|
|
|
|
|||||||
| Регистрация | Правила | Справка | Список участников | Фотогалерея | Игры | Поиск | Сегодняшние сообщения | Отметить всё как прочитанное |
|
|
|
|
|
Действия над темой |
|
akok
Пользователь
Автор темы
|
OnLine - форма для разблокировки трояна WinLock(sms-вымогателя). Переходите на сайт и выполняете инструкции.
У OnLine и Офлайн формы для разблокировки трояна WinLock(sms-вымогателя) возможности одинаковые. Офлайн - форма(калькуляторы) для разблокировки трояна WinLock(sms-вымогателя) Разные варианты. Цитата :
Внимание! Некоторые варианты вируса проявляются одинаково, так что, если указанный код разблокировки вам не подошел, попробуйте поискать похожие изображения. некоторые примеры:    P.S. офлайн форма обновляется ежемесячно в первых числах ------------------------------------------------------------- "Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер. http://support.kaspersky.ru/viruses/deblocker Для продвинутых пользователей : Подробнее о способах борьбы с программами-вымогателями.  http://support.kaspersky.ru/viruses/...?qid=208637133 ------------------------------------------------------------- Или воспользоваться утилитой Symantec Trojan.Ransomlock Key Generator Tool 1. Скачайте и запустите утилиту (если утилиту невозможно запустить попробуйте переименовать ее во что-то нейтральное, например: game.pif) 2. Введите код, который необходимо отправить при помощи SMS на короткий номер, учитывая следующий алгоритм:
 3. Полученный код разблокировки введите в окно с запросом и разблокируйте систему. ------------------------------------------------------------- eKAV Antivirus Как Вы понимаете из названия , никаким антивирусом там и не пахнет. Представляет из себя очередной клон модного нынче вымогателя денег.  Блокирует открытие окон, диспетчер задач и запись в реестр. По сети ходят страшилки о том, что автор его - никто иной, как г-н Касперский .Как и вся их братия, излечим. Но как показала практика, подбор кода для данного зверя - дело совсем не сложное. Алгоритм был описан разными словами на просторах сети, ессно вслед за этим появились генераторы кода, благо дело написать их по известному алгоритму - дело не хитрое. Одним из них воспользовался и я, первый же сгенерированный вариант оказался верным. Автор данного генератора - некто Денис Кравченко, за что ему большое спасибо Скачать Источник. ------------------------------------------------------------- Компания ESET предлагает пользователям бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой. OnLine - форма для разблокировки После разблокировки необходимо полностью удалить вредоносное ПО. |
|||
|
Исправлено akok 01-02-2010 в 22:47. Причина: Обновил |
| Реклама Зарегистрируйтесь, чтобы скрыть этот блок |
|
|
Dmitry_4
Системный дефлоратор
|
Цитата (автор akok):
|
|||
|
|
|
akok
Пользователь
Автор темы
|
Они всегда догоняют. И эти сервисы позволяют разблокировать только хорошо известных зловредов. К новым нужно применять свои методики удаления вредоносного ПО.
|
||
|
|
|
SergAtHome
Пользователь
|
На ХР появился новый вид заражения. Зловред грузится с помощью недокументированных фич реестра - ни один авторан и тд ничего не видит. Например пишется в HKLM/SOFTWARE/MICROSOFT/WINDOWS NT/CurrentVersion. Ключи называются AppInit_DLLs и LoadAppInit_DLLs, соответственно в первый пишется сама dll-ка, во второй пишется DWORD единица. Причём эти ключи могут, как минимум (!!!), присутствовать ещё в ветке HKLM/SOFTWARE/MICROSOFT/WINDOWS NT/CurrentVersion/WINDOWS и содержать не обязательно DLL. Это может быть даже фонт, видел живьём verdanai.ttf и лежал он в папке со шрифтами.
Вообще при лечении главное понять откуда оно грузится. Неплохо бы списочек таких нычек завести...  |
||
|
|
|
Dmitry_S
Пользователь
|
Цитата (автор SergAtHome):
Еще мне показался интересным способ блокировки антивируса через HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer |
|||
|
|
|
SergAtHome
Пользователь
|
Dmitry_S
Полиси уже вторичны, главное загрузку найти. "Спасибо" родному микрософту за то количество откровенных дыр в заборе, о которых они несомненно знали, но о которых они поленились (?) даже разработчикам антивирусов сообщить. |
||
|
|
|
Dmitry_S
Пользователь
|
Цитата (автор SergAtHome):
|
|||
|
|
|
SergAtHome
Пользователь
|
Dmitry_S
те же самые AppInit_DLLs и где они могут находиться. Вот ты, к примеру, откуда узнал, что там что-то может лежать ? AVZ и иже с ним тоже о них ни слухом ни духом... |
||
|
|
|
Dmitry_S
Пользователь
|
Цитата (автор SergAtHome):
Но я не разработчик антивирусных программ и документацию на виндовс никогда не изучал, что бы такие заявления делать. Цитата (автор SergAtHome):
|
||||
|
|
|
SavageNoName
Администратор форума
|
Цитата (автор Dmitry_S):
|
|||
|
|
|
Magirus
недоадмин, переюзверь
Регистрация: авг 2005
Город: Южный Чертонакуличинск
Сообщений: 3 760
|
раз уж речь о потоках - в Anvir task manager есть возможность работы с потоками...
|
||
|
|
коллега Servini |
|
SergAtHome
Пользователь
|
Magirus
При старте этой дури никакой анвир уже не поможет (так как элементарно запуститься не сможет), а при загрузке с другого источника поток виден есстно не будет. SavageNoName Цитата :
|
|||
|
|
|
SergAtHome
Пользователь
|
Нашёл статейку http://www.cap-design.ru/ws2003/Glava4/Index10.htm
Любобытно то, что автор разбирает какраз на примере шрифтов - не её ли читал автор трояна  |
||
|
|
|
SavageNoName
Администратор форума
|
http://msdn.microsoft.com/en-us/libr...04(VS.85).aspx
http://msdn.microsoft.com/en-us/libr...37(VS.85).aspx не особо рекламируемая фича, появившаяся в NT 3.1. на самом деле, достаточно удобная. например, в поток к скачанному через ИЕ файлу дописывается метка, после чего, при попытке запуска файла через Проводник появляется сообщение "этот файл получен из ненадёжного источника..." и кнопка Разблокировать в свойствах файла, которая удаляет этот поток. или в потоке может храниться информация о медиафайле, его теги и ещё что-то. по этой информации софт может каталогизировать файлы, делать к ним подписи и прочее, не записывая ничего в сам файл, не изменяя его MD5, например. в потоках можно скрыть десятки гигабайт информации, которая не должна попадаться никому на глаза. и я уверен, что 99% любых экспертиз её никогда не обнаружит. скрытые в потоках данные не изменяют объём занимаемого файлом места на диске. длина файла может быть 0 байт (пустой текстовый документ.txt), а в его потоке может быть криптоконтейнер. причём, текстовый документ можно открыть и работать с ним, на потоке это никак не отразится. активнее всего, конечно, этой фичей пользуются вирусописатели. в потоки прячут вирусы, откуда выловить их не все антивирусы могут. например, если антивирус и найдёт в потоке файла svchost вирь, то он предложит удалить файл, а не поток. по крайней мере, я не знаю антивирей, которые бы предложили удалить поток и очистить таким образом настоящий svchost от мнимого заражения. вместо этого антивирус дезинформирует пользователя, которому приходится восстанавливать svchost с дистрибутива или другой винды. а для решения проблемы нужна-то всего утилита streams от сисинтерналс.ком |
||
|
|
|
SergAtHome
Пользователь
|
SavageNoName
Даже старый 3 AVZ умел находить потоки и орал что-то типа "Обнаружен левый поток файла xxx:zzz ...", но это опятьже в случае его загрузки и не помню - умел он их мочить отдельно от файла или нет. Возвращаясь к нашим баранам - нехилая такая дыра - средства создания потока в интерфейсе ОС есть, а мониторинга удаления - нет. Нормально ? |
||
|
|
[решено] Разблокировка троянов семейства WinLock (sms - вымогатели, вирусы)
