Comments | ru_sysadmins: Борьба с вирусом-вымогателем

provorov in ru_sysadmins

Борьба с вирусом-вымогателем

Jan 24, 2010 14:39

Коллеги-сисадмины, я тут описал процесс лечения машины от "вымогателя" притворяющегося Internet Security.
Возможно кому-то поможет.

http://provorov.livejournal.com/97146.html

Comments 18

kot0hoc January 24 2010, 12:00:11 UTC

Есть еще один похожий ман ( ... )

e_zaec January 24 2010, 15:01:56 UTC

Только из трех последних случаев ни CureIT, ни утилита Касперского не помогали. А так мануал вполне.

kadettt January 24 2010, 12:23:02 UTC

у меня пятница началась на час раньше изза этой заразы.
притом "больной" находился ща 2 тысяч кэмэ. самое быстрое что придумалось - Safe mode и CureIt.
когда зараза была купирована и машина подключена к сети -провел исследования и почистил.
В процессе так же узнал,что есть ещё методы - генерация кодов (мне не помогла),откат даты (мне не помогло). Всё это было попробованно пока качался CureIt на соседней машине.

provorov January 24 2010, 12:27:21 UTC

В моём случае даже в safe mode висел резидент срубающий все возможные программы (в любом переименовании). Ни командной строки, ни Cureit запустить было нельзя.

kadettt January 24 2010, 12:50:57 UTC

аналогичная ситуация была больше полутора лет назад. на одной из контор,которые тогда обслуживал потребовалось что то сделать - банальная профилактика....зашёл утром,а вышел только следующим утром, так как пришлось изобретать велосипед (нужного софта с собой небыло). с тех пор один из моих ночных кошмаров - вирус Sector 11 (как его потом распознал антивирус). вирус блокировал сейфмод,запуск любого антивируса,запуск регедита... да всё блокировал. уж не помню точно как, но поборол по какойто схеме,описанной на буржуйском сайте,так как у нас сей вирус был новинкой...
через неделю его стал узнавать CureIt помоему.... (последнее могу и путать)

kondybas January 24 2010, 13:03:05 UTC

Так вроде бы дрвеб умеет с бут-сд/флеш запускаться, под линуксом? Зачем искать себе приключений в сейф-моде?

Thread 8

kokosov January 24 2010, 16:34:38 UTC

Конкретно этот псевдо-антивирус лечится очень просто. Кейген к нему уже давно написали (спрашивайте у яндекса), после ввода правильного кода вирус деактивируется и после перезагрузки система возвращается в нормальный вид. Остаётся только авптулзом вычистить его остатки. А если лечить с лайвцд, без деактивации, то потом придётся выковыривать из регистри следы его деятельности.
А вот аналогичный порно-вирус подбором ключа вылечить не удалось, но он, к счастью, позволяет системе загрузиться в безопасном режиме, откуда тем же авптулзом успешно выковыривается.

provorov January 24 2010, 17:20:16 UTC

конкретно в данном случае ввод кода не деактивировал вирус :(

kokosov January 24 2010, 17:56:43 UTC

Так там не каждый код подходит. Кейген выдаёт десяток, из которых подходит только один.

skie2004 January 25 2010, 05:18:25 UTC

Написал у автора поста, повторю здесь:
Самый лучший способ - это позвонить по московскому телефону (495)3631427, добавочный 555, сообщить усталому оператору что у вас вирус и вы хотите разблокировать комп. Он попросит продиктовать текст смс, которую вирус требует отправить и выдаст код разблокировки. После чего спокойно лечим систему стандартными методами.

Это работает в том случае, если короткий номер 4460, как в приведенном скриншоте, про другие номера не знаю, к сожалению.

Thread 6

dr_sqaer January 24 2010, 21:41:42 UTC

Делал всё в RADMIN - Сервак > terminal - заражённая тачка :)
1. wmic не прокатило, т.к при "process" ошибка и нифга не кажет.
2. И тут нарыл Remote Task Manager
http://forum.ru-board.com/topic.cgi?forum=35&topic=4417&start=60

C помощью него убил процесс, и вообщем то решил вопрос удалением вручную всего этого говна.

Шняга была вот эта:
http://virusinfo.info/showthread.php?t=67595

(The comment has been removed)

dr_sqaer January 25 2010, 19:23:08 UTC

Nod 4ка тоже, хоть бы намекнул сцуко