Программа-вымогатель microsoft security antivirus

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

Ответить
siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Программа-вымогатель microsoft security antivirus

Сообщение siagma » Сб сен 18, 2010 2:52 am

Программа-вымогатель microsoft security antivirus. Замечу, что оригинальный антивирус от Microsoft называется microsoft security essentials

Снова пришлось столкнуться с такой вот бякой. Позвонил племянник и сказал, что случилась такая напасть - блокируется загрузка Windows и вывешивается окно с издевательским текстом. Типа того, что нарушаете правила пользования интернетом, посещаете нехорошие сайты, храните на диске порно, пользуетесь нелицензионными программами. И как обычно, вышлите смс на такой-то номер для получения кода разблокировки…за 400 рублей. Однако, аппетиты этой погани растут, не так давно просили всего-то 10 р. Так, говорю, опять посещали сайты определенного рода. Что-то хмыкнул и посопел в трубку. Как говорят в народе, «не смотрел бы ты, Петруха, порнуху!». Что ж, лекции о пользе нарзана как заменителе секса читать бесполезно, надо лечить последствия.
Некоторая инфа с сайта
http://av-school.ru/?dn=blogs&bid=-1&tag=Winlock
«За полгода пользователи интернета отправили мошенникам SMS на миллиард рублей…
В антивирусной индустрии такой код относят к категории RansomWare, т.е. вредоносная программа, которая работает в качестве вымогателя.»
И еще важное замечание:
«Напоминаю. код разблокировки, который должен прийти в ответ на посланное SMS вы можете узнать в службе технической поддержки данного премиум номера, т.е. не нужно тратить свои деньги, отправляя их на счет злоумышленника...»

Ни в коем случае не стоит слать никакие смс. На крайняк, любой более или менее сведующий знакомый компьютерщик удалит эту бяку за банку пива или просто за красивые глазки. Ничего сложного тут нет, несмотря на пугающий вид этого виря.

…Итак, да поможет нам Alkid Live CD, о котором мы так много говорили в соседней ветке. На первый взгляд вроде бы ничего подозрительного не видно. С помощью ERD 2005 с того же диска проверяю автозагрузку. Ничего интересного. ОК, запускаю оттуда же редактор реестра и иду сюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
И смотрю параметр "Userinit"="C:\WINDOWS\system32\userinit.exe,". и вижу там мирно сопящих носиками пару троянов, прописанных после запятой после userinit.exe. И все это под боком благодушного Eset NOD32 3-й версии с обновленными базами. Стираю их нафиг, перегружаюсь. Хм, толку нет, то же мерзкое окно. Так, думаю, если в userinit можно прописать трояна, то почему бы не прописать туда что-либо полезное вроде антивируса Зайцева AVZ. Опять Alkid, там редактор реестра из ERD 2005. После userinit добавляю c:\avz4\avz.exe, т.е строка реестра стала такой:"Userinit"="C:\WINDOWS\system32\userinit.exe, c:\avz4\avz.exe ".
Соответственно, по этому пути скопировал этот самый антивирус. Все, перегружаюсь на диск С. Нормально, вместо виря всплыл ожидаемый AVZ. Дальше дело техники – «Файл-Мастер поиска и устранения проблем». Проблемы такие – блокирован диспетчер задач и модифицирован ключ запуска проводника. Типичный набор для такого рода нечисти. Исправляем проблемы, перегружаемся. После AVZ нормально загрузился Windows. В редакторе реестра убираю после userinit.exe добавленный c:\avz4\avz.exe, снова перегружаюсь – вуаля, Windows разблокирован. Вроде бы happy end, но тут я понял, что надо было бы до решения проблем выяснить, что было в модифицированном ключе запуска проводника, чтобы найти тушку вируса. Впрочем, вреда от нее уже нет, поскольку выход из норы ликвидирован. И все-таки я поторопился, пришлось эту тушку из спортивного интереса искать вручную и наугад.

Если кого интересуют пути проникновения всяческой малвари, могу посоветовать такую статью с http://www.xakep.ru/magazine/xa/104/040/1.asp:
Крис Касперски, Хроника внедрений в автозагрузку
Хакер, номер #104, стр. 040.
Начало такое:
«Скрытые ключи автозапуска в системном реестре.
Существует множество широко известных ключей автозапуска, в которые прописываются вирусы, черви, трояны и другие программы, пытающиеся внедриться в атакуемую систему, и которые проверяют антивирусы, брандмауэры и прочие сторожевые механизмы, бьющие хакеров еще на старте. Чтобы выжить в этом суровом мире, полном ужасных защитных монстров, приходится извращаться не по-детски и разрабатывать методики поиска малоизвестных ключей автозапуска, неподвластные никаким анализаторам реестра.»

Можно посмотреть и сюда: Автозапуск программ в Windows
http://www.nestor.minsk.by/kg/2002/29/kg22908.html

Аватара пользователя
CashFlow77
Специалист
Сообщения: 171
Зарегистрирован: Вс май 03, 2009 6:13 pm
Откуда: Из собственных грёз

Re: Программа-вымогатель microsoft security antivirus

Сообщение CashFlow77 » Сб сен 18, 2010 6:39 am

siagma
Благодарю за инфу!

Victor_K
Специалист
Сообщения: 661
Зарегистрирован: Пт апр 20, 2007 3:20 am
Откуда: Московская область
Контактная информация:

Re: Программа-вымогатель microsoft security antivirus

Сообщение Victor_K » Сб сен 18, 2010 5:32 pm

siagma писал(а):Если кого интересуют пути проникновения всяческой малвари, могу посоветовать такую статью с http://www.xakep.ru/magazine/xa/104/040/1.asp
Уже удалили? :shock:

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Программа-вымогатель microsoft security antivirus

Сообщение MBell » Сб сен 18, 2010 6:24 pm

siagma
А моя любимая Malwarebytes' не помогла? По крайней мере для первичной очистки?
После нее все равно надо еще в реестре проверять, конечно.
Или даже в безопасном режиме ничего не работало?

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Программа-вымогатель microsoft security antivirus

Сообщение siagma » Сб сен 18, 2010 11:56 pm

Victor_K писал(а):Уже удалили?
Да нет, сейчас проверил - нормально открылось.
MBell писал(а):А моя любимая Malwarebytes' не помогла? По крайней мере для первичной очистки?После нее все равно надо еще в реестре проверять, конечно. Или даже в безопасном режиме ничего не работало?
Почему-то безопасный режим там вообще не работал. Это была сборка винды ZverDVD, видимо, что-то там конфликтовало. Синий экран смерти появлялся после загрузки файла sptd.sys, это оказался драйвер Daemon Tools. После восстановления загрузки в нормальном режиме я снес эту программу, но безопасный режим так и не заработал. Поскольку времени с этим возится не было, да оно вроде бы и не очень нужно, то я оставил все как есть. Хотя в принципе даже нашел утилиту для восстановления безопасного режима под названием SafeBoot, но просто решил, что лучшее - это враг хорошего и не стал с ее помощью править реестр.

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Программа-вымогатель microsoft security antivirus

Сообщение siagma » Пн сен 20, 2010 11:29 am

Вот еще в тему полезная инфа от компании ESET отсюда: http://www.esetnod32.ru/.support/winlock/

Разблокировка Windows, если вирус просит отправить смс (удаление trojan winlock вируса)
Компания ESET поможет бесплатно вернуть работоспособность компьютера, если он был заблокирован вредоносной программой, которая предлагает отправить платную SMS на указанный номер телефона, взамен обещая предоставить код для разблокировки ПК. На текущий момент база ESET содержит 399378 кодов разблокировки.
Чтобы получить код для разблокировки ПК, в ниже приведенной форме заполните данные, которые указаны в сообщении злоумышленников.
В поле «Номер телефона» укажите номер, на который предлагается отправить SMS (Вирус чаще всего просит отправить смс на номер 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460).
В поле «Текст сообщения» укажите текст, который предлагается отправить на этот номер.
Далее нажмите кнопку «Подобрать код».
На сайте отобразится код разблокировки, который необходимо ввести в окно вредоносной программы.
Если заполнить поле только «Номер телефона» без указания Текста сообщения, на сайте отобразятся все возможные коды для разблокирования ПК.
После того, как компьютер будет разблокирован, рекомендуем обновить или скачать и установить бесплатно антивирус ESET NOD32 версии 4.2, чтобы удалить результаты работы вредоностной программы.

Номер телефона

Текст сообщения


Или вот еще подобное от DrWeb здесь: http://www.drweb.com/unlocker/index/

На тему разводок на деньги есть такой полезный ресурс: http://www.rzvd.ru/
Цитата:
РАЗВЕЛИ НА ДЕНЬГИ Вас или Ваших знакомых?

Будьте умней, читайте о способах и механизмах разводов на деньги и уменьшите риск попасться самому.
Общероссийский портал информирования о способах и схемах обмана и мошенничеств в просторечье называемых "развод на деньги".

Ответить