-
Junior Member
- Вес репутации
- 53
В канун НГ зараза Download Master окромя неосторожных домашних юзеров зацепила уже машинку с работы.
Подцепили 30 числа, заниматься было не с руки – как моргнешь, рюмка в руках мерещится. Записал сообщение, которое надо было отослать «добрым» людям и отбыл в частично трезвый аут до сегодня.
С самого с ранья ручки чесались – ну что там наши мозго-мОлодцы понапридумывали?
Наблюдения:
1. Просто банят все, что возможно при запуске (отваливалось все вплоть до панелек иснтрументов от НР и вебкамеры). Ребят, в прошлый раз было изящнее. Антивирус пропадал как будто его и не было, а тут явно халтурка – знай только окна с ошибками закрывай. Так молодой непуганый юзверь и догадается, что ПО ваше не «лицензионное» или тупо переставит ось хоть и с 10 раза успешно.
2. Сообщение этого года отличается от прошлого (К704113800 от 30-го числа супротив К706313100 от 11-го). Но вот при откате на дату какую-либо сообщение уже не меняется, ни день, ни месяц, ни год не играют роли. Модный ход.
Лечил как и в прошлый раз, подбором кода по алгоритму соответствия цифр-букв и переменного основания. Народ писал, что по несколько кодов в день валидны и вроде одни и те же другим не подходят. Поэтому приготовился составлять-прибавлять-отнимать. Но первое же по основанию кода «-1» к исходному сообщению подошло (получилось сообщение 1685292988). Садопроцесс не удался.
Кстати, SDA – кейген от Каспера какой-то мутный, там в ответе 8 цифр вместо 10 как надо. Ессесно, не помогло. Не в обиду, просто факт.
После кода сказали «Ждите» и… выдали «синий экран смерти». Я даже малость ох… хм, очень испугался, так было неожиданно. Вроде бы «отослал СМС за 10 руб.», а тут такое… Никакого сервиса.
После этого удачно загрузился, давай копаться:
1. Отрубил восстановление системы, что наши «системные» файлики опять не повылазили.
2. Почистил юзверские темпы, не во всех учетках гадость. Странно.
3. Ради интереса глянул что творится в system32. Ради интереса все что под подозрением переместил в левую папку кагбэ «карантин» (начинающие лечилки если не слушают добрых дядей с VirusInfo пусть хотя бы так делают, ессесно при наличии диска с WinPE). Этого добра невидимого, размера 144 384 байта, с рандомными названиями, датой от 02.04.2009 (хм, до сих пор фиксят дату подручными средствами, ай маладца) набралось более 2000 файлов размером более 260 МБ. Какой размах…
4. Посмотрел что у нас в реестре в любимом разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В параметре Shell опять добавлена бяка как параметр к Explorer.exe, а имеено rundll32.exe bfwl.pgo jagktms. Файлик bfwl.pgo тоже спрятал к прочей заразе в левую папку, из параметра удаляем все лишнее кроме Explorer.exe.
Опосля со спокойной душой втиснул машинку в сетку, обновил KAV WS, и пошел полной проверкой по системе.
1. В папке «карантина» поголовно Picker.ayq, в файлах невидимках.
2. Файлик bfwl.pgo есть Троян Agent.deym. На «поле» вышел новый «игрок», на замену «привычному» sdra64.exe.
3. В system32 были файлики от сегодняшней датой, «любимого» размера, но без «стелс» режима. Тот же Picker.ayq.
4. В темпах Opera прорезались Exploit.JS.Pdfka.awv и Trojan.JS.Popupper.af. Первый был в фале формата PDF, вполне возможно, что маскировка. Хотя ходили слухи, что в самом формате дырку находили (точнее три способа внедрения вредоносного содержимого), не знаю, Adobe залатал или нет. А вот второй как раз связан с проникновением, ибо совпадает с показаниями жертвы. Это наша очень глубоко любимая всплывающая реклама накачать, скачать и послушать кое-что. Из разряда «закроешь-откроется-пять-вкладок». «Попаппернуло» товарища при закрытии, или при загрузке одной из открывшихся вкладок – сие науке неизвестно. К сведению - KAV WS (не R2, про него не знаю) хорошо блокирует подобные выкрутасы в Internet Explorer, единственное, что сам браузер не фонтан.
Механизм заражения может быть не единственным, так что, народ – бдительности не теряй.
Всем нам удачи, а паренькам ушлым – шоб вас, ироды, кондратий хватил в новом году!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Столкнулся с такой же бякой. Принисли системник попросили посмотреть. Включаю через некоторое время вылазит окно с просьбой СМС отправить. Послал я их (попрошаек) подальше, снял жестяк, зацепил на другую тачку (свою), прогнал касперским 2010-тым полную проверку диска. Вернул на место и с помощью AVZ восстановил работоспособность диспечера задач и реестра. Вроде все пашет нормально. Да еще этот траян испрортил КИС 2009 через режим собственного восстановления исправил эту проблемку и с инета накатил обнавления. Сейчас еще раз уже на данной машине с этим антивирусом сделаю полную проверку и все должно быть в шоколаде. ИМХО.
-
Junior Member
- Вес репутации
- 53
Сообщение от
serik_pvl
AVZ восстановил работоспособность диспечера задач и реестра.
а в реестре какие изменения ? не у кого не было таких проблем что новые драйвера не устанавливались, или новые установленные проги не моги через усб работать ?
-
Junior Member
- Вес репутации
- 53
Всё пролечено, но методикам, но!... Как разблокировать программы, например Avira?
-
в AVZ Файл Восст.системы - п.6 отметить и выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
а если антивирусы блокируются через debugger в "Image File Execution Options"?
Последний раз редактировалось Юльча; 29.01.2010 в 14:54.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Сообщение от
Юльча
а если антивирусы блокируются через debugger в "Image File Execution Options"?
ExecuteRepair(9)
-
-
ExecuteRepair(9) или п.9 в "Восст. системы"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
http://expert.com.ua/45317.html
Статья о аймаксе и реакции на него Киевстара.
"Компания «Киевстар» обратилась к «Майкрософт Украина» и “Лаборатории Касперского” с просьбой помочь в защите абонентов. “Лаборатория Касперского” предоставила коды для разблокировки работы ОС, а Microsoft представил бесплатную антивирусную программу Microsoft Security Essentials, которую теперь можно скачать не только с сайта Microsoft, но и с сайта «Киевстар»."
Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".
-
Сообщение от
Kory-V
http://expert.com.ua/45317.html
Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".
Наверное «Майкрософт Украина» должна была бесплатно раздать клиентам «Киевстар»
севен Ultimate, а “Лаборатория Касперского” KIS 2010 и денежную компенсацию пострадавшим в 100-кратном размере
http://club-symantec.ru/forum.php
-
-
Junior Member
- Вес репутации
- 53
Просто действия не приводящие к излечению подчас хуже отсутствию помощи. Уже проверил что лучше переустановить начисто чем ввести код активации и поверить в то что всё наладилось. Через неделю-месяц всё равно выплывают результаты.
А действия компаний напоминают отмазки.
Впрочем - миллионный штраф контент-провайдеру, предоставившему номер СМС, вместо штрафа хозяину номера, не смотря на то что оный контент провайдер первым начал свободно выкладывать коды активации, тоже говорит о том что нужно было найти козлов отпущения и провести акции "для галочки".