Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Технический флейм »   Новое поколение программ-вымогателей
RSS

Новое поколение программ-вымогателей

Как обезвредить?

<<Назад  Вперед>> Страницы: 1 * 2 3 4
Печать
 
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия!
[/q]
К сожалению, в данном случае самый успешный софт это format c: :)
А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки.

Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe).
Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали.
Функция восстановления системных файлов (sfc /scannow) тоже не помогла.
Пришлось переустановить винду.

Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа.
При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe".

Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку.
В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так:
"taskkill /f /im имяпроцесса.расширение".

Сейчас же такое не прокатывает. :mad:
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
где люди берут этих вымогателей :biggrin:
[/q]
На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ.
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
IDDQD

Спасибо за способ! помогло!
с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы :)

Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован :)
SKcorp
Advanced Member
Эксперт.

Откуда: Leningrad, USSR
Всего сообщений: 3005
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
28 июля 2008
Перепиши winlogon.exe и userinit.exe
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
Спасибо за способ! помогло!
[/q]
А рабочий стол после этого нормально грузится ?
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
IDDQD
да нормально!

что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой..

У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить..

Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com
иногда работало.
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой..
[/q]
Лазил в интернете через Firefox 4, антивирус - от самого Билла Гейтса (Microsoft Security Essentials).

AVZ пробовал, но к сожалению рабочий стол не грузился, видимо это из-за того, что ОС была Windows 7.
Приходилось запускать вручную, через диспетчер задач. Да и программы в автозагрузке не работали, несмотря на то, что они были прописаны в msconfig.
Fe-Restorator
Гость

Ссылка

IDDQD написал:
[q]
Лазил в интернете через Firefox 4
[/q]
Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил. :)
Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки. :thumbup:
Сейчас на форуме
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
Лазил я как-раз таки с включенным adblock, причем не на порносайте а на довольно приличном сайте с интернет-заработком - wmmail.ru.
SL project
Advanced Member


Откуда: Великий Новгород
Всего сообщений: 3706
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
3 янв. 2007
Fe-Restorator

на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить
<<Назад  Вперед>> Страницы: 1 * 2 3 4
Печать
Полигон-2 »   Технический флейм »   Новое поколение программ-вымогателей
RSS

1 посетитель просмотрел эту тему за последние 15 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS