Удаляем баннер Trojan Winlock

Тема в разделе "Железный поток", создана пользователем BuDeNy, 27 июн 2012.

  1. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Подробнее в моем блоге
    В последнее время баннеры — это самая распространенная зараза на компьютерах пользователей, подцепить его очень легко, достаточно щелкнуть по какой-нибудь подозрительной ссылке и ваш компьютер после перезагрузки или следующего включения засияет вот таким вот окном или ему подобным.

    [​IMG]

    Клавиатура вашего компьютера будет скорей всего заблокирована, поэтому комбинации горячих клавиш ctrl+alt+del, alt+tab работать не будут, поэтому сразу переходим к действиям.

    1. Перезагружаем компьютер, при загрузке нажимаем клавишу F8.

    Появляется окно с выбором метода загрузки, выбираем пункт меню Безопасный режим с поддержкой командной строки и нажимаем кнопку Enter на клавиатуре.

    [​IMG]

    2. Откроется окно с командной строкой в нем вводим regedit.exe

    [​IMG]

    3. В открывшемся окне редактора реестра находим ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ищем ключ Shell в нем скорей всего будет прописан какой-нибудь статический адрес.

    [​IMG]

    В нашем случае это C:\Documents and Settings\admin\Мои документы\downloads\viidsti.exe. Вот как раз таки этот файл viidsti.exe и есть этот злобный баннер.

    4. Правой кнопкой мыши щелкаем по ключу Shell и в выпадающем меню выбираем изменить.

    [​IMG]

    Выделяем имя файла viidsti.exe и копируем его в буфер обмена, в моем случае это viidsti.exe в вашем может быть абсолютно другой. Советую записать имя файла на бумажку, так как из буфера обмена вы можете случайно потерять имя, забыв про то что у вас там что-то хранится. Путь к файлу трояна тоже рекомендую записать, но можно и просто запомнить.

    5. Удаляем ключ Shell, щелкаем правой кнопкой мыши и нажимаем удалить в контекстном меню.

    [​IMG]

    6. Переходим в ветку реестра HKEY_USERS и нажимаем F3 или же выбираем в меню Правка—>Найти, вставляем имя нашего троянца в поле поиска и нажимаем кнопку найти далее.

    [​IMG]

    7. Удаляем все найденные ключи

    [​IMG]

    [​IMG]

    Поиск продолжаем до тех пор пока не появится надпись Поиск в реестре завершен

    [​IMG]

    8. Закрываем редактор реестра и в командной строке вводим explorer.exe

    [​IMG]

    9. Далее переходим в Пуск—>Панель управления—>Свойства папки

    [​IMG]

    Во вновь открывшемся окне переходим из вкладки Общие во вкладку Вид и убираем галочку с пункта Скрывать расширения для зарегистрированных типов файлов и обязательно переставить точку на Показывать скрытые файлы и папки

    [​IMG]

    Нажимаем OK.

    10. Теперь поиском Windows или через Проводник ищем нашего троянца, если из буфера обмена имя пропало, вводим вручную с бумажки.

    [​IMG]

    Найденный файл удаляем, перезагружаем компьютер и наслаждаемся прежней работой компьютера.

    После удаления трояна настоятельно рекомендую сделать полную проверку компьютера на вирусы лечащей утилитой Cureit от Dr.Web http://www.freedrweb.com/cureit
  2. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Иногда описанный выше способ может не помочь и потребуется загрузочный LIVE CD
  3. Пресс
    Оффлайн

    Пресс Moderator

    Credit:
    $474,04
    Book Reviews:
    0
    Как удалить - понятно.
    А как и где это баннер получить?
  4. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Пресс если честно я никогда данным вопросом не задавался, обычно я только удаляю,ты хочешь кому-нить подкинуть?):)
  5. Пресс
    Оффлайн

    Пресс Moderator

    Credit:
    $474,04
    Book Reviews:
    0
    Есть арабская поговорка: "Да накажет Аллах того, кто показывает дорогу, сам по ней не пройдя"
    Вот, собственно, хочу попробовать :hi:
  6. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    На зайцев нет тогда тебе путь) там куча всякой муры, каспер постоянно на фишинг атаки там реагировал.
    Я просто из под Мак оси сижу, поэтому не страшно.
  7. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Если посмотреть в базу уязвимостей SecurityLab (http://en.securitylab.ru/nvd/index.php) и ввести там "mac os", то получим 1545 зарегистрированных уязвимостей, для "windows" их 2349, что вполне сравнимо. Большинство из них связаны с third party софтом в обоих случаях, просто пользователей настольных Mac OS слишком мало, особенно в России, поэтому и про взломы/вирусы/трояны особо не говорят.
  8. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Не отрицаю что под мак ось вирусов нету, они есть, но винда изначально под админом, в мак ос чтобы что-то установить нужно ввести пароль root'а
    Просто опять же вирусы пишут в большинстве под Windows так как она более распространена, чем мак ось
  9. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    BuDeNy, все так, только винда по умолчанию начиная с 7ки тоже просит административные привилегии при системных изменениях, в том числе при установке программ. В висте вроде как что-то подобное есть, но там все очень сырое и кривое ))
  10. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Все бы так да не совсем,для того чтобы запустить bat файл прав администратора ненужно, а в bat файл можно прописать все что угодно, а разместив такой bat файл за каким-нибудь банером или ссылкой, можно наделать делов. Опять же можно написать bat который будет на подобии баннера и будет править реестр, зная нужные ключи можно заблокировать все)
  11. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Хм, так как я в безопасности не спец, провел эксперимент (Windows 7):
    1. Сделал текстовый файл 123.txt;
    2. Поместил его в c:\Program Files;
    3. Сделал файл 1.bat с содержимым: notepad "c:\Program Files\123.txt"
    4. Запустил cmd из Run обычным пользователем по умолчанию;
    5. Запускаю c:\1.bat, открывает блокнот с нужным файлом, делаю изменения и нажимаю Ctrl+s, сохранить не разрешает, открывает окно выбора имени файла, то есть прав на сохранение в Program Files у него нет.
    6. Меняю содержимое 1.bat на: del "c:\Program Files\123.txt"
    7. Опять запускаю из Cmd, пишет Отказано в доступе.
    То есть права в всем запускаемым командам в бат файле делегируются от пользователя запустившего этот файл. Реестр и другие системный файлы так же требуют прав администратора, и он может пострадать только с использованием багов в софте или при запуске от имени администратора.
  12. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Ну так я не загонялся, но напримере маршрутизации пример тебе приведу.
    Чтобы не писать руками в cmd каждую команду создал файл 1.bat в него запихал маршруты и сохранил. По щелчку по 1.bat маршруты добавились без проблем и ничего не спросили, делал под XP буквально два дня назад, под 7кой думаю будет тоже самое, прав админа думаю не спросит, чуть позже комп собиру проверю.
    Хотя вот тебе пример батника, на выход из системы, советую перед запуском закрыть все проги и сохранить документы.
    Потом кликать по батнику
    http://narod.ru/disk/54458284001.98706c44457ec9a9dabc5d9b55a72327/1.bat.html
  13. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Запускал на 7ке домашней базовой ничего не спросило абсолютно
  14. Маруся
    Оффлайн

    Маруся Ферзь

    Пол:
    Женский
    Credit:
    $8.807,41
    Book Reviews:
    2
    Попробовала у себя- комп выключился. Хорошо, хоть денег не попросил. :eek: У меня 7-ка.
  15. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Погодите, речь ведь всего лишь идет о раздаче прав выше чем у текущего пользователя (что требуется вирусам чтобы все попортить), если вы можете выполнить команду от имени пользователя, то естественно и bat файл выполнится. Любой пользователь имеет привилегии для выключения компа, естественно и через bat файл она будет доступна. В линуксе, включая Mac OS принцип тот же самый. Я не знаю что включает в себя добавление маршрутов, при этом что-то вроде содержимого хост-файла меняется или реестр?
  16. Маруся
    Оффлайн

    Маруся Ферзь

    Пол:
    Женский
    Credit:
    $8.807,41
    Book Reviews:
    2
    Я не понимаю о чём речь. Такой файлик-как баннер. Кликнул и вуаля. Кликнула на файлик и всё вырубилось. Тоже самое произошло бы с баннером. Или нет?
  17. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Маруся, не, из браузера локальную программу, которая может испортить компьютер не запустить, точнее это возможно, но браузер десять раз спросит вы правда хотите запустить небезопасный контент, попросит изменить настройки безопасности и т.п. Это конечно не касается дырок в браузерах и других сетевых программах, который не часто но находятся. А если скачать такой файл и потом запустить, то, да он может сделать все что угодно. Так часто трояны прячут под видом обновления Flash Player или чего-то подобного. Скачиваешь, запускаешь и получаешь шпиона, причем он честно может запросить админские права при установке как любой установщик, и хакерам делать ничего не нужно )
  18. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    На счет браузера не согласен, не спросит он, покрайней мере не всегда. Порой не всегда касперский срабатывает internet security на фишинг атаки. Поэтому тут вопрос спорный. Насчет маршрутизации просто пример привл что не спрашивает, если интересно про реестр как будет больше свободного времени от работы обязательно проверю, bat файл был всего-лишь примером, я нигде не писал что банеры пишутся батниками, скорее они прописываются в библиотеках dll и exe файлах, последние более распространены. Как по мне так написать такой банер особо труда не составит, вопрос только в том, а зачем?
  19. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Из браузера 90% всех атак связаны с воровством аккаунтов, номеров кредиток и т.п., то есть в виде троянов. Почему так, потому что браузер это песочница, которая умеет интерпретировать HTML/CSS/JavaScript и все эти языки сильно ограничены и вообще по спецификации W3C не имеют доступ к локальному компьютеру, только в кукам браузера данного домена. Через них и делается большинство атак, крадутся куки, а по ним учетка в платежной системе и т.п., но такие дыры постоянно закрываются производителями браузеров обновлениями. В HTML5 планируется такая возможность (доступ к файлам на локальном компьютере, но опять в sandbox хранилище, которое будет безопасно), но самого HTML5 пока нет :) Отдельные вендоры позволяют браузеру немного больше чем просто интерпретировать web страницы, например, IE поддерживает вызов COM Automation через JS, но COM сервер должен быть установлен на компьютере, в том же IE есть ActiveX, который по сути является exe выполняемым из браузера, это компонент чисто для корпоративных приложений и в последних версиях (начиная где-то с 7ки) он отключен по умолчанию. Многие атаки на компьютеры из IE как раз и делались через ActiveX, этот компонент уже давно залатан-перелатан. В мозилла подобных браузерах есть поддержка Java аплетов, которые являются обычными приложениями Java с рядом ограничений, тоже известно прилично атак через них. Веб-программированием уже 5 лет как занимаюсь и могу точно сказать что это еще тот гемор запустить что-то из браузера на локальном компьютере, все просто запускается в песочнице, но получить доступ к той же файловой системе очень муторно, даже сделав все правильно (подвисав компонент сертификатом, понизив уровень безопасности интернет зоны или домена и т.п.).
    Насчет банера в dll/exe, тут к сожалению даже антивирус не поможет, они рассчитаны на глупость пользователей, запустив exe файл пользователь автоматически отдает ему все свои права, но опять же через браузер запустить exe при обычных настройках не получится, поэтому сначала пользователь его должен скачать. Про трассы я спрашивал потому что это действительно выглядит как возможная уязвимость, довольно странно что у обычного пользователя есть такие права.
    BuDeNy нравится это.
  20. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    fernir Приятно общаться с технически грамотным человеком.:)
    По поводу dll и exe согласен что расчитано на дурака, но не все баннеры и вирусы просят скачать их, типа для просмотра видео утсановите вот этот flash плеер или кодек и т.п., тут да пользователь по наивности ставит сам, потом комп перезагружают по просьбе установленной программы, кодека или просто выключают, при следующем включении компа можно в лучшем случае увидеть текст, в худшем голые жопы)) Далее юзверь по свое же наивности идет пополнять счет в элекснет и ждет на чеке код разблокировки, ну бред же, нужно же хоть иногда головой чуть подумать, как он будет код печатать то?
    Ну да ладно, но я знаю случаи когда человек ничего не делал, стоял касперский интернет секьюрити, на зайцев.нет скачивал песню, в итоге комп повис и выключился сам, после того как включился на столе появился баннер. Собственно вопрос почему не сработал антивирус на фишинг атаку и почему не сработал как ты говоришь в браузере фаервол. После того как баннер я убрал я посмотрел логи касперского там было чисто,т.е. атаки он даже не видел.
    По поводу маршрутов точно могу сказать в бат файле ничего не спрашивает.
    Опять же есть вирусы которые в C:\Windows\System32\drivers\etc в файл hosts дописывают себя и комп по умолчанию заходит только на одну страницу фишингово содержания, так например пароли воруют в контакте и одноклассниках. Так что дыр в винде до сих пор хоть отбавляй, но по большому счету во всем виноват всегда пользователь
  21. Пресс
    Оффлайн

    Пресс Moderator

    Credit:
    $474,04
    Book Reviews:
    0
    Имхо, наоборот: в худшем случае текст, а вот голые жопы - в лучшем))
  22. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    Хорошо если жопы, а не улечат в просмотре педофилии. У меня так один знакомый мужик поймал перед приездом дочки, на ее компьютере, стыдно наверное стало, пошел в элекснет оплатил пять соток, расстроился что баннер не убрался и начал мне названивать раз 25 позвонил, я не мог ответить.
  23. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0

    Ржал долго, мало того что сам способ создания гавно так и голос за кадром просто убил :bj:
  24. BuDeNy
    Оффлайн

    BuDeNy Мартовский кот

    Пол:
    Мужской
    Credit:
    $4.430,23
    Book Reviews:
    0
    после просмотра вот этого видео ржал не меньше, особенно с комментов. Но с каким умным видом тетка прогоняла слушателям, обомлеть))
  25. fernir
    Оффлайн

    fernir

    Credit:
    $0,00
    Book Reviews:
    0
    Интересно в каком классе школы этот товарищ учится, он же блокирует собственный сервер, а не клиентский компьютер ))

Поделиться этой страницей