписывает. Решил запустить AVZ, и тут же выскакивает красно-белое окно Internet Security, с сообщение о том, что у вас на компе заражены чуть ли не все файлы, удалить-лечить?, что ваша версия Internet Security не активирована, отправьте sms и прочее бла-бла-бла... При этом, понятно, что данное окно занимает больше половины экрана, и естественно не даёт запустить другие программы мышью. Через Ctrl-alt-Del попытался залезть в Диспетчер задач, но кнопка службы была не активна. И тут скакануло напряжение, системник в ребут, при загрузке чистый рабочий стол, без ярлыков и панели пуск.) Зашёл через безопасный режим, запустил антивир, при мониторинге естесс.. обнаружились зловреды. К сожалению отчёт не сохранил, так как после сканирования антивир попросил перезагрузку, и я не подумав подтвердил, а создание отчёта в авт. режиме не было активировано. Помню только на вскидку, что данная погань была обнаружена в кол-ве вроде бы 7 обектов, 4 из них, под видом каких-то плагинов и установщиков были в Documents and Settings, и 3 в win32 под видом 2-х dll, и один exe-шник. После перезагрузки данная проблема исчезла.

P.S Да.. и что интересно, прочитал так же и тему- Какие OS Windows подвержены атакам sms-вымогателей? Но ни по каким подобным сайтам не лазил и никакие кодеки не устанавливал, по крайней мере последнюю неделю точно. Не думаю, что данный вирус будет находится в режиме ожидания досточно длительное время.)