Вебпланета - Dr.Web научился обманывать троянов-шантажистов - Comments

Вирь был в:

SOLNET — Mon, 05 Oct 2009 23:46:28 +0400

Вирь был в: C:\Windows\debug\lsass.exi
подменил его cmd.exe или сразу regedit.exe
Далее находим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Что должно быть!!!
userinit значение C:\WINDOWS\system32\userinit.exe,
shell значение Explorer.exe
Меняем и перезагружаемся!!

Схватил

Стас — Mon, 14 Sep 2009 00:45:24 +0400

Схватил trojan.winlock.270
Кака была в:
C:\Windows\debug\lsass.exi
C:\Windows\system32\CMDOW.EXE
В безопасном режиме закрывал командную строку. Липкая дрянь.

скажите

Дима укр — Sat, 16 May 2009 14:10:03 +0400

скажите пожалуста а если не заходит в безопасном режиме есть другой выход ???

Респект автору!

Сегрей — Sat, 16 May 2009 01:22:48 +0400

Респект автору! Боролся с такойже заразой с утра 14-го мая. У меня малварь мутировал но я его с Вашей падачи поборол, и еще проще:

1. В защищенном режиме через "выполнить" - regedit (редактор реестра) снес севис под новым именем "sib6" содержащееся в папках
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib6\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sib6\
Думаю мутантов можно найти через поиск в реестре по фразе "Swop отсос", название службы совподало.

2. Удалил файл c:\windows\system32\u7t.exe который запускался теми службами.

При перезапуске синий экран вымагателя с "Alert System
Atation!" исчез!!!

Будте внимательны и удачной охоты!

Мне тоже

Dennis — Thu, 14 May 2009 16:47:03 +0400

Мне тоже сегодня довелось повидаться с Alert System Atation!
Подробнее описал процесс удаления тут:
http://soteam.net.ru/blog/2009/05/14/sms-malware/
Скриншот заразы там же.

Спасибо за

EGORR — Sun, 10 May 2009 13:42:19 +0400

Спасибо за подсказку!Форма доктора веба не помогла. У меня видимо уже какая-то новая модификация (вирус уже просит выбрать страну для sms - и у всех разные номер)А удаление s6t.exe t6s.exe привело к успеху! Спасибо еще раз!

грузишься в

Гость — Sat, 09 May 2009 10:50:47 +0400

грузишься в безопасном режиме
убиваешь два файла в реестре (можно поиском найти) и в system32,
s6t.exe
t6s.exe

Alert System Atation!-у

Гость — Sat, 02 May 2009 10:54:21 +0400

Alert System Atation!-у меня ета хрень и ваш веб док не помагает!че делать?

попался мне

muscat — Wed, 29 Apr 2009 19:03:08 +0400

попался мне такой же "atation"
вышеупомянутое решение не подошло : в реестре было чисто и зараженных файлов не было (свежим drweb-ом смотрел на другой машине).

в моём случае источником был %windir%\system32\tmsi.bat
его запуск производился из HCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

то, что это "наш пациент" говорило обилие тех же ошибок, что и в экране с SMS
одна из строк:
"Невозможно распокавать Архив данные повреждены" ;)

этот батник выковыривал непоймиоткуда три файла : tss.exe, stt.exe и err.exe, которые и были мерзким nag screen-ом
причем у err.exe иконка - дельфийская

Мб кому

ex. nizhnevartovsk — Sat, 18 Apr 2009 01:26:09 +0400

Мб кому поможет. У меня была другая версия вируса. Безопасный режим слава богу работает. Постил на баш, хз одобрят ли...
Орфография и пунктуация в первозданном виде.
"System Windows Alert Atation!
На компьютере обнаружено не легальное программное обеспечение. Необходима активация сканера безопасности. (стоимость запроса около 5$) Активация производится по срадствам смс сообщения.
Текст смс сообщения: 6401821"
Далее список коротких номеров для смс сообщений, поле для ввода ключа активации и button "ok".
Диспетчер задач выключался мгновенно после запуска.
Спасло восстановление сессии в firefox(мега модальное окно =DD ) и process explorer.
реестр:
{HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ServicewNTscrib}
2 тела:
C:\WINDOWS\system32\shvcost.exe
C:\WINDOWS\system32\svcost.exe
Название процессов просто убило..)))

Звонишь другу,

Гость — Sat, 18 Apr 2009 01:18:52 +0400

Звонишь другу, просишь его зайти на сайт доктора веба и получаешь от него нужный код.

не ясно, как

Зараженный — Sat, 18 Apr 2009 00:44:12 +0400

не ясно, как можно открыть это окно, если виндовз блокируется полностью и даже в сейф моде. Как его открыть??

можно

Гость — Fri, 17 Apr 2009 17:14:51 +0400

можно конечно.
но опсосы не принимают мер, т.к. имею хорошие бабки с 4х значных номеров.
так что ставить к стенке нужно всю банду: и владельцев номера и опсоса.

У меня очень

scratch — Fri, 17 Apr 2009 16:39:18 +0400

У меня очень глупый и наивный вопрос.
А что, нельзя найти тех, кому приходят деньги от этих СМС, что ли?
Извиняюсь, если это ну очень тупак.

Dr.Web научился обманывать троянов-шантажистов

admin — Fri, 17 Apr 2009 15:07:49 +0400

Троян Winlock вынуждает пользователей отправлять платные SMS, чтобы разблокировать Windows, а специалисты по кибербезопасности помогут подделать такие сообщения.