Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 16:08 Сообщение отредактировано: 17 августа 2011 14:01
DOS Logic написал: К сожалению, в данном случае самый успешный софт это format c: Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия! А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки. Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe). Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали. Функция восстановления системных файлов (sfc /scannow) тоже не помогла. Пришлось переустановить винду. Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа. При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe". Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку. В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так: "taskkill /f /im имяпроцесса.расширение". Сейчас же такое не прокатывает. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ. где люди берут этих вымогателей |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD Спасибо за способ! помогло! с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован |
SKcorp
Advanced Member
Эксперт. Откуда: Leningrad, USSR Всего сообщений: 3005 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 июля 2008 |
Перепиши winlogon.exe и userinit.exe |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: А рабочий стол после этого нормально грузится ? Спасибо за способ! помогло! |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD да нормально! что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить.. Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com иногда работало. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: Лазил в интернете через Firefox 4, антивирус - от самого Билла Гейтса (Microsoft Security Essentials). что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. AVZ пробовал, но к сожалению рабочий стол не грузился, видимо это из-за того, что ОС была Windows 7. Приходилось запускать вручную, через диспетчер задач. Да и программы в автозагрузке не работали, несмотря на то, что они были прописаны в msconfig. |
Fe-Restorator |
NEW! Сообщение отправлено: 1 августа 2011 18:58
IDDQD написал: Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил. Лазил в интернете через Firefox 4 Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки. |
Сейчас на форуме |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Лазил я как-раз таки с включенным adblock, причем не на порносайте а на довольно приличном сайте с интернет-заработком - wmmail.ru. |
SL project
Advanced Member
Откуда: Великий Новгород Всего сообщений: 3706 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 3 янв. 2007 |
Fe-Restorator на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |