Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[Radiant]

Тут, намедни, просматривая фотографии на одной из веток форума, подцепила троянскую программу, полностью блокирующую доступ к системе.
Это вид вредоносной программы (Trojan-Ransom): блокируется доступ к ресурсам оерационной системы. Абсолютно нереально завершить работу этой программы или запустить другую. Появляется окно, которое невозможно свернуть и закрыть, а на нем - сообщение с предложением отправить СМС с кодом. Взамен, якобы,  будет выслан код, позволяющий разблокировать компьютер. Клавиатура и мышь при этом работают, но сделать ничего (кроме ввода № кода) невозможно. Причем код надо ввести за определенное время, а то, дескать, шифры постоянно меняются (за это время нужно успеть соответственно отправить и получить СМС и ввести полученный код). Сделать за отведенное время это проблематично, поэтому одной СМС не отделаться  .
Самое смешное, что я, являясь не столь продвинутым пользователем, судорожно отправляла СМС-ки. На мой № приходили ответы, что платформа какая-то мне не доступна. Понятно - вот Вам денежки с других телефонов. Остановил меня только ограниченный баланс на этих номерах. Мне интересно, меня одну поджидал этот "троян"? В рядах "чайников" я тоже одна?
И еще, как только мой антивирус поместил на карантин этих вымогателей, тут же отправила сообщение - предупреждение на ту же ветку форума и даже видела его, но после поражения и лечения моего компьютера, сообщения уже не было. Но некоторые "полуночники" и автор просматриваемой мной темы, его видели. А на ветке тишь да благодать..., про такого "коня" и не пишуть... 

[shahter]

Пару раз выплывала такая штука. Ничего, все лечится.

[Hitnik]

В таких случаях надо сразу сообщать админам. Что бы других предупредить. А автор темы наверняка не при делах.

[беловчанин]

Вымогателей пока слава Богу не было, а трояна в системные файлы на днях словил в одной из веток со ссылкой на фотошару.  Нод 32 с трояном не справился, ришлось тащить жесткий диск на лечение к спецам. Самое обидное не могу вспомнить в какой ветке дело было , хотел поделится, хотя там уже эту проблему обсуждали. ( защиту  временно отключил и не вернул, сам дурак, но обидно).
А с подобным лохотроном мои знакомые дело имели, так им в результате в такие нервы лечение вылезло!

[dekuz]

домашним компьютером ловили подобное несколько раз (первый - просто требование отправить СМС, далее - жестче - интим - если это можно так назвать - во весь экран и  также требование СМС). Муж лечил таким образом: загружал в безопасном режиме и прогонял несколькими антивирусами друг за другом. Вирус обнаруживался всегда в папке с системными файлами.

[Vasa]

И мне такой попадался. Но не отсюда.
Мало того, что у меня был синий экран, требования отправить смс и свернуть этот экран только после многократного Ctrl+Alt+Delete удалось.... Он у меня самоотослался через аську, довел до форменной истерики знакомую.... караул.
Сначала чистили автозагрузки - чтоб синий экран не вылезал, после этого полная проверка Касперским. Удачно.

[Radiant]

В таких случаях надо сразу сообщать админам. Что бы других предупредить. А автор темы наверняка не при делах.

Без сомнений, автор не виноват, я об этом, кажется, не говорила    .
И предупреждать - предупредила, но не админа, а всех, просматривающих тему, только сообщение-предупреждение после лечения уже не было (см. мое сообщение выше).

...пришлось тащить жесткий диск на лечение к спецам...
...не могу вспомнить в какой ветке дело было , хотел поделится...
...защиту  временно отключил...
...им в результате в такие нервы лечение вылезло!

Я-то ветку помню, могу сказать, так ведь там все тихо..., может и не в ней вовсе, но точно - на форуме. На лечение тоже к "спецам" отправляли, т.к. другие не справились.

...лечил таким образом: загружал в безопасном режиме и прогонял несколькими антивирусами друг за другом. Вирус обнаруживался всегда в папке с системными файлами.

Этих программ-вредителей-вымогателей, тоже масса разновидностей. Как я узнала, моя была  - самая-самая трудноизлечимая... Ничего, на тот момент, кроме как ввести код, сделать было невозможно (об этом пишут и у Касперского):
"Способ лечения №4. Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой, можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander." Ес-сно, никакого LiveCD под рукой у меня не завалялось , да и узнала обо всем этом только после лечения. Во, зверь какой!
А антивирус у меня вообще - "свежак" и тоже не удалил, а посадил на карантин, но толку - чуть

[imv]

Банеры СМС вымогателей лечатся довольно просто руками, но если нет опыта можно зайти сюда:
http://www.drweb.com/unlocker/index/?lng=ru и подобрать код разблокировки банера.
Подобные сервисы есть на сайтах Касперского и NOD32:
http://support.kaspersky.ru/viruses/deblocker,
инструкция по удалению здесь: http://support.kaspersky.ru/faq/?qid=208637133,
http://www.esetnod32.ru/support/winlock.php

[DELUX]

Да .Последнее время \месяц -два\ Трояны в инете очень активизировались.И это беспокоит!Причем они сейчас везде .Казалось бы в 2009г. многие сайты были чисты - а сейчас...
Недавно подцепил Трояна ...да и еще какую-то хрень. так они у меня браузер "грохнули" .да еще и Касперского. \ повредили базы и черный список\ А все это с обычного фтпшника пришло!
Совет: 1.Делайте резервные копии.
2.пользуйтесь восстановлением системы
3. Безопастный режим!!!
4.Ну и в если все это не помогло- ни в коем случае не отсылайте "бабки" смской. \ ну это ж лохотрон! \
уж лучше винду переустановите!

[Natashischa]

Ещё было бы неплохо, когда происходит подобное, звонить в сервис службу своего сотового оператора и сообщать, что при помощи такого-то короткого номера совершается вымогательство. Насколько я знаю, они такие номера блокируют.

[DELUX]

Ещё было бы неплохо, когда происходит подобное, звонить в сервис службу своего сотового оператора и сообщать, что при помощи такого-то короткого номера совершается вымогательство. Насколько я знаю, они такие номера блокируют.

Полностью согласен! Какими методами ...как.. я не спец.   но это вымогательство нужно пресечь!!!!
В инете .как и в любом государстве \ я имею ввиду нормальные  \ должны быть законы и порядок!
Я пока еще не залетал до того чтобы переустанавливать винду. но меня это уже начало доставать!
Простите за излишнюю эмоциональность. но ведь это и нашего форума касаеться. Ведь совсем недавно форум был атакован
\и видимо "удачно"\   
И нашим Модераторам пришлось не сладко.Честь и хвала им!!!! Они с честью вышли из этого "дерьма"!

[Radiant]

...было бы неплохо звонить в сервис службу своего сотового оператора и сообщать, что при помощи такого-то короткого номера совершается вымогательство. Насколько я знаю, они такие номера блокируют.

Да, Наталья, это дельный совет. Но на тот момент я не думала, что это вымогательство.  О подобном "разводе" даже не слышала (это все же отличается от лохотрона по мобильному и иже с ними).
Выглядит это все, как работа антивируса. Т.е. сообщение, что обнаружен вирус, класса Trojan, расписаны все его злодеяния и все, "что нужно сделать для его обезвреживания"  . О плате за СМС- естественно-ни слова. Кстати, такого окна, как было у меня не встретила на сайтах по теме, видать новая версия .

Банеры СМС вымогателей лечатся довольно просто руками, но если нет опыта можно зайти сюда:
http://www.drweb.com/unlocker/index/?lng=ru и подобрать код разблокировки банера.
Подобные сервисы есть на сайтах Касперского и NOD32:
http://support.kaspersky.ru/viruses/deblocker,
инструкция по удалению здесь: http://support.kaspersky.ru/faq/?qid=208637133,
http://www.esetnod32.ru/support/winlock.php

Спасибо за ссылки. Только в моем случае, с компьютером сделать не возможно было ни-че-го, даже перезагрузить в безопасном режиме (и спецу в этих вопросах пришлось попотеть, чтобы выйти без потерь). Как я теперь понимаю, подошел бы только последний способ лечения от Касперского (№4), но для меня - это уже высший пилотаж. 
До сих пор не пойму, в то время на форуме (и в той ветке) помимо меня были пользователи. Но от них сообщений о происшедшем нет. Вредителям хватило одной жертвы?     

[imv]

До сих пор не пойму, в то время на форуме (и в той ветке) помимо меня были пользователи. Но от них сообщений о происшедшем нет. Вредителям хватило одной жертвы?     
[/quote]
Обычно пользователь своими руками устанавливает себе этот банер. Во время просмотра содержимого некоего сайта выскакиват предложение обновить flash плейер, предложение скачать что-то или сообщение о заражении от имени антивируса, которого нет на самом деле в системе. Пользователь охотно соглашается и через несколько минут или после перезагрузки результат на экране.
Встречал сайт с электронными книгами, сделан весьма солидно, большая база книг, по каждой краткая аннотация, издательские данные, но на самом деле ни одной книжки там нет. При  попытке скачать любую книгу идет фиктивная шкала загрузки, а на самом деле устанавливается порнобанер. Просто нужно быть внимательнее и делать все осознано, тогда подобных ситуаций не возникает.

[Radiant]

Обычно пользователь своими руками устанавливает себе этот банер. Во время просмотра содержимого некоего сайта выскакиват предложение обновить flash плейер, предложение скачать что-то или сообщение о заражении от имени антивируса, которого нет на самом деле в системе. Пользователь охотно соглашается ...
...идет фиктивная шкала загрузки, а на самом деле устанавливается порнобанер. Просто нужно быть внимательнее и делать все осознано, тогда подобных ситуаций не возникает.

imv , Вы, судя по постам, с компьютером "на ты". У нас же с ним более официальные отношения  и потому все, что я делаю дважды перепроверяю, чтобы не навредить. Никак не пойму, что в моих действиях было ошибкой: просматривая новые сообщения данного форума кликнула (вполне осознанно  по выложенным фотографиям, с целью их увеличить. Далее, мой антивирус выдал сообщ. о помещении на карантин некоего объекта. Тем временем я строчу сообщение на форум, с целью предупредить. Вижу свое сообщение на ветке форума. Далее, мой компьютер, без какого-либо вмешательства с моей стороны, перезагружается и вход блокируется сообщением от (якобы моей) антивирусной программы, которая "протягивает мне руку помощи" и просит выслать запрос на код, введение которого позволит запустить прграмму, обезвреживающую вирус. До сего момента какого-либо моего участия в процессе вобщем-то и не было Разве не так?
А вот дальше..., я стала отправлять СМС. И то не могу сказать, что делала это не осознанно, тяжело было заподозрить неладное, мне же не закачивалась ненужная информация в виде порнобанера, не вылезали окна с "интимом", ничего не было о стоимости СМС, даже требований, как таковых, не было. Было предупреждение о поражении системы и все выглядело как работа моей антивирусной программы.
Вобщем, Троян на той ветке одну меня поджидал.

[imv]

Да, компьютеры - моя работа, и дружу я с ними довольно давно, еще до появления в нашей стране IBM совместимой техники.
Банеров-вымогателей и блокировщиков системы последнее время расплодилось довольно много. И техника их внедрения в систему постоянно совершенствуется. Одни из них перекрывают почти всю площадь экрана, это сильно мешает предпринимать какие-то действия по их удалению, но все же это возможно, на некоторых даже есть кнопка "Закрыть" после нажатия на которую включается обратный отсчет на 60 секунд и банер исчезает, но всего лишь на несколько минут. В этих случаях можно излечиться без применения дополнительных средств, то есть голыми руками. В случае же блокировшиков, которые полностью предотвращают вход в систему без дополнительных средств не обойтись. Приходится загрузиться с CD (ERD-Commander, Alkid Live CD и др.) и прибить заразу . Хуже если эта зараза применяет шифрование, в этом случае нужен ключ, иначе можно потерять все свои данные на диске. Для получения ключа лучше воспользоваться сервисами Касперского, DrWEB или NOD32, ссылки на которые я давал ранее.
Сообщения о заражении компьютера и просьбой отправить СМС могут маскироваться под вашу антивирусную программу или системное сообщение. Но в любом случае не стоит отправлять СМС (хотя в редких случаях и приходит ответ с кодом разблокировки рублей за 600).
Сказать конкретно как эта гадость проникла в ваш компьютер сложно. Для этого нужно знать "фамилию" заразы и последовательность ваших действий. Что интересно, ни одна из антивирусных программ до недавнего времени не реагировала на все эти банеры, блокировщики.
Для тех кто не хочет сильно заморачиваться или не имеет достаточного опыта борьбы с этим злом дам ссылку на утилитку, которая может помочь в решении проблемы:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Утилита постоянно обновляется, поэтому скачивать ее впрок не стоит и отключите восстановление системы перед её запуском. (Предупреждение для пользователей нелицензионного софта: утилита очищает файл hosts, после чего становится возможной проверка на подлинность при подключении к инету с вытекающими из этого последствиями .

[скептик]

Время попадания трояна в ваш компьютер и время его активации (запуска) между собой не связаны.
Вы подцепили его гораздо раньше и совсем не в той ветке.

[Radiant]

Время попадания трояна в ваш компьютер и время его активации (запуска) между собой не связаны.
Вы подцепили его гораздо раньше и совсем не в той ветке.

Да, судя по всему, так и есть.

...перекрывают почти всю площадь экрана, это сильно мешает предпринимать какие-то действия по их удалению. В случае блокировшиков, которые полностью предотвращают вход в систему без дополнительных средств не обойтись. Приходится загрузиться с CD (ERD-Commander, Alkid Live CD и др.) и прибить заразу .Сообщения о заражении компьютера и просьбой отправить СМС могут маскироваться под вашу антивирусную программу или системное сообщение.

Вот-вот, все так и былО.   "Развели" меня, сумму правда не знаю, но предполагаю, что невелика  .

Что интересно, ни одна из антивирусных программ до недавнего времени не реагировала на все эти банеры, блокировщики.

Меня напрягает то, что после лечения  (при корректной работе компьютера) в карантине антивируса до сих пор имеются сведения о том, что туда перед удалением помещен объект (дата, имя объекта, причина) который не может быть очищен. Это не означает, что он еще жив и может активизироваться?

[скептик]

В принципе, есть еще такой способ (опробовал на двух компьютерах - оба у родственников)
Вирус пойман в день Х, активизировался в день Y.
Если у вас работает функция восстановления системы, надо откатиться на день Х-n.
Правда, тут достаточно много неизвестных. Если откатитесь на день в интервале между Х и Y, он, соответственно запустится через некоторое время. Эти два компьютера пока работают нормально.

[Radiant]

В принципе, есть еще такой способ ...
...если откатитесь на день в интервале между Х и Y, он, соответственно запустится через некоторое время...

Вот именно так мне и восстанавливали компьютер, причем мастер считал, что до этого  способа додумался пока только он  .
Т.е. получается, что либо день заражения совпал с днем активации (т.к. я указала именно на эту дату), либо все еще впереди...  ??? 

[imv]

Правда, тут достаточно много неизвестных. Если откатитесь на день в интервале между Х и Y, он, соответственно запустится через некоторое время. Эти два компьютера пока работают нормально.

После отката банер не запустится, потому что некому его запустить, ведь реестр и, соответственно, все службы возвращены в состояние когда этого зверя не было. Останется где-то на диске (чаще в корне Programm files) сам исполняемый файл, но он не представляет опасности в таком виде, если только не запустите его сами. Лучше, конечно его убить. По заявлениям антивирусных компаний, прозвучавшим в начале недели, все эти зверьки должны быть включены в ближайшие обновления антивирусных баз.

Меня напрягает то, что после лечения  (при корректной работе компьютера) в карантине антивируса до сих пор имеются сведения о том, что туда перед удалением помещен объект (дата, имя объекта, причина) который не может быть очищен. Это не означает, что он еще жив и может активизироваться?

Из карантина он не активируется. А вообще, нужно просто очистить карантин и все дела. Там же не какой-то важный файл, инфицированный неизвестным вирусом, ожидающий лечения, а сама вредоносная программа в чистом виде.

[Radiant]

А вообще, нужно просто очистить карантин и все дела. Там же не какой-то важный файл, инфицированный неизвестным вирусом, ожидающий лечения, а сама вредоносная программа в чистом виде.

Да я уж теперь боюсь что-либо вообще делать, даже осознанно , но раз Вы разрешаете...

Спасибо большое - imv, Скептику и все другим за участие.
Если что - теперь все знают к кому обращаться .

[Тим]

кстати такая штука выскакивала тоже в инете. в эксплорере в виде флеш банера с отсчетом секунд. пришлось сначала зайти в управление надстройками в эксплорере и отменить в ручную эту надстройку. потом уже имело смысл совершенно спокойно бороться с помощью антивируса в обычном режиме.

[скептик]

Radiant, предложил бы не рисковать и повторить откат не на дату появления, а где-нибудь на пол-месяца раньше.

[watr]

Тут, намедни, просматривая фотографии на одной из веток форума, подцепила троянскую программу, полностью блокирующую доступ к системе.

Упс.. а где же Вы его цепанули? Я вроде с самого форума всё вычистил.
В прошлом сентябре-октябре у меня вирусами много сайтов было заражено... но я думал что всех победил.

[Radiant]

Из карантина он не активируется. А вообще, нужно просто очистить карантин и все дела.

Удалила все из карантина и из журнала событий.

кстати такая штука выскакивала тоже в инете ... пришлось сначала зайти в управление надстройками в эксплорере и отменить в ручную эту надстройку. потом уже имело смысл совершенно спокойно бороться с помощью антивируса

Нам еще "повезло" - еще легко отделались,   как теперь выяснилось - штуки и похлеще бывают

Radiant, предложил бы не рисковать и повторить откат не на дату появления, а где-нибудь на пол-месяца раньше.

Да уж, в этом случае - лучше -пере-, чем -недо- бдеть , но доверить это профессионалам.
Исходя из этого - еще вопрос: если, теоретически, предположить, что произошло худшее из:

Останется где-то на диске (чаще в корне Programm files) сам исполняемый файл, но он не представляет опасности в таком виде, если только не запустите его сами.

Могу ли я "заразить" форум, общаясь?

Упс.. а где же Вы его цепанули? Я вроде с самого форума всё вычистил.
В прошлом сентябре-октябре у меня вирусами много сайтов было заражено... но я думал что всех победил.

Да скорее всего-победили! Судя по тому, что пострадавший только один (я), уже сомневаюсь ,  что это из форума.

[Юльча]

Да скорее всего-победили! Судя по тому, что пострадавший только один (я), уже сомневаюсь ,  что это из форума.

[/quote]
Не переживайте, я тоже Трояна схватила, открыв чьи-то фотографии с постороннего ресурса.
Касперский оказался бессилен.
Тема где-то обсуждалась, не могу найти.
Ситуацию спасла установка отдельной антитроянской программы.