Записи с меткой «вирус»

Windows Security Alert новая СМС вымогалка

29.01.2010

Сегодня поймал еще один вариант СМС вымогателя.

Окошко выглядит очень красиво, в стиле Windows XP, скриншота не сделаешь так как блокирует все кроме цифр на клавиатуре. В заголовке окна написано Windows Security Alert, ниже Центр обеспечения безопасности.

Сообщает что при последнем обновлении windows на Вашем компьютере обнаружена не лицензионная версия и для решения Ваших проблем предлагает отправить СМС, после которого все наладится, можно будет дальше работать на Вашей не лицензионной версии :)

Пока почистил темпы, в Док и Сеттингс нашел три подозрительных файла один ini один dat один … не помню все бинарные. В корзине нашел кучу папок. В реестре в разделе winlogon нашел один параметр ссылающийся на файл в корзине, удалил.

После перезагрузки опять увидел то же окошко, взял фотоаппарат и вот оно :)

WSAlert

Вспомнил про каталоги Windows и Windows\system32, пойду копать.

Прогнал cureit по дискам, в вышеупомянутых директориях найдены 2 типа вирусов, один autoruner и два Winlock, один из винлоков файл по моему назывался wso.exe был прописан в реестре в ветке автозапуска.

вот и все. ;)

Метки:, , , ,
Рубрика: Маленькие хитрости | Нет комментариев »

СМС вымогалка, Internet Security.

12.01.2010

В последнее время увеличилось количество заражений компьютеров программами СМС-вымогателями.

Одна из таких выбрасывает картинку на весь экран и пишет Internet Security обнаружил вредоносное ПО на вашем компьютере. Запускается счетчик времени на 10 часов, и просит код активации, который «можно» получить отправив СМС на номер…

Есть решение этой проблемы, читаем код, выбираем один из цветных столбцов и согласно символам кода вводим ответный код. Один из столбцов должен подойти. ;)

eKAV_codesАнтивирусные программы не определяют ее как вирус, пути заражения скорее всего через флешку или сайты или почту.

По моей статистике главный путь заражения все таки www, причем источники могут быть вполне пристойными. Пользуйтесь Mozilla Firefox и ABP и будет Вам счастье.

Рекомендую обратить внимание на Блог Евгения Васильева http://www.eavasi.ru/

Меня беспокоит еще один вопрос, почему «правоохранительные органы» не занимаются владельцами коротких номеров на которые отправляются подобные СМСки. Ведь количество этих номеров не такое большое, а некоторые из них участвуют в сотнях других афер.

Новые алгоритмы определения ответного кода для Internet Security

http://boltunishka.berserki.ru/archives/459

1. Выставляете на компьютере в BIOS’е дату 21.01.2010.

2. Алгоритм подходит практически для всех кодов, но не для всех. Ваш код должен выглядеть как K20**15*00, где * – любые цифры. Например, K205815300

3. Выбираете ваш вариант кода (обратите внимание на 3-ю цифру слева) и выписываете на листок бумаги ответный код

  • K201*15*00 – U316*5*74
  • K202*15*00 – U326*5*74
  • K203*15*00 – U336*5*74
  • K204*15*00 – U346*5*74
  • K205*15*00 – U356*5*74
  • K206*15*00 – U366*5*74
  • K207*15*00 – U376*5*74
  • K208*15*00 – U386*5*74
  • K209*15*00 – U396*5*74

    • Например, для кода K205815300 выписываете на листок U356*5*74

    4. Вместо * в ответном коде подставляете цифры из первого кода, стоящие на том же порядковом месте, но увеличенные на 8. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 6 (так как 7+8=15, крайняя справа цифра 5, а 5+1=6). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах.
    Для моего примера K205815300 в результате получите код U35675274

    5. Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

    Не забудьте поменять дату на текущую.
    Желательно запустить восстановление системы на пару-тройку недель назад (Пуск – Все программы – Стандартные – Служебные – Восстановление системы). Данная процедура полностью безопасна для ваших файлов с данными.

    Метки:, ,
    Рубрика: Маленькие хитрости | Комментарии (2) »

    iMax download manager

    11.12.2009

    Если вам знакомо это изображение, то вы знаете, о чем пойдет речь.

    imax

    Это новый вымогатель. Программа активируется и блокирует экран компьютера, занимая почти всю площадь рабочего стола. Убрать ее стандартными средствами невозможно, диспетчер задач и редактор реестра заблокированы, антивирусы молчат. За прошедшие два дня накопился довольно богатый опыт по устранению этой заразы, методы такие:

    1. Отправить SMS и получить код разблокировки, говорят, программа ликвидируется полностью. Однако в сети есть отзывы о том, что это не помогает.
    2. Можно обратиться непосредственно в фирму, которой принадлежит указанный в сообщении мобильный номер: страница поддержки, там вам бесплатно сообщат код разблокировки.
    3. Переустановить систему с нуля (режим обновления не удастся!) или восстановить систему из резервного образа.
    4. Если вам удастся загрузиться и запустить утилиту AVZ (в безопасном режиме или под другим пользователем), попробуйте сделать, как описано по этой ссылке.

    Нужно заметить, что попытки сканирования и лечения различными утилитами (Dr.Web CureIt, утилита Лаборатории Касперского, SpyBot, Malware Bytes, Hijack, AVZ) ни в одном случае к успеху не привели, многие антивирусы вообще не распознают программу как вирус, а обнаруживают только ее следы, соответственно “лечение” не приводит к успеху.

    Откуда она берется тоже не совсем ясно, в одном случае очень большое подозрение было на подставное обновление флеш-плеера для броузера – был закачан и установлен плагин с неофициального сайта.

    Метки:, , ,
    Рубрика: Маленькие хитрости | Комментарии (2) »

    Win32.Sector.XX AKA WIN32.Sality

    21.09.2009

    Часто и густо корпоративные и домашние сети ложит злобный файловый вирус, который заражает exe-файлы системных служб

    Проявляется так:

    - Блокируеться «Диспетчер задач» и Редактор реестра. При попытке запуска говорит, что админом заблокировано.
    - Повышенная активность сети
    - Безопасный режим не работает (BSOD)
    - Антивирусы и сайты, откуда их можно скачать блокируются

    Лечим так:

    1. Физически отключаем от сети

    2. Правим реестр для запуска в Safe mode этим ключиком и вот этим отображение скрытых и системных файлов

    3. С помощью внешних утилит редактирования реестра изменяем 1 на 0 в этих двух ветках
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableTaskMgr
    HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System/DisableRegistryTools

    4. Перезагружаемся в Безопасном режиме и запускаем сначала свежую версию CCleaner, а затем CureIt (полная проверка)

    5. Делаем проверку файлов винды на целосность (Пуск -> Выполнить -> sfc /scannow) Нужен дистрибутив Windows

    6. Устанавливаем и обновляем антивирус (лучше комплексный), а также проводим полную проверку еще раз.

    Raf

    Метки:, , , ,
    Рубрика: Доска, Маленькие хитрости | Комментарии (2) »

    Image File Execution Options

    18.09.2009

    Ну вот опять сегодня: включается компьютер, загружается Виндоуз, спрашивает пароль и после этого — обои и курсор, больше ничего. Если нажать Ctrl+Alt+Del или сразу Ctrl+Shift+Esc, то можно добраться до диспетчера задач, но попытки запустить из него Explorer.exe ни к чему хорошему не приводят.

    Лечение. Из диспетчера задач, через Файл – Новая задача запускаем редактор реестра. В реестре находим раздел Image File Execution Options

    2009-09-18_103907На компьютере, пораженном описанной болячкой в этом разделе будет подраздел с названием Explorer.exe, этот подраздел надо удалить. Сразу после этого можно запустить Explorer и все вернется на место.

    Leo

    Метки:, ,
    Рубрика: Маленькие хитрости | Комментарии (2) »