Архив

Публикации с меткой ‘trojan’

mstsc.exe, память не может быть read. Лечим Trojan-Spy.Win32.Zbot.

18 Январь 2012 1 комментарий

mstsc.exe, память не может быть readПри подключении к удаленному рабочему столу через «Подключение к удаленному рабочему столу» (RDP-клиент, файл mstsc.exe) на Windows XP SP3, появляется сообщение об ошибке mstsc.exe, память не может быть read.
Сам клиент запускается, дает изменять настройки, но при нажатии кнопки «Подключиться», вылазит ошибка и все тут. Читать далее…

Поздравляем! Вы установили ПорноТВ. Отправьте СМС.

Сегодня попался очередной малварь, который просит отправить СМС, для того чтобы удалить ПорноТВ канал. Канал и вправду веселый, настолько, что блокирует Диспетчер Задач, но видимо не знает, что существует Process Explorer из пакета Sysinternals. Все остальное вполне типично — файл прописывается в автозагрузку в реестре, обзывает себя MediaCodec.exe, переименовывает regedit.exe в reg.exe и запускает дочерним процессом, судя по всему для поддержки записи в разделе автозагрузки и маячит при запуске на рабочем столе.

Удаляется так же просто: снимаем процесс, удаляем файл, удаляем запуск из автозагрузки в реестре. Читать далее…

Убираем баннер СМС с текстом 5862710 на номер 9800

11 Март 2010 14 comments

Сегодня встретил очередного вымогателя денежных средств через СМС. Он стартует при запуске операционной системы и вылазит на четверть экрана при запуске браузера Opera или Internet Explorer. Баннер предлагает отправить СМС с текстом 5862710 на номер 9800. За неимением достаточного количества времени не смог понять, как технически происходит запуск. Понятно было лишь одно, что при снятии задачи с explorer.exe и последующим запуском — баннер исчезал, но при перезагрузке операционной системы снова появлялся.

Тут cforum.ru удалось найти самое быстрое решение для снятия баннера: сначала вводим код 4479927959, затем появляется второй баннер с уведомлением, что Вам +18 лет, вводим код 8694287294.

Если кто-то изучил способ загрузки и место жительства этого зверя, пишите в камменты :)

Очередной вымогатель денег через СМС.

15 Декабрь 2009 1 комментарий

ВирусВ прошлый раз я уже описывал лечение малваря, вируса, трояна, кому как угодно, который вымогает деньги — просит отправить СМС, чтобы компьютер разблокировался. Об этом можно почитать тут. На этот раз, мне попался очередной, похожий малварь. Каким-то образом он заседает в каталог профиля юзера: C:\Users\имя_юзера\Local Settings\Temp\ в виде файлов dasA23.bin, dasA23.rtk, dasA23.tmp. Причем dasA23.tmp — основной, на самом деле — это exe’шник. Хэш MD5 для этих файлов:

6c957d5b884f838cc1c0807efc01192e *dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 *dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 *dasA23.tmp

Читать далее…

Поддержка бедных робенгудов или Malware – вымогатель денег через СМС

MalwareИтак, буквально сегодня мне довелось встретиться с компьютером, у которого после загрузки операционной системы Windows XP и логирования пользователя на экране блестала замечательная надпись:

Alert System
Atation!
Обнаружено нелегальное программное обеспечение.
Необходимо произвести полную проверку системы (стоимость $5)
По средствам с.м.с сообщения произведите активацию.
и т.д. Читать далее…