Удаляем трояна, требующего отправку SMS с компьютера

    Сегодня с утра на работе сотрудница словила троян, требующий отправки SMS на короткий номер.

    Тут должна быть картинка с трояном, но что самое смешное, я не смог запустить его на виртуалке. Даже в автозагрузку его прописывал, ну не хочет работать и всё. В общем, если желающие сделают скриншот, то будет очень неплохо. Сам троян для опытов можно скачать отсюда. При этом я видел окно только мельком, но выглядело оно красиво :)Мне прислали картинку:.
    Отправьте SMS

    По поводу механизма заражения очень хорошо расписал Olegas, я, соответственно распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).


    Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).

    Все дальнейшие действия делаются с другого компьютера:
    1. Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
    2. Убиваем его через taskkill /s computer_name /pid process_id
    3. Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
    4. Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr (через удалённый реестр, ключ можно найти как HKEY_USERS\SID_текущего пользователя, если залогинен один, то это просто «длинный» SID в отличе от системных коротких)
    5. Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.

    В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.

    И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.

    PS: Наверняка для администраторов данный метод будет банальным и очевидным, но на Хабре есть не только администраторы Windows, но и обычные пользователи, которым данный метод наверняка будет полезен (я надеюсь на это :) ).

    UPD: В комментариях написали множество других способов, с использованием специальных программ и способами нахождения кода. Могу только вставить свои 5 копеек, что если нет специального LiveCD, для этих целей хорошо подходит установочный диск от Vista и выше. В начале установки нажимаем Shift+F10, открывается консоль, а из неё можно запускать уже множество программ (например с флешки), в частности хорошо работает Far и редактор реестра.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 150
    • +7
      Плохо его написали =) Если бы писал грамотный человек — ничего бы вы в процессах не увидели и реестр бы вам показали девственно чистый.
      • +1
        вирусни сей — великое множество, некие весьма сложны в лечении. некоторые же — можно удалить руками из темпов просто в безопасном режиме.
        • +2
          И про каждую ну просто необходимо написать статью
          • +1
            Не про каждую, но про интересную — написать обязательно!
            • +5
              Так вы посмотрите подобные статьи — они отличаются только набором используемых автором инструментов и ключами в реестре.
              Это всё-равно, что постить на хабр каждый новый способ приготовления бутербродов. Кто-то любит с колбасой, кто-то с сыром. Кто-то режет ножом, кто то мажет масло ложкой. И так далее. Результат — один.
              • 0
                >но на Хабре есть не только администраторы Windows, но и обычные пользователи

                и обычные пользователи конечно же будут подключать сетевой реестр
                • 0
                  Ну, у многих сейчас дома помимо настольного ПК есть еще и ноутбук/нетбук, с которого, в случае чего, можно по сети подредактировать реестр зараженного компьютера.
        • –1
          Я думаю, что такую мощь технологий использовать для обычной отправки SMS — это как-то странновато. Вообще, я встречал вирусы, которые делали вид, что их нет в системе, и антивирусы об этом радостно рапортовали, но всё равно, небольшие хвосты оставались, которые позволяли обнаружить присутсвие чего-то неродного в системе.
          • 0
            Я представляю сколько заработали на sms создатели вируса (или фирмы которые предоставляют подобный сервис… они деньги интересно возвращяют тем кто попался на уловки мошенников?)
          • 0
            Процессы тоже по-разному можно смотреть. Самый легкий, «нестандартный» способ — через WMI.
            Когда-то даже писал мини-антируткит который смотрел процессы обычным способом, как это делает TaskMgr и запросом выбирал данные о процессах через WMI, а затем сравнивал результаты. Но единственное что тогда поймал защитный модуль какого-то стоявшего в то время на компьютере антивиря.
            • +2
              Не обязательно запускать свой процесс. Зараза можешь инжектнуть DLL например в winlogon.exe =)
              • 0
                *может
                • 0
                  Нуу… Проактивная защита файрвола/антивируса не зря же свой % оперативки ест :) Да и DEP не дремлет.
                  • +4
                    Как соберусь — напишу пост как всю эту чушь обходить =)
                    • 0
                      Тут и писать-то нечего, самый простой и примитивный способ — подмена чужой длл-ки своей. Если длл-ка висит не в папке Windows — система даже не скажет про подмену файлов. Изящность этого способа в том, что если вирусятина не палится антивирусником — вычислить её будет очень сложно.
                      • 0
                        Недавно удалял подобную заразу. Основная сложность в том, чтобы вычислить имя этой DLL-ки. Например, я это сделал с помощью Process Explorer (от Sysinternals), DLL-ка прицепилась к Explorer.exe, смотрим Threads процесса и кропотливо выискиваем подозрительные имена файлов. Как оказалось «нужная» DLL-ка лежала тупо в temp, теперь если вижу подобное — сразу очищаю temp в Безопасном режиме.
                        • +1
                          Это инжект :) Реализуется сложнее, а палева больше. Самый красивый способ — патчинг чужой длл-ки. Никаких лишних файлов, никаких лишних процессов, никаких тредов, ничего. К примеру, хорошо пропатченный explorer.exe может заражать весь компьютер/флешки/диски и ему ничего за это не будет.
                • 0
                  Собственно я наблюдал как раз такой случай: баннер показывался из зараженного winlogon.exe.
              • 0
                Все зависит от изначальной установки. Автор может и не ламер, а просто решил взять не качеством, а количеством
                • НЛО прилетело и опубликовало эту надпись здесь
                  • +1
                    Эта функция существовала еще во времена Win95/98, в версиях повыше ее уже небыло. А скрывала процесс она только из тогдашнего встроенного Диспетчера задач (он по функциональности был сравним с вкладкой Applications у нынешнего TaskMgr).
                    Настоящие Process View'ерами «крысу» показывали как на ладони.
                    • 0
                      в настоящее время процесс можно лишь спрятать в нитях, и то это сложно!

                      Процессы могут обладать нитями, нити обладать процессами не могут.
                      Или вы имели ввиду создание своего потока в чужом процессе? Это не так уж и сложно, но большинство антивирусов давно научились перехватывать CreateRemoteThread, хотя все еще изловчиться можно :)
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          А кто сказал, что заразе вообще нужен WinAPI? =)
                          • +1
                            Профессионально написанный руткит заметить в системе и снять непрофессионалу практически невозможно. Возьмём хотя бы Rustock.c =)
                            • 0
                              Заметить, скорее всего, удастся — например тонет и не запускается антивирус. Не у всех руткитов хватает выдержки работать в параллель с антивирусом, так что распространенные антивири они стараются контролировать.

                              А вот вычистить бывает очень не просто
                            • 0
                              То что на ring0 нет ничего невозможного, все мы прекрасно знаем. Но мне кажеться это не универсальный способ. Не все уже бездумно выключают UAC, а чтобы внедрить свой драйвер нужны привилегии, ну и опять же таки, антивири не дремлют :)
                              • 0
                                В случае с Vista/7 будет сложнее, но я уверен, что в привате способы уже есть.
                                В случае с XP вас не спасёт ничего. Новую заразу с грамотным обходом эвристики антивир не увидит. Снимём все хуки антивира. Перейдём из r3 в r0. А дальше — делай что хочешь можешь.
                                • 0
                                  Слава богу это всё очень мало кто умеет делать =)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    Если удалось снять хуки и перейти из r3 в r0, то да, сначала Вы написали правильно: делай. что хочешь :)
                        • 0
                          Неа, если бы он пытался скрываться (для чего надо перехватывать системные функции Win32 как я понимаю), это бы вызывало подозрения. а так — обычная невинная программа.
                        • 0
                          www.drweb.com/unlocker/index/?lng=ru еще можно воспользоваться сей забавной штукой, а после AVZ почистить систему, сделать восстановление и почистить автозапуск.
                          • 0
                            Я писал, что есть множество способов, мы решили выбрать труЪ-убийство удалённо :)
                            • 0
                              Удаленно, конечно, труъ, но редко доставляется сия возможность. Эхъ, Постриган-он, вообще инфу с жестких дисков удаленно востанавливает.
                              • +6
                                а по фотографии диска может?
                          • +2
                            и к автору — действительно, сей метод лечения может оказаться банальным для администраторов. И совершенно неподходящим для простого пользователя. Но, к сожалению, практика показывает, что для простого пользователя лучший вариант — попросить помощь специалиста.
                            • +2
                              Есть просто большой класс опытных пользователей, которые просто не знают, что «и так можно». Вот на них я и рассчитывал свой пост. Иногда подобные действия даже дома удобнее делать, если есть пара компьютеров, объединённых в локальной сети.
                              • 0
                                Согласен, один раз подобным образом и пытался лечить винлок на нетбуке. Не справился, к сожалению.
                              • 0
                                Администраторы тоже когда-то были ламерами. И именно после того, как «простой пользователь» начинает ковырять систему, ему открывается гораздо больше возможностей. Хотя некоторые гробят ее и все тут, можно сказать естественны отбор ))
                                • –3
                                  Просто разработчики таких систем идиоты, я считаю. В частности, винда имеет устаревший на 10 лет интерфейс, кучу наследственных проблем, кривую модель безопасности, неспособную отражать современные угрозы.

                                  И вообще, ее делали для того, чтобы работать в корпоративнх сетях, за фаерволлами, линуксовым НАТом, и под наблюжением админов, для дома она непригодна. Правда, кроме MAcOS, все остальные системы еще менее пригодны.
                              • +4
                                К сожалению многие пользователи (не администраторы) не знают как настраивать удаленный доступ и уж тем более доступ к реестру другого компьютера. Так что тут не все так однозначно:)
                                • 0
                                  К тому же когда компьютер заражен не выйдет ничего запустить, нужен live-cd, не у всех он есть.
                                  Кстати почему эту заразу не лечат антивирусы?
                                • 0
                                  А у меня с собой всегда мой любимый набор хакерского софта: Rootkit unhooker, IceSword. Позволяет снимать хуки системных функций, выгружать подгруженные в процесс DLL (Winlogon — notify events и др.), смотреть список драйверов загруженных системой, редактировать реестр и файловую систему native функциями ядра (в обход WinAPI) и много чего ещё.
                                  • 0
                                    Как было сказано: Наверняка для администраторов данный метод будет банальным и очевидным :) Я просто старался показать, что можно сделать стандартными средствами, если заниматься лечением проблем профессионально, то методы уже совершенно другие.
                                    • 0
                                      Я просто хотел сказать, что не всю заразу можно снять оперируя только стандартными инструментами. Некоторую нельзя вообще.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      Поржал… «Я сам не пробовал», но вы кача-а-а-айте:))
                                      Не надо игнорировать остальную часть фразы, я пытался запустить этот троян и в картинках показать, как всё выглядит, заодно и выяснить дополнительные детали. Но вот не хочет, зараза, запускаться, боится :)

                                      Которые побегут устанавливать троян на комп, а потом с ним бороться))
                                      Тоже неплохо. Данный экземпляр не особо страшный, так что почему бы и нет?
                                      • 0
                                        Знаю как минимум 2 способа определить виртуалку из программы =)
                                        • 0
                                          Делитесь, мне в голову пришло только то, что можно использовать знание о стандартном оборудовании гостевых систем.
                                          • +1
                                            1) RDTSC под виртуалкой вернёт неожиданное значение (http://ru.wikipedia.org/wiki/RDTSC) — самый действенный способ
                                            2) Поиск специфического оборудования
                                            3) Поиск специфических драйверов в системе
                                            4) Поиск VMWare tools
                                            • 0
                                              А если это VirtualBOX?
                                              • 0
                                                Поставьте в VirtualBOX XP, я вам кину бинарник и посмотрим, что он скажет =)
                                                • +1
                                                  Под неё тоже ставятся дополнения в гостевую систему. Хотя это опционально.
                                              • +1
                                                Еще можно посылать определнные байты на особые порты, VM их перехватывает и присылает ответы, я думаю по такому принципу и работают «Гостевые дополнения».
                                            • +1
                                              Bochs не пробовали?
                                          • +1
                                            Сестренка недавно, скачав какую-то программулину для вконтактика, словила такую штуку: html-css.info/images/virus.jpg
                                            Вылечился, просканировав компьютер антивирусом с live cd (нашел и удалил трояны) и последующей правки реестра (как в этом посте) и настройки политики безопасности, чтобы открывались диспетчер задач, реестр, запускался антивирус и т.п.
                                            • 0
                                              Если щелкнуть на лицензионное соглашение — там будет код, который нужно ввести ;)
                                              • 0
                                                еще ни разу не подходил
                                                • 0
                                                  Надо приучить себя читать все договоры и соглашения =)
                                              • 0
                                                Сам недавно поймал подобного вируса, излечился при помощи генератора ключей на сайте Dr.Web
                                                В тот же вечер накатал статью на свой маленький блог, через пару дней посещение блога возросло раза в три и именно по запросам про такого рода вирусы. Видать очень много людей сейчас попадаются на это
                                                • 0
                                                  Понадобилось на компе отца убить эту дрянь… про безопасный режим забыл...Ubuntu live cd меня спас :) зашел и грохнул exe из темпа, почистил реестр и автолоад. Процесс был uservhll.exe :)
                                                  • 0
                                                    еще настройки сетки скинул
                                                  • –2
                                                    Чуваки, вы не поверите.
                                                    Мы отправляли SMS, получали код и после этого вирус сам таки удалялся.
                                                    На сайте многих антивирусников выложены, внимание, кейгены для этой заразы, и после ввода ключа она реально удаляется. Я до сих пор удивляюсь зачем они реализовали механизм удаления.

                                                    Кстати, SMS кто-то пробовал слать? Приходит код?
                                                    • +2
                                                      > Я до сих пор удивляюсь зачем они реализовали механизм удаления.

                                                      Очевидно, чтобы подружки рассказали как просто с этой фигнёй бороться — отправляешь смс и всё.
                                                      • 0
                                                        У меня коллеги пробовали (до обращения ко мне) человека 3-4 разных, ничего им не пришло.
                                                        • 0
                                                          Операторы прикрыли сервис (выключили короткий номер или еще как-то), а вирус остался гулять.
                                                        • 0
                                                          Ну и для того, чтобы не препарировали
                                                        • –1
                                                          У меня вирус Internet Security криво встал и убил винду. Пришлось с live cd помогать ему встать нормально (при том, что одноразовые утилиты с live cd ничего не находили), чтобы потом ввести код с сайта Касперского и он убрал блокировки task manager'ов и прочего.
                                                          Попал скорее всего через дырку в pdf.
                                                          • 0
                                                            Через флэш — 100%
                                                            • +1
                                                              знакомого пытал как он подцепил, где ползал, что нажимал и.т.д…
                                                              В итоге я понял он смотрел онлайн фильмы, на сайт зашел, в окне где должен был быть фильм была флешка которая в себе показывала что нужно обновить флэш плеер, естественно после «обновления» никакого фильма, и через 10-15 мин, вирус требует отправить смс…
                                                              • 0
                                                                видел один раз такое, и это была не флешка, а жс который под флеш маскировался.
                                                              • +1
                                                                несколько голословно, не находите?
                                                              • +2
                                                                А если на компе пользователя не работать под root`ом?
                                                                • 0
                                                                  К сожалению, специфика работы и архитектура XP не позволяют это сделать.
                                                                  • 0
                                                                    Эээ… А как же ж я тогда работаю?

                                                                    У меня есть логин юзера, под которым я сижу и изредка я использую Run As… под админом.

                                                                    В *nix это по-мойму sudo.
                                                                    • +2
                                                                      Поверьте, это для вас может и нормально, но для большинства людей, это «в гамаке и стоя», а с учётом именно специфики работы, требуется запускать множество программ, любящих админа.

                                                                      Банально можно привести в пример UAC в висте, который всех безумно раздражал именно из-за частого появления. А частое появление — потому что софтописатели любили делать что не надо, но без этих функций программа работать отказывалась. При этом UAC можно действительно настроить на ввод логина с паролем админа, только тогда через неделю такой работы руки будут очень мускулистыми, а кнопки на клавиатуре очень затёртыми :)
                                                                      • 0
                                                                        Ой, Вы меня пацстол загнали. Да, эт конечно в гамаке :)) и стоя.

                                                                        Ухахаха.

                                                                        Да, а эту UAC я вааще раз в жизни на 2008 сервере видел и с тем пор с ужасом вспоминаю — ни тебе hosts подправить, ни перегрузить как надо, пипец полный.

                                                                        Здесь тогда как вариант попробовать групповые политики поизобретать, либо с группами поизголяться. Всё-таки надо выбирать — или удобство админа (или блондинки) или блин безопасность конторы, в плане той же базы.

                                                                        Кароче баланс какой-то здесь надо жёстко устанавливать — не всё котам масленица.
                                                                        • 0
                                                                          Да, а эту UAC я вааще раз в жизни на 2008 сервере видел и с тем пор с ужасом вспоминаю — ни тебе hosts подправить, ни перегрузить как надо, пипец полный.
                                                                          Правка hosts — то ещё действие, вдруг это подлый вирус хочет odnoklassniki.ru замапить на другой IP, а с перезагрузкой вроде проблем не было.

                                                                          Здесь тогда как вариант попробовать групповые политики поизобретать, либо с группами поизголяться. Всё-таки надо выбирать — или удобство админа (или блондинки) или блин безопасность конторы, в плане той же базы.
                                                                          Думаю про это, но всё же, как бы не стало больше проблем со всеми политиками чем пользы, всё таки у нас люди культурные, вирусов большинство из них не ловят. :) Естественно, все секурные вещи отдельно защищены, но в большинстве других, множеству сотрудников требуются весьма жирные права, срезать их — опасно в плане того, что в ответственный момент он не сможет сделать что-то важное. Но, повторюсь, это специфика именно нашей конторы, в других ситуациях — мнение моё может быть совершенно другим.

                                                                          • 0
                                                                            Ммм… Про культурных знаем мы их — внешне ангелы все, а по логам то такого не скажешь. }:/

                                                                            Так что как говорит тов. Хаус: «Эврибади лайс».
                                                                            • 0
                                                                              Ммм… Про культурных знаем мы их — внешне ангелы все, а по логам то такого не скажешь. }:/
                                                                              Тссс… Если человек это делает аккуратно и это не сказывается на его работе, то пусть он будет культурным и ангелом :) А логи я не видел, да, там совершенно нечего смотреть :)
                                                                  • 0
                                                                    отдавал маме (опыта вообще никакого) компьютер — поставил XP, создал простого юзера, админа закрыл паролем.
                                                                    Через 3 месяца словила локера.
                                                                    • 0
                                                                      Дааа… Значит такой подход тоже не везде идеален…
                                                                  • 0
                                                                    Так есть же на сайте каспера и доктора веба генераторы ключей или дело не в этом?
                                                                    • 0
                                                                      А теперь я напишу как «убить» данный троян рядовому пользователю, у которого, к тому же, отключен удаленный доступ.
                                                                      1. в меню пуск запускаем «выполнить» msconfig. (тут должен заметить, что окно с трояном находится поверх msconfig'a и любых системных окон)
                                                                      2. Меняем разрешение экрана на самое большое возможное.
                                                                      3. Затем меняем обратно на текущее.
                                                                      4. Затем ставим промежуточное между текущим и самым большим. (msconfig должен сдвинуться так, чтоб его можно было перетащить в свободное место)
                                                                      5. Нам стал доступно окно с msconfigom. в автозагрузке ищем подозрительные ключи. У меня тоже оказался user32.exe. выключаем. Перезагружаемся.
                                                                      6. Скачиваем Cure it и докашиваем заразу.

                                                                      Способ по-моему проще). По-крайней мере я выкосил именно так.
                                                                      • +1
                                                                        Есть одна небольшая разница: у вас есть меню Пуск, а это сильно облегчает задачу.
                                                                      • +9
                                                                        Наверное Вам попадались простые вирусы. У моей знакомой вирус после загрузки хрюшки и нажатия любой программы запускал свое окно, в котором выводилось, Кис нашел вирус, отправьте смс, иначе через день хана. regedit, msconfig, диспетчер задач, попросту не запускались. Я своей знакомой удаленно удалял так:

                                                                        1. По телефону, объяснил как зайти в безопасном режиме.
                                                                        2. Через безопасный режим все почистили.
                                                                        3. Оказалось не все, после второй перезагрузки, вирус опять появился…
                                                                        Теперь собственно сам способ:
                                                                        4. Узнал у знакомой номер и текст который просит отправить вирус.
                                                                        5. Позвонил 611(у нас у обоих корпоративный билайн) и узнал какому биллингу принадлежит короткий номер. Номер принадлежал a1 (они часто хостят вирусы), попросил оператора сказать номер по которому им звонить, она назвала московский. Звонить по межгороду !== true. Тем более знал, что у них есть бесплатный номер. Зашел на их сайт, a1agregator.ru в раздел Служба поддержки и там внизу написано:

                                                                        8-800-555-01-02 (Звонок из России бесплатный);

                                                                        38-044-581-57-14 (Звонок из Украины бесплатный).

                                                                        6. Сказал знакомой номер по которому звонить, и что требовать, в итоге получился примерно такой разговор:

                                                                        Оператор: Здравствуйте, служба поддержки A1, Михаил. Слушаю Вас.
                                                                        Знакомая: Здравствуйте, мой компьютер заражен вирусом который заблокировал работу и просит отправить смс на Ваш номер.
                                                                        О: Скажите пожалуйста на какой короткий номер просят отправить смс, и с каким текстом.
                                                                        З: На номер XXXX с текстом YYYYY
                                                                        О: Одну секунду.

                                                                        О: Введите следующий код: XXXXX

                                                                        После ввода кода, вирус устранился. И я смог подключиться к знакомой по интернету и почистить ее компьютер от всякой вирусни и троянов которые она получила за первую неделю знакомства с интернетом на домашнем PC.

                                                                        P.s. Если Вам помог совет, поделитесь кармой. :)

                                                                        • +1
                                                                          Ваша модификация вируса прописывала себя в загрузочную область (те после переустановки ОС он оставался в системе и после перезагрузки напомнил бы о себе :).

                                                                          А лечилось всё просто…
                                                                          win+u > экранная луппа > Перейти на сайт m$ > качаем CureIT и ждём чуда

                                                                          ps: кармы попрошайкам не дают (:
                                                                          • –5
                                                                            Я не прошу у всех. Я прошу у тех, кому мой совет помог :)
                                                                            За способ спасибо. Будем знать. Плюсануть тебя не могу :)
                                                                            • 0
                                                                              За «Плюсануть тебя не могу :)» здесь тоже минусуют. Уж не знаю почему. Фундаментальный закон хабра такой.
                                                                        • 0
                                                                          >Сегодня с утра на работе сотрудница словила троян.
                                                                          Юзеры с админскими правами — фу.
                                                                          • +1
                                                                            Всё хочу под виртуальной машиной препарировать такой вирус. Вот как раз будет повод.

                                                                            Проблема с этими вирусами, что они плодятся слишком быстро, и каждый из них требует особого подхода и внимания. Проще, наверное, операторов долбить связи.
                                                                            • 0
                                                                              Один из способов обойти блокировку TaskManager — это использование ProcessExplorer. Здесь заодно и пути к процессам можно посмотреть, чего нет в обычном. Бывает файлы называются правильно как системные, но могут находится на диске где угодно. Только тихо, а то вирусописатели и его будут блокировать при попытке запустить.
                                                                              • 0
                                                                                У TaskManager есть хорошее свойство, он вызывается по Ctrl+Alt+Del, можно ли подменить его ProcessExplorer'ом для такого действия? Иначе смысла нет, у меня вот, в Far'е всё показывается и удалённые процессы тоже.
                                                                                • 0
                                                                                  Можно, у процесс эксплорера даже галочка есть специальная.
                                                                                • 0
                                                                                  уже блокируют, по крайней мере в Internet Security
                                                                                  • 0
                                                                                    Можно просто снять блокировку с TaskManager'а и заодно и с Regedit'a:
                                                                                    reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
                                                                                    Ну и вместо HKLM можно еще HKCU.
                                                                                    • 0
                                                                                      Ага, точно. Надо будет поправить. Только не HKCU, а HKEY_USERS\SID — ибо удалённо как такового текущего нет.
                                                                                    • 0
                                                                                      я использовал Anvir Task Manager
                                                                                      у него есть опция заморозить процесс и не давать ему запускаться.
                                                                                      К тому же он бесплатьный, есть модуль отсылки на Virustotal.com
                                                                                      Контроль автозагрузки.

                                                                                      Он помогал мне не один раз.
                                                                                      • 0
                                                                                        Эту программу тоже использовал, но пока остаюсь с первой. Скоро и до нее доберутся. Запасной вариант всегда сидит на LiveCD с убунтой. Чистим все временные директории и смотрим
                                                                                        • +1
                                                                                          (упс)… даты изменения файлов. Но это ладно. В качестве еще одного инструмента, как правило, использую Osam Autorun Manager portable. Очень подробный список автозагружаемых программ и библиотек. Начиная от обычных программ и кончая драйверами устройств и расширений в проводнике.
                                                                                    • 0
                                                                                      wine неосилил :(
                                                                                      • +3
                                                                                        Интересно хоть один из этих школьников-монетизаторов сядет когда-нибудь? Ведь по идее тут 2 статьи и по каждой можно на 2-3 года отправиться в места не столь отдалённые.
                                                                                        • 0
                                                                                          шеф словил подобный в поисках музыки )). Сколько ему не грил что ФФ рулит, бесполезно.

                                                                                          на вэбе не нашел кода, хотя и не искал особо.
                                                                                          Быстро отключил надстройки того медиамодуля и больше он не показывается.
                                                                                          Одно меня порадовало — все таки перешел босс на мозилу.
                                                                                          • +1
                                                                                            Я Вас так понимаю :)))
                                                                                            Шеф один-в-один, ловил почти ту же заразу и уже раза 3 на ослике.
                                                                                            Только на ФФ он по сей день не пересел, бесполезно :)
                                                                                            • +1
                                                                                              Кстати, это может быть и не вирус, а просто надстройка для IE. Я видел как такое «щщастье» юзеры устанавливают добровольно, там вроде еще для этого файлик free_porno.exe нужно скачать и установить :)
                                                                                              • –1
                                                                                                ничего. поставлю на днях семерку и ограничим права.
                                                                                                кстати ловил подобное на свой комп, семерка сама нашла, сама удалила.
                                                                                                Как мне это понравилось )))
                                                                                              • 0
                                                                                                поглядите где IE хранит js файлы. у знакомого была такая проблема на опере. в итоге в настройках был прописан к дефолтным js файлам и оттуда я его уже удалил.

                                                                                                PS я своего тоже долго пересаживал на огнелиса(на него проще, ведь интерфейс там классический.)
                                                                                                • +1
                                                                                                  Да что ты говоришь!? Я как раз такую заразу поймал на Файрфоксе. И чем же в таком слкчае рулит ФФ?
                                                                                                  Ты заблуждаешься насчёт безопасности FF и это тебя когда-нибудь подведёт.
                                                                                                  P.S. Ждём радостных возгласов от Сафариводов и Опероводов. Пока кто-нибудь не сознается, что и на этих бракзерах словил заразу :) ^_^
                                                                                                  • А вообще, я IE7-8 в плане безопасности доверяю больше, чем FF.
                                                                                                    И, если надо зайти на рискованный сайт, то я захожу на него через IE, т.к. в нём по умолчанию выполнение всех скриптов и ActiveX отключено.
                                                                                                    • 0
                                                                                                      что мешает это сделать в лисе?
                                                                                                      патриотизЬмЬ? Незнание?
                                                                                                      Конечно, будете лазить где ни попадя и на линя поймаете шняжку.
                                                                                                      Я не фанат мозилы, но все проблемы которые были на компах родом угадайте откуда.
                                                                                                      • +1
                                                                                                        А что мешает использовать IE так, чтобы не ловить вирусы? Незнание?
                                                                                                        Конечно, будете лазить где ни попадя и на линя поймаете шняжку.
                                                                                                        Я не фанат IE, но все проблемы которые были на компах родом угадайте откуда.
                                                                                                • 0
                                                                                                  Начиная с Висты в загрузочном меню (по F8) появился пункт о восстановлении системы. Он запускает специальную среду откуда можно запустить System Restore, а в нем откатиться на время до появления вируса в системе.
                                                                                                  • +1
                                                                                                    «Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.»

                                                                                                    Вообще-то это совершенно неестественно. Любой мало-мальски грамотный админ отключает оба ваших «естественных пункта».
                                                                                                    • –1
                                                                                                      Любой мало-мальски грамотный админ без проблем удаленно включит «удалённый реестр» (извините за тафтологию) и откроет необходимые порты/использует Dameware, Radmin, etc.
                                                                                                      • 0
                                                                                                        Вообще-то это совершенно неестественно. Любой мало-мальски грамотный админ отключает оба ваших «естественных пункта».
                                                                                                        Это неправильный админ. Эти порты должны быть закрыты на доступ снаружи, но в локальной сети это всё должно работать, иначе это не админ, а сам себе злобный буратино, который вокруг себя вырыл ров, и запустил крокодилов, а сделать мост наружу забыл.
                                                                                                      • +1
                                                                                                        Неплохо было бы автору в топике собрать всё полезное, что написали в комментах. Особенно названия программ.
                                                                                                        От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
                                                                                                        Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
                                                                                                        В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
                                                                                                        Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
                                                                                                        В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
                                                                                                        Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
                                                                                                        В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
                                                                                                        Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
                                                                                                        Варианты зарытия вирей:
                                                                                                        1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
                                                                                                        2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
                                                                                                        3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
                                                                                                        4) подмена какого-нить системного процесса. ну тут всё просто =)
                                                                                                        Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
                                                                                                        Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.

                                                                                                        Надеюсь сей текст будет кому-нибудь полезен =)
                                                                                                        • +1
                                                                                                          «2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer»
                                                                                                          а) Можно и не обнаружить (в случае нормальных хуков со стороны виря или вообще драйвера — не увидит никто кроме тех же ядерных штучек).
                                                                                                          б) Можно увидеть и не снять (либо хук фунций убивания, либо драйвер и хук всего вплоть до NTOpenProcess — не снимет никто кроме тех же ядерных штучек)

                                                                                                          «3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.»
                                                                                                          Опять же в случае с хуками, можем драйвер и не увидеть в списке =)

                                                                                                          «4) подмена какого-нить системного процесса. ну тут всё просто =)»
                                                                                                          Совсем детские поделки

                                                                                                          ещё раз повторю:
                                                                                                          Профессионально написанный руткит заметить в системе и снять непрофессионалу практически невозможно.
                                                                                                          Благо мало кто умеет так писать и знает достаточно много низкоуровневых системных хитростей, а те кто умеют редко занимаются написанием малвари.
                                                                                                          • 0
                                                                                                            Это да. можно написать так, что даже профессионал промучается при поиске виря и антивирус не спалит что случилось =)
                                                                                                      • 0
                                                                                                        В C:\Documents and Settings\юзер\Local Settings\Temp
                                                                                                        находятся два файла .dll и .bat, собственно они оба и вирусы
                                                                                                        библиотеку можно удалить лишь сняв с автозагрузки, или загрузиться
                                                                                                        с livecd и в примонтированном диске почистить файлы в указанном выше пути.
                                                                                                        Или в два этапа, сначала удалить bat, потом перезагрузиться и убить неиспользуюмую dll
                                                                                                        • +1
                                                                                                          Когда я последний раз словил подобную гадость, я вылечился простым способом. Я снес раздел с виндой и поставил Ubuntu. И такая благодать настала — ни в сказке сказать, ни пером описать ;)
                                                                                                          • 0
                                                                                                            это решение будет справедливо не для всех, я например в игры играю на компьютере
                                                                                                            • +1
                                                                                                              Ну так поставьте винду отдельным разделом, только удалите на ней сетевые подключения. Если Вы играете в сетевые игры — тут да… сложнее…
                                                                                                              • 0
                                                                                                                я подумал, что как вариант сидеть в винде не из по root'а админа
                                                                                                          • 0
                                                                                                            у касперского есть очень интересный сервис и целый гайд. Зачем это все постить сюда — не пойму.

                                                                                                            • 0
                                                                                                              Сервисов много, но если можно справится стандартными способами, то неплохо было бы о них знать, чтобы не вспоминать каждый раз про соответствующие сервисы (ссылки на которые в букмарках на заражённом компьютере). Кроме того, подобные действия возможно помогут при других подобных угрозах, или просто повреждённом компьютере, когда удалённо доступ есть, а с прямым уже сложнее.
                                                                                                              • 0
                                                                                                                каспер ваще выдает код активации приложения вместо смс, вводишь и окошко пропадает, а дальше уже можно чистить и удалять спокойно.
                                                                                                              • 0
                                                                                                                Увы, мне этот сервис не помог. Код, предложенный им, не подошел.
                                                                                                            • 0
                                                                                                              У одной знакомой был вирус который во всех браузерах (IE, Opera, Mozila) подменял все ссылки на редиректы на всех популярных поисковых движках, а также вешал банер на страницу.

                                                                                                              Ничего не мог поделать с ним. В процессах были только виндовые файлы. В итоге снес винду ибо надоело его искать.
                                                                                                              • 0
                                                                                                                Редиректы обычно живут в \system32\drivers\etc\hosts
                                                                                                                • 0
                                                                                                                  Необязательно править hosts, можно делать хук на gethostbyname, это сложнее, но открываеться много новых возможностей.
                                                                                                                  • 0
                                                                                                                    в хостах ничего не было. А ссылки в результатх поиска уже были поправлены на уровне HTML. Т.е. в браузер грузилась подмененная страница.
                                                                                                                • +1
                                                                                                                  С удалённым доступом любой дурак сможет. А вот лучше бы написали, как удалить его без удалённого доступа к машине!
                                                                                                                  • 0
                                                                                                                    force
                                                                                                                    Замените плиз оЧепятку:
                                                                                                                    2.Убиваем его через taskill /s computer_name /pid process_id
                                                                                                                    на:
                                                                                                                    2.Убиваем его через taskkill /s computer_name /pid process_id
                                                                                                                  • 0
                                                                                                                    Кстати, это говно не только Task Manager, но и совершенно левый Process Monitor блочило. Причем даже переименование EXEшника не помогало. Похоже, оно вообще убивает любые запускаемые после него процессы. Вылечил перезаливкой XP c нуля (это был 7-дюймовый eeePC, используемый исключительно как веб-терминал через оперу).
                                                                                                                    • +1
                                                                                                                      Как один из вариантов — этот способ, несомненно имеет место быть. Но.
                                                                                                                      Первое — мало кто включает удаленный реестр. Мы что — ненормальные?
                                                                                                                      Второе — мало кто оставляет включенным телнет.
                                                                                                                      3 — Через систем поинт — она всегда выключена. Толку от нее — как с козла молока.
                                                                                                                      4 — Не у всех есть загрузчик висты. А если и есть — значит и любой лайв-сд найдется, в том числе и хайрен бут.
                                                                                                                      5 — Чтобы не кусать локти завтра — нужно думать вчера. Возьмите за правило делать на системе образ патриции С. И вам не нужен будет ни один резидентный антивирус. авз раз в неделю хватит пройтись.
                                                                                                                      А еще чуть глубже — win pe никто не отменял. что стоит прописать в бут ини доп стоку с винпе и в случае чего грузится с нее. Другое дело, что бут.ини тоже легко «схерить», но есть бут флешка ).
                                                                                                                      • 0
                                                                                                                        1. Он по-умолчанию включен, насколько я знаю. Зачем его отключать? Может проще фаирволл поставить, гораздо безопаснее будет.
                                                                                                                        2. телнет, зачем телнет? Нужен RPC, SMB и RDC полезен
                                                                                                                        3. Понятно, вначале отключить, считать что она не нужна. :)
                                                                                                                        4. Практика показывает, что у многих есть. Или диск с ноутом, или сами писали чтобы потестировать или вообще «откуда-то взялся» :)
                                                                                                                        5. Люди делятся на тех, кто не делает бекапы и кто уже делает. Несмотря на то, что это вдалбливается годами, если бекап не работает искаропки, то над ним заморачивается только малая часть пользователей.
                                                                                                                      • 0
                                                                                                                        А у нас не получилось подключиться через другой компьютер, просто винду переписали…
                                                                                                                        • 0
                                                                                                                          А если просто снять винчестер и провести операции над ним на другой, защищённой машине (либо наоборот, к чёрту ненужной)?
                                                                                                                          • 0
                                                                                                                            Этот вариант принципиально не отличается от:
                                                                                                                            — анализа по сети (то что и указано в посте)
                                                                                                                            — использования Live CD (что многие предложили)

                                                                                                                            Но у него есть недостаток, что надо разбирать компьютер и брать другой для манипуляций. Этот вариант стоит использовать только в случае серьёзных проблем, когда главная задача — восстановить данные, а не систему. В более «лёгких» случаях этот вариант излишне геморройный.
                                                                                                                          • +1
                                                                                                                            Мне от исбавится от данного трояна помог AVZ с исполняемым скриптом virusinfo.info/showpost.php?p=579656&postcount=5 А убил его сразу же на компьютере, сделав такие манипуляции WIN+U, запускаем «Лупу», высвечивается окно с информацией и там есть ссылка на «Веб узел майкрософт», запускаем, открываем браузер и далее либо идём в интернет за новым AVZ, либо прописываем путь до папки с антивирусами программа и проверяем, редактируем, удаляем и работаем дальше :)
                                                                                                                            • 0
                                                                                                                              Кстати, по таймеру в вирусе выполняются следующие команды для закрытия полезных программ:
                                                                                                                              вирус в списке процессов
                                                                                                                              Но там нет команды для ProcessExplorer, чему был я рад и, выполнив Ctrl+Shift+Esc, убил заразу :^)
                                                                                                                              • 0
                                                                                                                                Как дополнительная мера защиты, можно переименовать исполнимый файл ProcessExplorer в любой другой, если вдруг вы беспокоитесь за него. Тогда вирусам будет немного сложнее грохать его по названию. Придется им смотреть на заголовки окон, а это дополнительные сложности для вирусописателей.
                                                                                                                              • 0
                                                                                                                                Внесу свои 5 копеек:
                                                                                                                                Обойти окно вируса проще простого если не отключена функция автозагрузки через USB (по молчанию в XP она включена). Вставил в комп, флешку она мне радостно мелькнула привычным окном поверх этой черной вирусной заставки. Дальше я открыл Word и оттуда Файл-Открыть всю остальную операционную систему.
                                                                                                                                Вирус скопировал cвой user32.exe на флешку, сделав его скрытым файлом и так же прописав в autorun.ini.
                                                                                                                                при наличии Starter и Unlocker вирус довольно быстро побеждается)

                                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.