Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 53.

Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

    18-19 мая 2010 года Антивирусный портал VirusInfo зафиксировал вспышку инфекции.

    Наименование:

    Trojan.Win32.Agent2.cqzi (Лаборатория Касперского)
    Trojan.DownLoad1.59108 (Dr. Web)
    Gen:Variant.Oficla.2 (BitDefender)
    Win32:Rootkit-gen [Rtk] (avast!)

    Самоназвание:

    неизвестно

    Симптомы:

    Вредоносное ПО отображает пользователю навязчивый рекламный баннер порнографического содержания и для его отключения предлагает отправить SMS-сообщение с определенным текстом на номер 3381. Из обращений пользователей известно, что вымогатель способен противодействовать работе антивирусных инструментов.

    Состав вредоносной программы:

    Основным компонентом Trojan.Win32.Agent2.cqzi является объект %system32%\srnh.lto. В протоколах AVZ отображается в качестве модуля, внедренного в процесс svchost.exe; в результатах исследования системы утилитой HijackThis виден в секции F2 (ключ Winlogon / Shell):

    Код:
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
    Также на пораженных ПК были отмечены вредоносные модификации ключа реестра

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
    Содержимое ключа варьируется в зависимости от конкретного образца вредоносной программы.

    Рекомендации в случае заражения:

    Если ваш ПК заражен вредоносным ПО Trojan.Win32.Agent2.cqzi, то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

    Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.

    Телефонные номера технической поддержки поставщика услуг:

    • +7 800 100 7337 (федеральный)
    • +7 495 363 1427 (московский)


    Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.

    Обращаем ваше внимание на то, что обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер» и последующая разблокировка не позволяют полностью излечить пораженную ОС. После дезактивации вредоносного ПО мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса или обратившись в систему экстренной антивирусной помощи 911.

    Самостоятельное лечение:
    Также вы можете уничтожить вредоносную программу самостоятельно с помощью загрузочного диска Kaspersky Rescue Disk 10, который позволяет вылечить компьютер, не загружая зараженную операционную систему Windows.
    1. Скачайте образ диска.
    2. Запишите его на CD или DVD.
    3. Вставьте записанный диск в лоток и перезагрузите компьютер.
    4. Следуйте указаниям программы.

    Дополнительная информация о Kaspersky Rescue Disk 10: http://virusinfo.info/showthread.php?t=77717

    Примеры жалоб:


    Источник: Антивирусный портал VirusInfo
    Последний раз редактировалось NickGolovko; 21.05.2010 в 12:56.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    1
    Вес репутации
    51
    В службе поддержки дали не правильные код... Попробуем вариант N2

  4. #3
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    57
    Первую такую "зверюшку" прибил ещё три недели назад.
    Тут инетересно другое - серверы, "раздающие" дроппер, делают это ровно один раз. Или фиксирует мак, или выдают под определенный реферрер. Попытка скачать повторно переадресует на некий robots.txt

  5. #4
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    4
    Вес репутации
    51
    Для сообщения M201017143, номер 3381 - код 36E4605, получен по телефону, подошел.

    Мне вот что непонятно. Короткий номер принадлежит агрегатору «А1: Первый альтернативный контент-провайдер», телефон компании указан на баннере, «А1» предоставляет разблокирующие коды - в каких отношениях эта компания с мошенниками?

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    К сожалению, поставщик услуг не несет ответственности за то, каким образом используются его услуги.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  7. #6
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    1
    Вес репутации
    51
    номер 3381
    текст M201517654
    код 3294329367

    очень помогли ребята по телефону 8 800 100 7337, спасибо огромное!

  8. #7
    Junior Member Репутация
    Регистрация
    21.05.2010
    Адрес
    Челябинск
    Сообщений
    16
    Вес репутации
    51
    Всё совпадает. Девка с голой грудью в двух экземплярах, синие полосы, текст маленько другой - М201517276 на номер 3381.

    CureIt работать не даёт, обращение к AVZ выключает компьютер.

    Обращение к HijackThis также перезагружает машину, но лог он всё же успевает создать. Для того, чтоб его увидеть, пришлось лог переименовать

    HijackThis в группе
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun. bat, \\?\globalroot\systemroot\system32\ckFoe8b.exe, \\?\globalroot\systemroot\system32\Ato5lvh.exe,
    Последний раз редактировалось Ведмедь; 22.05.2010 в 06:46.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Хотите способ? Он есть у меня.
    1 Через LiveCD и запуск любого оффлайнового редактора реестра разобраться с ключом:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Можно попытаться это все удалить из данного ключа.
    2. Ищем systems.exe на диске "С". Если находиться, зачищаем его.

    После этого всего система скорее всего загрузиться нормально. Далее ваш путь в наш раздел "Помогите", чтобы добить гада.
    К сожалению, это заражение накладывается на многие другие полученные Вами ранее, так что гарантировать Вам результат я не могу.
    Последний раз редактировалось PavelA; 21.05.2010 в 20:42.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Павел, тегами оформите свой пост

    Цитата Сообщение от PavelA Посмотреть сообщение
    Пуск - Выполнить - erdregedit
    Так нужно запускать только при использовании ERD Commander.

    Цитата Сообщение от PavelA Посмотреть сообщение
    Ищем systems.exe на диске "С"
    Этот шаг тоже можно пропускать уже. Баннер снимается после очистки значения параметра AppInit_DLLs
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134

    Откуда он берется

    С каких сайтов он берется (URL)?

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    11
    Вес репутации
    51
    А почему здесь
    нет вируса Trojan.Win32.Agent2.cqzi?

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от C4rlos Посмотреть сообщение
    А почему здесь
    нет вируса Trojan.Win32.Agent2.cqzi?
    Для вредоносных программ данного семейства есть сервис разблокировки: http://support.kaspersky.ru/viruses/deblocker и обзорная статья с описанием различных способов самостоятельной борьбы: http://support.kaspersky.ru/viruses/...?qid=208637133
    Кроме того, в первом сообщении топика указана ссылка на загрузочный диск, который предназначен для лечения подобных случаев без запуска зараженной операционной системы.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Как добавка к банеру, или как основная часть, идет Worm.Win32.NeKav.cg . Это то, что вписывается в AppInit_DLLs.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от DVi Посмотреть сообщение
    Для вредоносных программ данного семейства есть сервис разблокировки: http://support.kaspersky.ru/viruses/deblocker и обзорная статья с описанием различных способов самостоятельной борьбы: http://support.kaspersky.ru/viruses/...?qid=208637133
    Только следует помнить, что если кроме зараженного ПК под рукой больше ничего нет, совет может не помочь. Локер просто блокирует антивирусные сайты. Остается только LiveCD с последними базами антивируса.
    http://club-symantec.ru/forum.php

  16. #15
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    57
    Цитата Сообщение от SDA Посмотреть сообщение
    Локер просто блокирует антивирусные сайты. Остается только LiveCD с последними базами антивируса.
    С Live CD порой быстрее прибить "зверюшко" ручками

    Если Live CD с ERD Commander-ом - то ещё лучше:
    после лечения делаем "System Restore" на дату, предшествующую заражению.
    и доводим до ума "Восстановлением системы" от AVZ.
    Иногда это позволяет сэкономить время на неторопливой проверке антивирусом

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от SDA Посмотреть сообщение
    Остается только LiveCD с последними базами антивируса.
    Не верно. Есть еще звонок в службу поддержки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.10.2009
    Адрес
    Нижневартовск
    Сообщений
    186
    Вес репутации
    78
    Хм, такое ощущение, что этот банер эволюционирует. Или кто то следит на форуме за борьбой за ним....
    Просто смотрю как первые сообщения лечили и сейчас... Уже с Лайф СД ветка Applnit DLLs--пустая, в Хижаке прописываетя уже не в system.ini а в win.ini:
    Код:
    F3 - REG:win.ini: run=C:\WINDOWS\system32\btfvyfq.exe
    Последний раз редактировалось Chizh86; 25.05.2010 в 21:47.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не верно. Есть еще звонок в службу поддержки.
    И что дальше? Если по большому счету в суппорте работают обычные "офисные мальчики", выучившие несколько инструкций по ответам клиентам, типа сделать исследование утилитой GetSystemInfo список можно продолжить на http://forum.kaspersky.com/index.php...&#entry1056489
    http://club-symantec.ru/forum.php

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от SDA Посмотреть сообщение
    И что дальше?
    Вы меня не поняли или не в курсе.
    Повторяю:
    Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.

    Телефонные номера технической поддержки поставщика услуг:
    +7 800 100 7337 (федеральный)
    +7 495 363 1427 (московский)
    Далее можно лечиться или жить с "хвостами" от малваре.

    Это не поддержка службы некого а/вируса, а совершенно другое.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Ну да если знаешь этот телефон Так как идти в интернет на поиски с банером на весь рабочий стол достаточно проблематично. Или выписать телефон на бумажку и наклеить на монитор, на будущее
    Кстати, если не ошибаюсь, злоумышленники используют не только короткие номера «А1: Первый альтернативный контент-провайдер».

    Добавлено через 8 минут

    Вообще могу дать три универсальных принципа, как не бояться винлоков:
    1. Иметь LiveCD с последними базами антивируса (достаточно надежно, но не на все 100);
    2. Бекап системы (надежно на 100);
    3. Не работать под админом (зараженный с ограниченной учетки, из под админа вычищает локера в два клика).
    Я думаю не очень сложно, тем более эти банальные советы пригодяться не только при заражении винлокерами.
    Последний раз редактировалось SDA; 25.05.2010 в 23:28. Причина: Добавлено
    http://club-symantec.ru/forum.php

Страница 1 из 3 123 Последняя

Похожие темы

  1. у меня антивирусник выдает Trojan.Win32.Agent2.cqzi (заявка №19693)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 14.07.2010, 06:00
  2. Порнографический баннер: 3381
    От Slavjyan в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 27.06.2010, 21:29
  3. Порнографический баннер - последствия
    От wensdy в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 01.06.2010, 13:28
  4. Порнографический баннер 3381
    От Ведмедь в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 23.05.2010, 16:10
  5. Ответов: 12
    Последнее сообщение: 21.05.2010, 17:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01553 seconds with 17 queries