Перейти к содержимому


Фото
- - - - -

Номер: 8353 текст: 4956**** Розовый баннер (решение)


  • Please log in to reply
28 ответов в этой теме

#1 An_lime

An_lime

    Newbie

  • Members
  • Pip
  • 2 Сообщений:

Отправлено 04 Июль 2010 - 12:08

Всем доброго времени суток. Ночью с 3 на 4 июля появился РОЗОВЫЙ БАННЕР полностью блокирующий любые действия, в безопасном режиме так же всплывает.
Номер: 8353 текст: 4956****
Если у вас такая же проблема, то надеюсь вам поможет примерный алгоритм моих действий.

1. Программы которые использовал Я :
Dr.Web CureIt!® -http://www.freedrweb.com/cureit/
Aavz -http://exfile.ru/112189
2. Имея второй рабочий комп с инетом скачал Aavz, разархивировал и обновил базы. Кинул папку с Aavz на флешку, туда же и Dr.Web CureIt.
3. Врубаем зараженный комп и жмем F8 до появления выбора режима загрузки и Выбираем БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ.
4. Дождавшись загрузки винды на экране ничего кроме окна с командной строкой не будет..Это и хорошо.
Жмем Ctrl+Alt+Delet и в появившемся Диспетчере Задач идем Файл>Новая задача(выполнить) пишем explorer и OK. Также я прописал msconfig и выбрал "Диагнстический запуск..." (это действие никаких особых результатов не давало, поэтому делайте на свое усмотрение).
5. И так, после всех вышеописанных действий у вас должны появится панель задач, рабочий стол и никакого розового баннера.Первое что я попытался сделать, восстановить систему через Пуск/Программы/Стандартные/Служебные/Восстановление системы ...Получив в ответ отказ поехал дальше.
6. Полностью почистил папку C:\Documents and Settings\Имя пользователя\Local Settings\Temp. и проверил Назначенные задания
7. В ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» ключ Userinit был изменен, поэтому восстановил значение на «C:\Windows\system32\userinit.exe,»
6. На компе запустил TotalComander и подключил флешку. Скинул программы на раб стол. Сначала запустил Dr.Web CureIt и проверил все диски. Было обнаруженно 23 файла с троянами (к сожалению названий не сохранил). Далее проверил через Aavz(ничего не нашел). В Aavz выбрал пункт "Установить драйвер расширенного мониторинга процессов", далее Файл/Стандартные скрипты/Поиск и нейтрализация RootKit UserMode....После этого выбрал Файл/Мастер поиска и устранения проблем
Категория: системные проблемы
Степень: все проблемы
Получил список в котором обратил внимание на строку ( дословно не помню) "Изменение подписи ключей проводника.." Выделил и нажал "исправить"
Надеюсь описанные действия помогут вам удалить баннер

Извиняюсь за столь дилетантское изложение, но я человек далекий от программирования и безопасности, объяснил как мог ;) . Надеюсь здесь найдется человек, который более грамотно и доступно напишет как бороться с РОЗОВЫМ БАННЕРОМ и сделает все необходимые логи.

#2 Алексей.

Алексей.

    Advanced Member

  • Posters
  • PipPipPip
  • 630 Сообщений:

Отправлено 04 Июль 2010 - 12:33

Как сложно! Поставьте Др Веб и не надо ничего делать.Там есть защита критических областей системы.Даже если банер и вылезет, то уже лишней возни с реестром не нужно будет.

#3 -Dmitro-

-Dmitro-

    Newbie

  • Posters
  • Pip
  • 9 Сообщений:

Отправлено 04 Июль 2010 - 15:09

Это очень долго) Я сегодня весь день убил чтобы избавиться от этого баннера, в итоге все-таки смог его найти. Через безопасный режим попасть в систему не удалось, тогда я воспользовался виртуальной виндой. Кстати Др.Веб с последними обновлениями его не видит. Так вот исполняемый файл трояна находится по адресу C:\Program Files\Common Files\Microsoft Shared и имеет имя mssoft.exe - смело удаляйте его. Ну а дальше не забудьте почистить комп на предмет его следов, надеюсь помог ;)

#4 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • PipPipPipPipPipPipPipPip
  • 24 540 Сообщений:

Отправлено 04 Июль 2010 - 15:12

Это очень долго) Я сегодня весь день убил чтобы избавиться от этого баннера, в итоге все-таки смог его найти. Через безопасный режим попасть в систему не удалось, тогда я воспользовался виртуальной виндой. Кстати Др.Веб с последними обновлениями его не видит. Так вот исполняемый файл трояна находится по адресу C:\Program Files\Common Files\Microsoft Shared и имеет имя mssoft.exe - смело удаляйте его. Ну а дальше не забудьте почистить комп на предмет его следов, надеюсь помог ;)

Вы его отправили в вирлаб?

----------

Будете писать во все темы -получите в глаз.

#5 -Dmitro-

-Dmitro-

    Newbie

  • Posters
  • Pip
  • 9 Сообщений:

Отправлено 04 Июль 2010 - 15:13

Архив с трояном я выслал на ваш сайт. прикрепил в своем запросе. Если что могу сделать это повторно

#6 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • PipPipPipPipPipPipPipPip
  • 24 540 Сообщений:

Отправлено 04 Июль 2010 - 15:18

Архив с трояном я выслал на ваш сайт. прикрепил в своем запросе. Если что могу сделать это повторно

Вирусы отправляют через форму https://vms.drweb.com/sendvirus/

#7 An_lime

An_lime

    Newbie

  • Members
  • Pip
  • 2 Сообщений:

Отправлено 04 Июль 2010 - 15:19

-Dmitro- , дельный совет ;) А признаки баннера как у меня?
Ну как попасть в безопасный режим я писал. Надеюсь что Безопасный режим+твой метод и будет самым быстрым решением для других.

#8 -Dmitro-

-Dmitro-

    Newbie

  • Posters
  • Pip
  • 9 Сообщений:

Отправлено 04 Июль 2010 - 15:21

Простите, просто я на эмоциях сейчас, работа горит, и все из-за этого баннера.
Спасибо за ссылку. Троян отправил. Думаю в ближайшее время веб научится его распознавать.

#9 -Dmitro-

-Dmitro-

    Newbie

  • Posters
  • Pip
  • 9 Сообщений:

Отправлено 04 Июль 2010 - 15:24

Отправленное изображениеAn_lime, да все признаки одинаковые. Розовый порно баннер с тремя голыми девками. Первые цифры 4956***** а последние 5 цифр меняются при перезагрузки. Через безопасный зайти не удалось, баннер висит и там. Спасибо виртуалке, которую я записал еще в 2008ом)

#10 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • PipPipPipPipPipPipPipPip
  • 24 540 Сообщений:

Отправлено 04 Июль 2010 - 16:29

Для многих подходит 2047692

#11 Darkman

Darkman

    Newbie

  • Posters
  • Pip
  • 12 Сообщений:

Отправлено 05 Июль 2010 - 10:58

Для многих подходит 2047692


Тут он врятли поможет
3 кода мне выдавало и не помог


An_lime, Спасибо большое помогло
Правда 7 пункт у меня ОК был
Но: была ещё 1 папка (winlogon) с ключём реестра в котором была прописана задача для explorer.exe с путём указывающим на: C:\Program Files\Common Files\Microsoft Shared\mssoft.exe


Вот более простая инструкция:

1. Включаем комп F8 (F5) и Выбираем - Безопасный режим с поддержкой командной строки
2. Жмем Ctrl+Alt+Delet и в появившемся Диспетчере Задач идем Файл>Новая задача(выполнить) пишем explorer и OK
3. Заходим C:\Program Files\Common Files\Microsoft Shared и удоляем mssoft.exe
Файл mssoft.exe - скрытый (если не видите, то включите отображение "Скрытых файлов")
4. Пуск - Выполнить - ввести: regedit
Далее:
«HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion»
Прокручиваем список вниз до Winlogon
Далее:
Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)
4.1 Теперь заходим в Winlogon: ищем ключ: "Shell" - жмём Изменить - в поле Значение стираем всё кроме: Explorer.exe
4.2 Возможно: «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» если ключ Userinit был изменен, то: восстановить значение на «C:\Windows\system32\userinit.exe,»
4.3 Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки
5. Можете перезагружаться в "Обычном режиме" и проверяться с помощью Dr.Web CureIt!® или штатного Антивируса
Не забудьте обновить базы данных Антивируса



Просьба к модераторам раздела: Прикрепите тему наверх
Ввиду того что это реально работающий способ на данный момент, а ключи которые на сайте предлогаются не работают


Обновлено: 05.07 - 15.00
Создано: An_lime (основа), Darkman, N-Genie

#12 userr

userr

    The Master

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 16 310 Сообщений:

Отправлено 05 Июль 2010 - 11:02

1. Включаем комп F8 (F5) и Выбираем БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ

вредная программа может стартовать и в таком режиме.

3. Заходим C:\Program Files\Common Files\Microsoft Shared и удоляем mssoft.exe

может быть в другом месте и с другим именем.

Просьба к модераторам раздела: Прикрепите тему наверх

совет не универсален, к сожалению.

#13 Darkman

Darkman

    Newbie

  • Posters
  • Pip
  • 12 Сообщений:

Отправлено 05 Июль 2010 - 11:29

Ну мы в данный момент говорим об этой версии программы!
Да обновится (и факт что эта с... обновит) и будет там запускаться, но на данный момент это единственный способ! Способов решения нигде нет, а сидеть и ждать неделю пока не появится код или платить 300 руб - это не выход

Я перерыл весь инет и сайты антивирусников и нигде не нашёл ключей для данного блокера

Например, у Др веб - только рекомендация: "введите этот ключ"
А ключ оказывается 1 на все такие вариации блокера и при этом не работает!
+перебпробывал штук 10-20 кодов и так не избавился от блокера


Данный же способ предложеный An_lime помог!
Да не универсален, НО: он помог "здесь и сейчас"

#14 Morn

Morn

    Newbie

  • Members
  • Pip
  • 1 Сообщений:

Отправлено 05 Июль 2010 - 12:10

способ Darkman помог, спасибо!! перед появлением этого баннера, у меня ДрВеб словил какой-то вирус (названия не запомнила, к сожалению), но вроде как удалил. А сразу после перезагрузки появился баннер. Когда на втором компьютере искала как его удалить, опять появился этот вирус, но я не стала перезагружаться, а повторила действия Darkman, увидела те самые файлы, удалила, после перзагрузки все ок, тьфу-тьфу. И на первом компьютере тоже.

#15 userr

userr

    The Master

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 16 310 Сообщений:

Отправлено 05 Июль 2010 - 12:45

ко всем:
делайте логи по Правилам для контроля

#16 N-Genie

N-Genie

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 05 Июль 2010 - 13:43

Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)


Добавлю от себя.
1. В ветке Winlogon троянец дописывает себя в ключ "Shell" после "Explorer.exe" (аналогичная запись как в фальшивом разделе winlogon), так что надо изменить этот ключ, оставив Explorer.exe и удалив остальное.
2. Проверить Userinit +
3. Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки, а вообще сканер и CureIT детектят изменения в этом файле и восстанавливают его по умолчанию

#17 Darkman

Darkman

    Newbie

  • Posters
  • Pip
  • 12 Сообщений:

Отправлено 05 Июль 2010 - 14:12

Обновил пост свой с инструкцией!
Чтоб всё было в 1 месте

#18 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • PipPipPipPipPipPipPipPip
  • 24 540 Сообщений:

Отправлено 05 Июль 2010 - 14:22

Зачем создавать велосипед?

http://wiki.drweb.com/index.php/Userinit

http://wiki.drweb.com/index.php/Userinit2

http://wiki.drweb.com/index.php/Userinit3

#19 N-Genie

N-Genie

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 05 Июль 2010 - 14:26

ну людям искать в лом, слишком много букв.. терминов.. форум ближе -)
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..

#20 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • PipPipPipPipPipPipPipPip
  • 24 540 Сообщений:

Отправлено 05 Июль 2010 - 14:34

ну людям искать в лом, слишком много букв.. терминов.. форум ближе -)
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..

У спайдера нет такой опции.

И против всех винлоков не поможет

 




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых