Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
<<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
Надеюсь все знают о таких прогах которые просять денег чтобы якобы разблокировать комп.. Появились они давно, но раньше все было просто, они записывались в автозагрузку (удалялось через безопасный режим) или в реестр, ключ ...\WindowsNT\Winlogon\ Убиралось через лайв си-ди. А вот недавно появились такие проги что нигде их "нет" В реестре все чисто, в "Documents and Settings" вообще все ексешники нашел тоталом и удалил Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег! Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия! |
Sergei Frolov
Advanced Member
Коллекционер Откуда: Питер Всего сообщений: 2719 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 5 июля 2003 |
Мне сказали, что сейчас эти штуки научились в MBR винчей писать. |
DrPass
Advanced Member
Откуда: Донецк Всего сообщений: 3566 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 апр. 2005 |
Ну, то они уже что-то сочинили, код MBR выполняется в реальном режиме, и никак не может работать под виндой. DOS Logic написал: Проверь кашпером или симантеком, оно универсальнее будет, чем доктор веб. Мест для загрузки всякой дряни у системы много: Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег! - автозагрузка - .\WindowsNT\Winlogon\ - Shell Extensions - сервисы - GINA DLL Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование. |
DrPass
Advanced Member
Откуда: Донецк Всего сообщений: 3566 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 апр. 2005 |
И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок. |
PS |
NEW! Сообщение отправлено: 1 августа 2011 14:29
Фотку покажи, как оно выглядит. А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается. в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run) Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё. |
Сейчас на форуме |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 14:29 Сообщение отредактировано: 1 августа 2011 14:29
Последняя зараза, которую не отловил DrWeb меняла файлы taskmgr.exe, userinit.exe и winlogon.exe на собственные версии... |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
DrPass Да что-то каспер ничего не ищет тоже.. я не проверял, на работе пусклаи с лайв сиди где касперский есть (и обновляется) - автозагрузка - .\WindowsNT\Winlogon\ это я знаю. здесь все нормально - Shell Extensions - сервисы - GINA DLL А это где в реестре найти? Знаем... помним.. все родное Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. Нуу нормальный антивирус это понятие очень растяжимое. У меня на работе, где я гоняю винты с вирусами стоит макафи и запускаю проверку доктор вебом "кюре ит" тот что увидит то ловит, а что не увидет то макафи сработает по доступу к файлу и так они два лохматят все файлы.. Меня устраивает в полне, только эти проги что деньги хотять, они каг-бэ не вирусы, просто прога на весьэкран пишет что-то, поэму я даже не представляю как их должны антивирусы ловить если имя проги будет рандомное и внутрености тоже.. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование. А эту фигню на торентах хватают? Потому что я всем рассказываю чтобы ни на какую рекламу с боков сайтов не нажимали и всякие линки типа читать чужые смс, похудение, порнуху и так дале.. Просто не знаю у меня такого никогда небыло чтобы что-то денег хотело, у меня дома даже антивируса нет только фаервол, даже не знаю где люди берут этих вымогателей И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок. PS сейчас не могу Фотку покажи, как оно выглядит. Как выставить если винда не грузится в безопасном (синий экран 7В, такое вирусы делают) А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается. А при загрузке в обычном сразу блокировка.. Ключи эти я знаю, именно это я имелл ввиду в своем первом посте в словах "автозагрузка" Да тоже такое видел, здесь все чисто, в корзине (в папке на винте) ничего тоже нет Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё. Кай Здесь все эти файлы родные... |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 16:08 Сообщение отредактировано: 17 августа 2011 14:01
DOS Logic написал: К сожалению, в данном случае самый успешный софт это format c: Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия! А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки. Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe). Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали. Функция восстановления системных файлов (sfc /scannow) тоже не помогла. Пришлось переустановить винду. Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа. При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe". Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку. В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так: "taskkill /f /im имяпроцесса.расширение". Сейчас же такое не прокатывает. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ. где люди берут этих вымогателей |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD Спасибо за способ! помогло! с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован |
SKcorp
Advanced Member
Эксперт. Откуда: Leningrad, USSR Всего сообщений: 3005 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 июля 2008 |
Перепиши winlogon.exe и userinit.exe |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: А рабочий стол после этого нормально грузится ? Спасибо за способ! помогло! |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD да нормально! что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить.. Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com иногда работало. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: Лазил в интернете через Firefox 4, антивирус - от самого Билла Гейтса (Microsoft Security Essentials). что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. AVZ пробовал, но к сожалению рабочий стол не грузился, видимо это из-за того, что ОС была Windows 7. Приходилось запускать вручную, через диспетчер задач. Да и программы в автозагрузке не работали, несмотря на то, что они были прописаны в msconfig. |
Fe-Restorator |
NEW! Сообщение отправлено: 1 августа 2011 18:58
IDDQD написал: Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил. Лазил в интернете через Firefox 4 Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки. |
Сейчас на форуме |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Лазил я как-раз таки с включенным adblock, причем не на порносайте а на довольно приличном сайте с интернет-заработком - wmmail.ru. |
SL project
Advanced Member
Откуда: Великий Новгород Всего сообщений: 3706 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 3 янв. 2007 |
Fe-Restorator на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить |
POPEYE
Advanced Member
Откуда: Таллин, Эстония Всего сообщений: 759 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 июня 2007 |
Это явно связано с шеллом Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe). Он же как я понимаю блочит ВСЕ скрипты - так это половина сайтов потеряет функционал, а иногда и способность навигации совсем итд Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Легче уж тогда поставить линукс |
Fe-Restorator |
NEW! Сообщение отправлено: 1 августа 2011 21:17 Сообщение отредактировано: 1 августа 2011 21:26
SL project написал: Вряд-ли. Если только AdMuncher, но его я не пробовал в работе. Говорят - подходит ещё и для IE, и для Safari, ибо отдельностоящая прога-надстройка над просмотровщиком. на оперу есть что то подобное POPEYE написал: Не понял сей туманной фразы. Однако: так это половина сайтов потеряет функционал, а иногда и способность навигации совсем итд 1) удав действительно рубит ВСЕ скрипты, но позволяет их включать вручную, как поодиночке, так и пачками, как "на минутку", так и навсегда. Заодно, включённые скрипты можно всегда выключить, даже на "полпути" их выполнения. Очень удобно, ибо невидимая зараза изначально не имеет шанса на выполнение. 2) Огнелис и вообще, мозилла, - сами родом из линукс-сообщества, ставить оный повторно нет смысла. |
Сейчас на форуме |
POPEYE
Advanced Member
Откуда: Таллин, Эстония Всего сообщений: 759 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 июня 2007 |
Этот плагин всего-лишь убирает рекламу, чтобы она не раздражала. Лазил я как-раз таки с включенным adblock |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 21:46 Сообщение отредактировано: 1 августа 2011 21:52 |
SlashNet
Full Member
Откуда: Львов (Украина) Всего сообщений: 221 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 29 мая 2011 |
SL project написал: А из на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинитьэтого что-нибудь пробовали? |
Fe-Restorator |
NEW! Сообщение отправлено: 1 августа 2011 22:52
SlashNet написал: Подозрительно много ссылок, есть версии "обычные", а есть "fixed", чем они отличаются? А из этого что-нибудь пробовали? И ещё "multi + German" что означает? Разве немецкий язык не входит в определение "мульти"? |
Сейчас на форуме |
SlashNet
Full Member
Откуда: Львов (Украина) Всего сообщений: 221 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 29 мая 2011 |
Много ссылок – просто описания на разных языках Я пользую "NoAds Fixed" а чем отличается от обычной, то см. описание на английском. |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 августа 2011 10:53 Сообщение отредактировано: 2 августа 2011 10:54
...Может кому-нибудь поможет... На 5 кратное нажатие "Shift" я, вместо штатного обслуживания режима "залипания" кнопок, подвесил копию cmd.exe - скопировав с именем sethc.exe И уже оттуда можно творить бесчинства, включая запуск FAR и поиска в нём файлов с нужной датой/размером. В том числе, если голые части тела или иной вымогатель закрыли весь экран. Текстовый режим они не закрывают... |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Кай написал: Спасибо, возьму на заметку. А то финт с быстрым нажиманием Ctrl-Alt-Del уже перестал срабатывать. На 5 кратное нажатие "Shift" я, вместо штатного обслуживания режима "залипания" кнопок, подвесил копию cmd.exe - скопировав с именем sethc.exe А с помощью какой утилиты это можно сделать ? |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 августа 2011 11:25 Сообщение отредактировано: 2 августа 2011 11:27 запустить штатный cmd.exe - кнопка "Пуск"-->Выполнить-->cmd-->[Enter] А с помощью какой утилиты это можно сделать ? Далее, командами DOS: cd \WINDOWS\SYSTEM32 ren sethc.exe sethc.old copy /b cmd.exe sethc.exe Можно и как-то по другому. Если имеется в виду УЖЕ заражённый компьютер, то загрузиться с LiveCD или Hiren's BootCD, далее - примитивно... |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
К сожалению в windows 7 у меня выдает сообщение: "отказано в доступе". А XP поставить не получится - ноутбук на Core i3 с двумя видеокартами, в xp не будет работать внешняя. |
SlashNet
Full Member
Откуда: Львов (Украина) Всего сообщений: 221 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 29 мая 2011 |
Под ХР-енькой ещё можно воспользоваться системной комбинацией Win+U. Там в каком-то окошке есть веб-ссылка которой можно запустить дефолтный браузер. |
PS |
NEW! Сообщение отправлено: 2 августа 2011 15:24
IDDQD написал: Переведи командную строку в режим администратора. К сожалению в windows 7 у меня выдает сообщение: "отказано в доступе". А XP поставить не получится - ноутбук на Core i3 с двумя видеокартами, в xp не будет работать внешняя. |
Сейчас на форуме |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
Пошла новая волна этих "вирусов" Уже 3 штуки было, пишутся в MBR я так понял, потому что блокируют все перед загрузкой винды! Лечится fdisk /mbr, но виндовс 7 так портится, потом надо восстанавливать.. Интересно то как они на киррилице пишут надписи, ведь перед виндой ее нет? надо поменять символы в памяти... А еще не понятно что это за ексешник что так записать в МБР смог, его найти с наскоку пока не удалось.. |
wrenchrox
Advanced Member
Inhale Откуда: Москва Всего сообщений: 1888 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 11 нояб. 2009 |
Откуда только они берутся, ни разу не встречал, притом что пользуюсь avast'ом. |
SlashNet
Full Member
Откуда: Львов (Украина) Всего сообщений: 221 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 29 мая 2011 |
Как откуда? С сайтов с голыми тётками. Я живу с одним файрволом, ни разу не вляпался. А юзверям и антивирь не поможет. |
zOrg
Гость
[V] Я не робот. Откуда: Ленинградская область, пгт. Сиверский Всего сообщений: 5124 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 9 янв. 2009 |
SlashNet написал: Я лечил Win 7, из консоли востановления с загрузочного диска XP (fixmbr), такая же утилка есть в составе LiveCD на ZverDVD, тоже работает. Загрузка Win 7 не нарушается =) Пошла новая волна этих "вирусов" |
<<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |