Alfizik (Хакер_ру) все записи автора Вчера к нам поступил ПК с интереснейшим вирусом. После загрузки винды вирус сразу выводит на экран следующее окно с требованием отправить платное SMS-сообщение для получения кода, якобы для активации Windows. Внимание! Будьте аккуратны и не посылайте SMS, говорят что снимает за раз по 300 рублей.

Неплохой однако, годный фишинг )))

Вирус также блокирует работу ПК, выше изображенное сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой (кнопки Пуск и рабочего стола соответственно), в том числе и до диспетчера задач. Единственно что работает это смена сеанса пользователя по Win+L, но толку от этого никакого. В безопасном режиме компьютер не загружался, машина висла. Короче полный маздай ))

Тело вируса мне удалось обнаружить в трех местах:
1. C:\Documents and Settings\Администратор\Local Settings\Temp\922.exe
2. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HO9NMBT5\aa[1].exe
3. C:\WINDOWS\mfo.exe
Во всех случаях это был один и тот же файл размером 44544 байт MD5 сумма: E7A247CE628D8F455D5E895DBEF71976

Разными антивирусами это вирус распознается как модификация следующих тварей:
AntiVir - TR/LockScreen.E.1
Avast - Win32:Malware-gen
AVG - SHeur2.BPQG
Comodo - Heur.Suspicious
DrWeb - Trojan.Winlock.428
Kaspersky - Trojan-Ransom.Win32.SMSer.rk
Panda - Trj/CI.A
Symantec - Trojan.Ransomlock.C
Что интересно и удивительно NOD не детектит его вообще!!! Так что пользователи этого антивируса будьте внимательны, не подцепите эту вирусную гадость!


Мой вариант лечения.
Загрузить ПК с LiveCD подключить флешку с антивирусом и провести полную проверку. Будьте внимательны не все LiveCD поддерживают подключение USB-накопителей (можно использовать например Alkid Live CD или iNFR@ CD). В качестве антивируса на флешке хорошо подходит portable антивирус от Dr.Web - Dr.Web CureIt!, скачать который можно с офф. сайта по адресу - http://www.freedrweb.com/cureit/
Также можно воспользоваться AVZ антивирусом (тоже работает без установки), заодно и систему им можно подлечить и закрыть потенциальные дыры в системе. Скачать его можно с офф. сайта по адресу - http://www.z-oleg.com/secur/avz/download.php

Несколько слов о AVZ (под катом)

Другой вариант лечения (сам НЕ пробовал).
Ввести ключ для разблокировки: 13616. Окно исчезнет дав возможность работать с ПК. А дальше по ситуации, либо сразу проверяем антивирусом. Или сначала через редактор реестра (нажмите кнопку Пуск ---> Выполнить - Введите в поле, Regedit) ищем следующие ключи:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Desktop \ SafeMode
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ ControlSet003 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot

и устанавливайте значение 1 (по идее станет доступна загрузка в безопасном режиме). Затем перезагрузите компьютер, после включения компьютера, незадолго до запуска Windows, нажмите клавишу F8. Выберите загрузку - "Безопасный режим". Загрузитесь и проверьте компьютер на вирусы.

Maranii (Хакер_ру) все записи автора 1. Какой антивирус посоветуете?
2. Могут ли вирусы, трояны и проч. инетная дрянь привести к тому, что комп выключаеца только если выдернуть шнур из разетки и перестал читать диски?

sya-sya (Хакер_ру) все записи автора срочнооооооооооооо нужно днев взломать потому что он ... ключит ...как это сделать??????????????????????
плиззззззззззззз

_Fire_Lady_ (Хакер_ру) все записи автора один  "не хороший человек" взломал наши с подругой icq и собирается их теперь продать (один точно)
сколько не пытались с ним поговорить,вернуть он отказался.
пожалуйста если вам не сложно помогите вернуть нам наши номера!
2 симпы гарантируем!
номера:
11166262
и второй:
274748736
заранее большое спасибо!!!

Bad_Kpoxa (Хакер_ру) все записи автора Постоянно вылетает такая табличка...что это значит???

Ноябрина (Хакер_ру) все записи автора Новая модификация гораздо сильнее защищена от дешифровки, и потому создать «противоядие» для нее сложнее

В Интернете появилась новая и более опасная модификация троянской программы Trojan.Encoder.6. Неосторожный пользователь, запустив программу «Вложение», тут же становится жертвой шантажиста. Файлы документов шифруются, а пользователю предлагается связаться со злоумышленником по указанному последним адресу электронной почты.

После поражения компьютера в каждой папке на всех виртуальных дисках машины появляется файл readme.txt следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

Согласно данным, предоставленным газете ВЗГЛЯД компанией «Доктор Веб», специализирующейся на антивирусных решениях, все версии троянской программы рассылаются по электронной почте в виде спам-рассылок. Однако, по словам генерального директора компании Бориса Шарова, «вирус не имеет самостоятельного механизма распространения» – то есть, попав на компьютер жертвы, он не будет, в отличие от других подобных программ, рассылать собственную копию по всей адресной книге электронной почты.

Trojan.Encoder, выполняя свои деструктивные функции, не прячется, и пользователь может обнаружить его в активных процессах Windows. Тем не менее единственное, что может прервать работу вируса (помимо, разумеется, антивирусных приложений), – это форсированное выключение компьютера, что, правда, не избавит от необходимости «лечить» машину.

В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.

Как отметил Борис Шаров, «предыдущие версии троянской программы можно было достаточно легко расшифровать из-за небольшой длины ключа». Однако новая модификация гораздо сильнее защищена от дешифровки и потому создать «противоядие» для нее сложнее.

Некоторое время спустя после появления вируса компания «Доктор Веб» выпустила обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6. Усовершенствованная утилита позволяет дешифровать файлы, зашифрованные с помощью различных шифровальных ключей. В настоящий момент механизм обезвреживания трояна уже включен в сам антивирус Dr.Web, что не требует скачивания отдельного софта.

В случае если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован и на выходе будет получен файл с расширением.decr. Готовый файл можно будет с легкостью открыть и изменить.

Первое упоминание вируса относится к январю 2006 года. Последние сообщения, связанные с данной разновидностью трояна, появились в середине апреля этого года. Повторное появление Trojan.Encoder было связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в Интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Trojan.Encoder.6, по словам специалистов «Доктор Веб», вряд ли вызовет крупномасштабную эпидемию в Интернете. Однако его опасность близка к максимальной и ее не стоит недооценивать. Стоит отметить, что «Лаборатория Касперского» пока не разработала собственного решения для троянской программы, а лишь предупредила об опасности нового вируса.

Эксперты обращают внимание пользователей на опасность данного трояна и призывают быть исключительно осторожными с любыми почтовыми сообщениями, приходящими от неизвестных адресатов.

Также эксперты советуют регулярно обновлять вирусные базы и не работать в системе с правами администратора. Если все же у вас возникли подозрения, что компьютер инфицирован, а антивируса на нем нет, проверьте все жесткие диски компьютера бесплатным сканером. Он не только проверит ваш компьютер, но и вылечит его в случае обнаружения инфекции, причем не только от вирусов, но и от шпионских программ и других вредоносных кодов.

-Driada- (Хакер_ру) все записи автора вот приезжаешь ты однажды домой а тебе комп выдает ошибку процесса lsass.exe
это не комп глючит-это червь Win32:Padobot-I

Worm.Win32.Padobot


Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.

Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение
При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate"="%system%\[имя файла]"
Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
"Server"="1"
Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.

Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения.

Прочее
После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing", после чего может попытаться перезагрузиться.

Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд.

Пытается установить соединение с несколькими каналами на IRC-серверах:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
для приема команд и передачи данных.

Он же n0xwe11

вирус распостраняется через локальные сети и пролезает через бреши в первом сервис-паке винды ХР.так что лучше иметь либо пак 2 либо поставить заплаток.касперский и панда его по откликам заражавшихся пропускают и источника инфекции не находят
у меня аваст
запустила просканить все в режиме авто-загрузки и вот он выдал список н файлов,которые я отправила в хранилище,а потом собственно удалила
так во нашла в папке system32 папку local Settings и там кучка файлов такого плана XXXXXXX[1],XXXXXXX[2] и так далее короче сидел параллельно этот Ip и пытался атаковать другими вирусами.когда мен это заколебало-вынула кабель(давно пора,опомнилась=))))ворм активируется ели обнаруживает на вашем компе подключение по локальной сети,а так как его нет,то спите спокойно,вот как выключила,так и стала в режиме загрузки сканить комп,а вот где собственно прячется главный источник инфекции,он пробирается в стандартную папку ля файловой системы NTFS System Volume Information,в обычном режиме она не доступна но он лежит там,вот что выдал мне отчет аваст по этому поводу
D:\System Volume Information\_restore{D3C983F9-25D3-4481-8284-242F2CD2FB81}\RP53\A0027921.exe [L] Win32:Trojan-gen. {VC} (0)
Файл был успешно удален...
все вышло,а один чувак ради этого переводил ntfs в fat32 =)
папка-то в другой Фс затирается))
вот просканила все окончательно и теперь снова живу без проблем

Ноябрина (Хакер_ру) все записи автора Троянская программа-загрузчик. Без ведома пользователя скачивает из интернета другие файлы, сохраняет их на зараженном компьютере и запускает на исполнение. Программа является приложением Windows (PE EXE-файл). Написана на языке Visual Basic.

Размер зараженных файлов варьируется в пределах от 10 до 25 КБ.

Деструктивная активность

При запуске программа проверяет наличие следующего файла:

c:\drsmart\load1.exe
Если файл не существует, программа ждет соединения с интернетом, после чего пытается скачать файл по следующему URL:

http://promo.dollarrevenue.com/****le/drsmartload.exe
и сохранить в

c:\drsmart\load1.exe
Если попытка скачать файл удалась, троянец запускает его и завершает свою работу.

Рекомендации по удалению

Удалить файл:
c:\drsmart\load1.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Другие названия
Trojan-Downloader.Win32.Adload.j («Лаборатория Касперского») также известен как: Generic Downloader.s (McAfee), Trojan.DownLoader.4805 (Doctor Web), Troj/Drsmartl-A (Sophos), TR/Dldr.VB.QR (H+BEDV), Trojan.Downloader.Adload.J (SOFTWIN), Trojan.Downloader.Adload-4 (ClamAV), Adware/Ucmore (Panda), Win32/TrojanDownloader.Adload.J (Eset)

Ноябрина (Хакер_ру) все записи автора Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл), упакована UPX. Размер файла — 32 256 байт. Размер распакованного файла — около 90 КБ. Написана на языке Visual C++. Деструктивная активность

После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец завершает свою работу.

В противном случае выводит следующее диалоговое окно:


После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:

Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.
Загружает из интернета, устанавливает и запускает на исполнение следующие программы:
istsvc.exe (19 456 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.
Путь к программе: %Program Files%\ISTsvc\.
istbarcm.dll (91 136 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.
Путь к программе: %Program Files%\ISTBar\
optimize.exe (52 104 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.
Путь к программе: %Program Files%\InternetOptimizer\
<6 случайных символов>.exe
Например: bnaoqc.exe (10 240 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.
Путь к программе: %WinDir%\
saferscan.exe (91 136 байт)
Путь к программе: %Program Files%\SaferScan\
SAcc.exe (110 592 байт)
Путь к программе: %Program Files%\SurfAccuracy\
SAccU.exe (16 384 байт)
Путь к программе: %Program Files%\SurfAccuracy\
<8 случайных символов>.exe
Например: fowkxcmy.exe (52 104 байт).
Путь к программе: %WinDir%\
Эти программы загружаются со следующих ресурсов:

http://www.ysbweb.com
http://www.surfaccuracy.com
http://www.tbcode.com
http://www.slotch.com
Добавляет следующие ключи в системный реестр:
[HKCU\Software\SaferScan]
"account_id"="0"

[HKCU\Software\IST]
"account_id"="dword:00000000"
"config"=""
"exe_start"="dword:00000001"
"InstallDate"="%date% %time%"
"Recover"="!ZpHc:"

[HKLM\Software\ISTbar]
"installTitle"="SlotchBar"
"barTitle"="SlotchBar"
"serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
"urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
"gUpdate"="0"
"TBRowMode"="dword:00000000"
"xml_istbar.xml"="-206472906"
"imagemap_normal.bmp"="-942107825"
"imagemap_over.bmp"="-942107825"
"showcorrupted"="1"
"updatever"=""
"refreshscope"="1440"
"allowupdate"="0"
"LastCheckTime"="dword:4400260c"
"version.txt"="-186917087"
"UpdateBegin"="0"

[HKLM\Software\ISTbar\Historyfiles]
"C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001"
"C:\Program Files\ISTbar\version.txt"="dword:00000001"

[HKLM\Software\ISTsvc]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
"UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
"NoModify"="dword:00000001"

[HKLM\Software\SAcc]
"accid"="104"
"subaccid"="0"
"Version"="dword:0x480"
"InstallDate"="dword:0x44002606"
"DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029."
"srecovery"="!ZpH..."
"CfgReloadAttempts"="dword:00000001"

[HKLM\Software\Policies\Microsoft\Windows\Safer]

Регистрирует класс COM-объекта для ISTbar:
[HKCR\IstBar.BarObj]
"CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}

[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
"ProgId"="ISTbar.BarObj"

Регистрирует скачанные файлы в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IST Service"="C:\Program Files\ISTsvc\istsvc.exe"
"aKCSidSjW"="%WinDir%\bnaoqc.exe"
"SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe"
"Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe"
"SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0"
"ReJf5vH"="%WinDir%\fowkxcmy.exe"
После завершения инсталляции открывает в браузере следующую страницу:
http://www.ysbweb.com/install/welcome.html
Рекомендации по удалению

В диспетчере задач завершить все троянские процессы:
bnaoqc.exe
istsvc.exe
optimize.exe
Sacc.exe
saferscan.exe
Удалить следующие ключи реестра:
[HKCU\Software\SaferScan]
[HKCU\Software\IST]
[HKCU\Software\ISTbar]
[HKCU\Software\ISTsvc]
[HKLM\Software\SAcc]
[HKLM\Software\Policies\Microsoft\Windows\Safer]
[HKCR\IstBar.BarObj]
[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
Удалить значения в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IST Service"
"aKCSidSjW" - (имя содержит 9 случайных символов)
"SurfAccuracy"
"Internet Optimizer"
"SaferScan"
"ReJf5vH" - (имя содержит 7 случайных символов)
Удалить файлы и папки скаченных из интернета программ:
%Program Files%\ISTBar\
%Program Files%\ISTsvc\
%Program Files%\InternetOptimizer\
%Program Files%\SaferScan\
%Program Files%\SurfAccuracy\
%WinDir%\<8 случайных символов>.exe
%WinDir%\<6 случайных символов>.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами