Технический форум
Страница 1 из 8 1 2345678
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Очередной банер-вымогатель (http://www.tehnari.ru/f35/t62416/)

-ЗЛОЙ- 11.01.2012 00:59
Очередной банер-вымогатель
 
Вложений: 1
Несколько раз уже удалял этих "тварей" но в этот раз не получается.
Описание:
при загрузке ХР выдает банер (см фото) и просит денег на веб-кошелек. Ничего сделать нельзя, только включить экранную клавиатуру, но от нее толку нет.
После неудачных танцев с бубном нашел статью
Загрузился в безопаске, запустил Dr.Web CureIt! - он ничего не нашел.
Полазил по реестру - подозрительного тоже ничего не нашел.
Запустил TDSSKiller - он нашел подозрительный файл в разделе ../sys32/drivers/*.sys и... скопировал его для карантина. После перезагрузки TDSSKiller понятное дело не запустился и файл этот не проверил...
Генераторы ключей на сайте каспера и веба ничего не генерируют...
винт лень снимать + спортивный интерес :)

Артём 11.01.2012 01:13
Какой номер кошелька на фото? Не видно.

-ЗЛОЙ- 11.01.2012 01:19
один раз выдало
U341961682718
один раз выдало
U361302225968
дальше не обращал внимания...

Артём 11.01.2012 01:20
Окей, сейчас поищем.

Артём 11.01.2012 01:29
Не ищет по этим номерам. Попробуй еще скачать Kaspersky Virus Removal Tool

upd - попробуй еще эти коды:
913912
131391013
1391013
913913
99913
913911
bvcbvc
9109101313
(подходят для вымогателей на кошельки Web-Money)

-ЗЛОЙ- 11.01.2012 01:50
Цитата:
Сообщение от Family Man (Сообщение 650558)
попробуй еще скачать Kaspersky Virus Removal Tool
инсталяху 107 метров?????????????????????????? :tehnari_ru_281:
она вообще из безопаски без прав админа станет? Вот и я думаю НЕТ!
------------------------------------------------------------------
коды попрбую ща

-ЗЛОЙ- 11.01.2012 02:01
УРА!!!
Последний код подошел! Благодарю!

Артём 11.01.2012 02:12
Отлично. Кстати код найден на сервисе Dr.Web, но не точным поиском (результатов не дает), а по картинке.
И в любом случае советую также прогнать систему проверкой Dr.Web Live CD, потому как зараза может остаться в реестре.

AlexZir 11.01.2012 08:43
На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.

sedoy 11.01.2012 09:18
Цитата:
Сообщение от AlexZir (Сообщение 650635)
На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.
Подтверждаю. Занимает значительно меньше времени, чем подбор кодов.


Часовой пояс GMT +4, время: 03:15.
Страница 1 из 8 1 2345678
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.