Стиллер,WinLocker,Ботнет,как его распознать?

Тема в разделе Windows, создана пользователем ERROR404, 18 апр 2013.

Войдите для ответа
  1. ERROR404 Администратор

    ERROR404
    Статус:
    Вне сети
    Что такое Стиллер? - Это программа склеена с файлами exe формата , которая ворует Пароли.


    Она может быть в любом формате но современная школота,не знает что такое джойнер.:smile:






    Чтобы распознать Стиллер есть 2 варианта:



    1. Это найти Вирус Usteal Cobra ElDORADO с помощью Virus Total'а или Жотти скан . Если хоть один Антивирус заметит такой вирус то лучше не скачивать!


    [​IMG]


    2. Стиллер можно узнать по размеру самого файла. Стиллер может быть только в формате exe.


    Если вы все таки открыли файл, то сразу перезагрузите Компьютер.


    Когда Компьютер включился, включаете Антивирус и удаляете файл и все остальные вирусы.


    А вообще перед тем как включить что-либо проверте его на компе!


    --------------------------------------------------------------------------------------------------------------------------------------------


    Что такое winlocker/Mbrlocker - троян, блокирующий windows.


    [​IMG]


    Он не даёт даже запустить windows.


    При включении компьютера сразу высвечивается такая картинка.


    Winlocker


    [​IMG]


    Блокирует рабочий стол. Его легче убрать чем аналог выше.


    Как распознать?


    https://www.virustotal.com/


    http://virusscan.jotti.org/


    Проверить на этих вируссканах.


    Искать вт похожее на это:



    [​IMG]


    Размер winlocker может быть разным.


    Однако размер Mbrlocker 12кбайт.


    Но не забывайте о том что вместе строем может быть склеен другой файл. Поэтому только Вт поможет распознать, но и вт можно закриптовать.


    Спасибо за внимание!


    P.s. если попались на такой вирус, ни в коем случае не отправляйте смски и не пополняйте счета. Этим вы помогаете разработать новые вирусы.


    Для разблокировки:


    Можно воспользоваться, http://sms.kaspersky.ru/? или http://support.kaspersky.ru/8005


    Вот полезная статья:


    http://pomoguvsem.ru/kak-razblokirov...lit-winlocker/


    ---------------------------------------------------------------------------------------------------------------------------------------------


    Немножко о ботнете :


    Это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.


    Основной вирус бота:


    Основной функционал Virus.Win32.Virut.ce, q - ботнет-клиент. Посредством ботнет-клиента идёт передача информации от вируса, троянской программы. Более подробную информацию о том, что такое ботнет, использование ботнетов, вы можете посмотреть на сайте www.securelist.com.


    Лечение систем, зараженных вредоносными программами Virus.Win32.Virut.ce, q, производится с помощью утилиты VirutKiller.


    Лечение зараженной системы


    Скачайте файл VirutKiller.exe;


    Запустите файл VirutKiller.exe на зараженной (или потенциально зараженной) машине;


    Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.


    -Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.


    В ВТ могут отображатся по разному (большинство криптуют )


    -Win32.Rmnet.12





    -Virus.Win32.Virut.






    -Win32.Trojan Downloader






    -Win32.MailBru.














    Избавление от всех вирусов вымогателей вышеперечисленных:







    1.Neshta Первый всем известный вирус Neshta


    Neshta — компьютерный вирус, появившийся в Беларуси в конце 2005-го года. Название вируса происходит от транслитерации белорусского слова «не?шта», означающего «нечто», «что-то». Neshta относится к категории файловых вирусов — ныне мало популярному виду вредоносных программ.


    Решение проблемы скачиваем Реестровый файл Анти Нешта вносим его в реестр появится окно нажать ОК после чего можно воспользоваться Антивирусной программой для чистки вашего железа от вируса


    Zalil.ru


    RGhost Перезалил


    2. Как Избавиться от Баннера Вымогателя.


    Как максимально застраховать себя при интернет серфинге, а самое главное с помощью каких инструментов, информация в конце статьи, а сейчас подробная история о том, как избавиться от баннера. Приведённая информация подходит к операционным системам Windows ХР, Windows Vista, Windows 7.


    Первое что предпримем, зайдём на сайты ведущих антивирусных компаний, предоставляющих услуги разблокировки компьютера от баннера вымогателя


    Dr.Web https://www.drweb.com/xperf/unlocker


    NOD32 http://www.esetnod32.ru/.support/winlock


    Лаборатории Касперского http://sms.kaspersky.ru


    Второе что можно попробовать – перезагружаем компьютер и при загрузке жмём F-8, заходим в Устранение неполадок, это если у вас установлена Windows 7, в операционной системе Windows XP идите сразу в безопасный режим с поддержкой коммандной строки (что там делать, читайте чуть ниже).[​IMG]




    далее среда восстановления Windows 7,

    [​IMG]




    пытаемся применить Восстановление системы, выбираем точку восстановления, Далее

    [​IMG]




    и … восстановление системы запускается.

    [​IMG][​IMG][​IMG]










    Далее перезагрузка и баннера как не бывало…Просканировал антивирусником весь компьютер и никаких следов баннера.Э нет, - подумал я, мы так не договаривались, куда же ты пропал, про что же я людям статью писать буду. И решил я друзья, зайти на один знакомый мне махровый сайт, там этих вирусов, видимо не видимо. Посадить себе в систему настоящий вирус дело пяти минут, который и рабочий стол заблокирует и отключит восстановление системы, короче всё по настоящему. Давно у них я не был, у старых друзей в кавычках, смотрю ничего не изменилось, на главной странице сайта предложение получить выигрыш, положенный мне, как милионному посетителю. Нажимаю на кнопку ПОЛУЧИТЬ и получаю то, что просил, баннер на рабочий стол. Вздыхаю с облегчением, в наше время друзья, настоящий вирус найти сложно.Вот он наш красавец баннер (в коллекцию его заберу и разберу потом на запчасти), деньги говорит давай, а самое главное цены растут, тысячу рублей уже требуют.

    [​IMG]




    Итак начинаю с сервисов разблокировок, предоставляющих свои услуги по удалению баннера, к счастью неудачно (а то пришлось бы другой вирус ловить) и ни один антивирусный сайт, код разблокировки не подобрал.


    Со страхом в душе опять захожу в Устранение неполадок->среда восстановления->выбираем Восстановление системы и бац… вздыхаю с облегчением, вот вам.., всё как положено - На системном диске этого компьютера нет точек восстановления.


    [​IMG]




    Пытаюсь ещё раз, безрезультатно.

    [​IMG]




    Настроение немного поднялось, пробуем Дополнительные варианты загрузки. Пытаемся зайти в Безопасный режим, там можно использовать восстановление системы, почистить реестр, автозагрузку и так далее, но нас к счастью опять ждёт неудача, тот же самый реальный баннер.


    Пробуем попасть в Безопасный режим с поддержкой командной строки и… входим в него. А это значит, что к большому сожалению, мы с вами почти удалили наш классный баннер и длинной статьи не получится, ну да ладно, другой искать уже не будем.


    [​IMG]




    В безопасном режиме с поддержкой командной строки, можно запустить восстановление системы, то есть набрать в командной строке rstrui.exe, но мы уже пытались это сделать в простом безопасном режиме и у нас ничего не получилось, повторяться не будем.


    Тогда в командной строке вводим команду
    msconfig, (опять же, если у вас установлена Windows 7, но вот в операционной системе Windows XP msconfig не сработает, набирайте сначала команду explorer, попадёте на рабочий стол, затем уже идите в автозагрузку обычным путем Пуск-Выполнить-msconfig)

    [​IMG]




    и попадаем в автозагрузку, обратите внимание незнакомый процесс Salero:

    [​IMG]




    В первую очередь смотрим путь к самому файлу вируса, он находится, как мы видим по адресу.


    C:\Users\Имя Пользователя\AppData\Local\Temp\Rar$EX20.616\24kkk290347.exe


    Смотрим, в каком именно разделе вирус прописался в реестре:



    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    [​IMG]



    Если сейчас зайти в раздел реестра
    Run, то мы увидим такую картину


    [​IMG]






    Снимаем галочку с вредоносного процесса и жмём Применить и ОК.

    [​IMG]




    Если сейчас зайти в упомянутый раздел реестра, то вы увидите что ключ соответственно удалён, так как мы его исключили из автозагрузки.Как из командной строки попасть в реестр? Набираем команду regedit:

    [​IMG]




    Находим данный раздел.


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


    Так же стоит проверить находящийся рядом раздел
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.

    [​IMG]





    • Примечание: Раньше вирус часто вносил свои изменения в ветку реестра

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Изменяя там два параметра
      Shell и Userinit (это на всякий случай), привожу идеальные значения данных параметров. В нашем случае вирус их не затронул.

      Shell = Explorer.exe и Userinit = C:\WINDOWS\system32\userinit.exe,


    Реестр мы с вами почистили, теперь нужно удалить файл вируса по адресу:


    C:\Users или имя Пользователя\ALEX\AppData\Local\Temp\Rar$EX20.616\24kkk290347.exe


    Вводим команду
    explorer и открывается проводник Windows. Заходим в Компьютер

    [​IMG]




    Проходим в папку


    C:\Users или имя Пользователя\ALEX\AppData\Local\Temp и видим папку с вирусом
    Rar$EX20.616, можем удалить её всю сразу, но вижу вам интересно посмотреть на вирус, так давайте в неё зайдём.

    [​IMG]




    Видим там вместе с нашим вирусом 24kkk290347.exe, группу файлов, созданных системой практически в одно и тоже время вместе с вирусом, удаляем всё. Кстати, все файлы, находящиеся в данной папке Temp, можно и нужно удалить, так как это папка временных файлов.

    [​IMG]




    В конце проверяем папку Автозагрузка, в ней ничего нет


    C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

    [​IMG]




    На последок я проверил корень диска (С:) и папку C:\Windows\System32 на предмет файлов с названием Rar$EX20.616или 24kkk290347 или с датой создания 09.04.2012 время 18.01.Закрываем командную строку и перезагружаемся


    Перезагрузка и пожалуйста перед нами возникает наш нормальный рабочий стол. У нас с вами получилось избавиться от вируса. Сейчас не будет лишним, проверить весь компьютер на присутствие вредоносных программ - антивирусом с последними базами обновлений.



    Что ещё можно предпринять, если в командную строку войти нам не удастся. Можно использовать
    диски восстановления ESET NOD32 или Dr. Web (читайте наши подробные статьи).


    Или к примеру, если у вас Windows 7, можете загрузиться в среду восстановления семёрки. Для этого можно использоватьустановочный диск Windows 7 или
    диск восстановления Windows 7 , зайдёте в командную строку, наберёте notepad, откроется блокнот– файл-открыть, затем нужно заменить файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEMиз папки C:\Windows\System32\config,

    [​IMG]




    такими же файлами из папки C:\Windows\System32\config\RegBack.

    [​IMG]




    Каждые 10 дней Планировщик заданий создаёт резервную копию файлов реестра - даже если у вас Отключено Восстановление системы.


    Затем удалим сам вирус из папки Temp или всё содержимое папки, как показано выше:



    C:\Users или имя Пользователя\ALEX\AppData\Local\Temp\
    Rar$EX20.616\24kkk290347.exe удаляем просто, заходим в неё и выбираем удалить. Затем перезагружаемся.





    3. Всем известный вирусы ТРояны



    1) Нужно убить вирусный процесс, либо сразу группу вирусных процессов. ВАЖНО: группа процессов убивается сразу ВСЯ, иначе толку нет. Для этого нужны дополнительные средства, обычным диспетчером задач не отделаешься. И чтобы обнаружить эти процессы - нужно знать пути к файлам, инициировавших их. А чтобы распознать маскирующегося трояна - нужно заглянуть в электронную подпись: обычно в троянах там пусто.






    2) Это ещё не всё: нужно выкорчевать все библиотеки трояна (если таковые есть), которые вбуравились в эксплорер, и грузятся какждый раз, воссоздавая троян, даже если ты его удалил.






    3) Из автозагрузки тоже все процессы нужно убрать (только после остановки ВСЕХ процессов трояна).






    4) Ну и последнее - удалить все эти трояны с диска, хотя уже и не обязательно.








    ps - в большинстве случаев в безопасный режим выходить даже не придётся.








     
    18 апр 2013 #1
    Shmonka и menzelev нравится это.
  2. CLUX Местный

    CLUX
    Статус:
    Вне сети
    Сообщения:
    192
    Симпатии:
    19
    Регистрация:
    01.06.15
    Спасибо большое)
     
    9 май 2013 #2
  3. nastay98 Новорег

    nastay98
    Статус:
    Вне сети
    Сообщения:
    10
    Симпатии:
    0
    Регистрация:
    11.12.13
    Научили меня и пользуюсь через anubis.iseclab.org анализировать файлы. Надо Вам и этот способ добавить.
     
    16 авг 2013 #3
  4. ERROR404 Администратор

    ERROR404
    Статус:
    Вне сети
    nastay98, напишите статью: "Как определить вирус через песочницу".


    Благодарность обеспечена
     
    16 авг 2013 #4
  5. nastay98 Новорег

    nastay98
    Статус:
    Вне сети
    Сообщения:
    10
    Симпатии:
    0
    Регистрация:
    11.12.13
    Suchkov, я не знаю как. Лучше я Вам видео добавлю, как через OllyDbg распознать склейку. Нашла на ПК.


    http://rghost.ru/48159810
     
    16 авг 2013 #5
  6. NeonEye Отец by Kennyx ☠

    NeonEye
    Легенда
    Статус:
    Вне сети
    Сообщения:
    791
    Симпатии:
    271
    Регистрация:
    01.06.13
    Короче запускаешь прогу, вылезло окошко как в мануале описано - то это винлокер и тебе ппц. PROFIT!!!
     
    16 авг 2013 #6
  7. Pћаη†òм Забанен

    Pћаη†òм
    Статус:
    Вне сети
    Сообщения:
    259
    Симпатии:
    28
    Регистрация:
    01.02.15
    Познавательно, но не для бывалых людей типо как я :tongue:


    Я уже в интернете как 6 лет. Многое на видал
     
    15 сен 2013 #7
  8. Vezlin1 Проверенный

    Vezlin1
    Статус:
    Вне сети
    Сообщения:
    467
    Симпатии:
    134
    Регистрация:
    11.12.15
    нз
     
    11 июл 2016 #8
  9. r00t3rsec Новорег

    r00t3rsec
    Статус:
    Вне сети
    Сообщения:
    23
    Симпатии:
    1
    Регистрация:
    05.10.16
    и какие crypter используются
     
    5 окт 2016 #9
Top