Показано с 1 по 2 из 2.

Порнобаннер заблокировал компьютер (Winlocker)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    NSK
    Сообщений
    6
    Вес репутации
    26

    Порнобаннер заблокировал компьютер (Winlocker)

    Что-то из рода Trojan.Winlock.

    Предположительно произошло заражение c сайта: было сообщение "о зараженности" одной страниц ресурса не средставами Avira AntiVir Premium, а скорее средствами браузера SW Iron или его аддона AD Block. На остальные страницы "зараженного" ресурса предупреждения не было, да и с этой (в свое время спокойно делалась закладка) раньше было все нормально. Поэтому предупреждение было расценено как ложное срабатывание.

    Проблемы начались после выключения/включения компьютера. Блокировка работы Windows, баннер с голыми бабами, требование честно оплатить 300 руб. через терминал оплаты и прочее разводилово. Попытка загрузиться в защищенном режиме - BSOD.

    Лечение:
    1. С помощью загрузки с болванки Win XP PE, при редактировании реестра были обнаружены записи, ссылающиеся на зловредный модуль:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - значение C:\Program Files\Common Files\Cursors\svhost.exe (нормальное значение Explorer.exe)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\Shell - значение C:\Program Files\Common Files\Cursors\svhost.exe (такого раздела быть не должно, поц подстраховался зачем-то по регистру)

    2. Модуль для тестовой дизактивации былл изолирован в другое место. Удалены вручную все временные файлы учетных записей, ОС, кэш браузеров.
    3. Нормальная загрузка ОС, нет прав для средств редактирования реестра regedit.
    4. При помощи оснастки gpedit.msc (странно что ей права оставили) права востановлены.

    Других отклонений от нормы не установлено.

    На машине проверено средствами Avira AntiVir Premium, на другой машине копия папки средствами "Касперский Workstation 6" с актуальными обновлениями. При сканировании папки со зловредом ничего не обнаруживается.

    Отослано на экспертизу в обе конторы.

    UPD Ответ от Касперского

    С сегодняшнего дня у Касперского его нарекли Trojan-Ransom.Win32.Losya.cb, в обновления обещали добавить.

    UPD2 Ответ от Avira

    В Avira его нарекли TR/Injector.EX, причислили к классу MALWARE, в обновления обещали добавить. Вообще странная у них реакция на него, есть мнение что у них в Дойчланде угрозы другого рода.
    Последний раз редактировалось perkus; 30.03.2011 в 12:57. Причина: UPD2 Ответ от Avira

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    NSK
    Сообщений
    6
    Вес репутации
    26
    Обновление

    Опять таже песня. Почти.

    Теперь понятно как эта гадость прописывается.

    1. Проник предположительно при помощи HTML/Crypted.Gen (отсюда httр://pic2profit.сom/img/wtp.js)
    2. Запускается из Темпа профиля C:\Documents and Settings\<Профиль>\Local Settings\Temp\jar_cache387288650716660209.tmp
    3. Живет теперь в С:\Program Files\Common Files\Offline Web Pages\svhost.exe (Называется теперь TR/Ransom.Losya.cj)
    4. Проник вчера, активизировался утром после перезагрузки, при первой прогонке Avira'ой не обнаружился, позже, видать после авто-обновлений свежих, - да.

    Поц не спит, поц совершенствуется.
    Шоб ему пусто было.

Похожие темы

  1. Вирус заблокировал компьютер
    От podval27 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.04.2012, 21:25
  2. Порнобаннер заблокировал компьютер
    От Hippocrates в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 01.10.2011, 18:09
  3. Полностью заблокированый компьютер: winlocker
    От SibireanUrsus в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 18.09.2010, 20:49
  4. вирус заблокировал копмьютер
    От nslav3r в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 07.06.2010, 14:27
  5. Вирус заблокировал компьютер
    От Legek в разделе Помогите!
    Ответов: 25
    Последнее сообщение: 18.03.2009, 15:19

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01137 seconds with 17 queries