Лечение вируса +79647274244, +79671541847

29-05-2010 в нашу психиатрическую клинику принесли компьютер, мол, зависло все.
Гружусь их системой. И вижу: гомосайт в окне браузера Internet Explorer, с наг-скрином: пополни баланс на 350 рублей, номер билайна: +79647274244, – ключ разблокировки ищите на чеке. Забавно, теперь и гей-вирусы атакуют. Никогда не считал их полезными обществу
Поиск информации в интернете – 0, скан Нодом32, Касперским и Д. Вебом – тоже пусто.

Работаю под LIveCD Linux.
Удалил (Переместил папки в испытательных целях) куки Internet Explorer и саму папку с ним, при запуске не грузится Проводник, а диспетчер задач якобы заблокирован администратором. Мышь шевелится..
Вернул куки на место – стал загружаться Explorer или по крайней мере его скрин(!): где @_OnSelect и прочие реакции?!
Файл hosts содержит, помимо обычного, другое:
216.139.228.141 forum.xtcs.eu
216.139.228.141 xtcs.eu
216.139.228.141 files.xtcs.eu
216.139.228.141 cs.xtcs.eu
216.139.228.141 www.xtcs.eu
Загрузка с F8 – безопасный режим, не дала результатов – не грузит никак. Загрузка последней удачной также ничего хорошего не дала.
В куках есть файл: Screen.jpg (хотя заголовок говорит, что он bmp – BM6…) – это экран. Делается скрин экрана еще рабочей винды и в дальнейшем показывается именно он, а поверх – окно троя Куки с компьютера на 45-55% содержат взрослые “веселые картинки” и скрипты, некоторые голубого оттенка. Делаю заключение – заражение пошло именно с какого-то взрослого сайта (28, 29 мая), к тому же время совпадает.
Найден файл e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe, запакованный UPX.

File: e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe_
CRC-32: 217dd9e7
MD5: 25271f5c7c201e89992de7d469b2c7b4

Выяснилось, что троянец отключает диспетчер задач (WIN+R не работает тоже) и другие важные приложения, необходимые для полноценной работы с системой. Запуск explorer.exe (Проводник) возможен путем копирования и переименования его на место троянкой программы (панели задач все равно не будет, но хоть что-то!).
Редактор реестра запускается из системной папки. Можно править и восстанавливать работоспособность системы. Затронуты нестандартные настройки, поэтому программы настройщики будет скорее всего бессильны.

Исследование следует.. Чушь какая-то

Номера +79647274244, +79671541847, +79654358055 – взаимосвязаны

PS / 06-05-2010
Универсальный алгоритм лечения данного типа вируса
(их уже несколько модификаций) для ОС Windows XP (Vista и 7 лечатся аналогично, с учетом расположения директорий и ветвей реестра):
1. Грузимся с любого LiveCD (или подключаем винт с зараженной системой к рабочей неинфицированной системе).
2. Находим папку куки браузера, которым просматривались странички. В моем случае это были куки Internet Explorer: “C:\Documents and Settings\Administrator\Local Settings\Tempor…”. Находим в ней поиском файл с расширением *.EXE (у меня: e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe). Также файл может находиться в папке с загрузками (Downloads или загрузки).
3. Переименовываем (e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe_), а вместо него копируем файл explorer.exe (C:\Windows\explorer.exe) и называем так, как назывался троян изначально (e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe).
4. Перезагружаемся в инфицированной системе. Видим окно Проводника без панели задач. Здесь можем выполнять некоторые манипуляции с файлами, программами и проч.
5. Качаем архив с fixed патчем и переносим на винт с инфицированной системой.
6. Распаковываем и применяем в инфицированной системе. Можно поправить и вручную, как вам удобнее:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”Explorer.exe”

[HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system]
“DisableTaskMgr”=dword:00000000

Перезагрузка.

В первоначальном патче есть возможность восстановления безопасных режимов и других параметров (WinXP PRO SP3 Lite ENG), но он делался программно, поэтому, рекомендую сначала ознакомиться с его содержимым, если надумаете применять.

7. Правим файл hosts (C:\windows\system32\drivers\etc), чтобы было только:
комментарии с “#” и
127.0.0.1 localhost
8. Выполняем сканирование системы обновленным антивирусом. Рекомендуемые: Антивирус Касперского, Dr.Web, ESET NOD32, Avast, AVG. У первых трех есть бесплатные сканеры (Virus Removal Tool, NOD32 On-Demand (Manual) Scanner, Cureit).

Правильность работы системы осуществляется программой AVZ:
AVZ – пункт меню файл –>> восстановление…

Также можно попробовать ввести следующие ответы (везет на первых версия троянца только):

ОТВЕТ: 21122012

ОТВЕТ: я не пидор

Другие ответы:
штиблеты
козявочка
козявка
жопа бля
беломор
кокошник
мультифрукт
дуремар
а мы не пьем
гуталин
семерочка
фисташка
нажми на газ
не тормози
отдых на природе
сметанка
гондурас
привет пидоры
биокефир
пошли в баню
гуси лебеди
нет гомосекам
привет июнь
найди себе бабу
сковорода
я не пидор
21122012
j0RYGWEpz9R02u3
9f4n54rGx2421uLTl6
2y8g8zM71S2D9608TplL

Удачи!

 

Также для исследователей: интересный путь, куда пишет троян некоторые свои данные: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express] “MediaVer”=”6,0,2600,0000″ “Media”=”NT” “InstallRoot”=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,4f,00,75,00,74,00,6c,00,6f,00,6f,00,6b,00,\ 20,00,45,00,78,00,70,00,72,00,65,00,73,00,73,00,00,00 “HTTP Mail Enabled”=dword:00000001 “Disable Hotmail”=dword:00000002 “pri”=”400″ “galo”=”1072366441″ “num”=”+79654358055″

_C:\Documents and Settings\user\Документы-user\Загрузки\vip_porno_12201.avi.exe Там же лежит Screen.jpg Сделал загрузочную флешку при помощи BartPE, отрусифицировал и всё нормально. Не знаю, как у других, но “мой” пидор оказался на редкость просто сделаным. Короче, три шага _C:\Documents and Settings\user\Документы-user\Загрузки\vip_porno_12201.avi.exe и Screen.jpg УДАЛИТЬ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe” СДЕЛАТЬ ВОТ ТАК ПЕРЕЗАГРУЗИТЬ

Оригинал статьи: http://ivan.vmegete.ru/?p=585