Полигон-2

Надеюсь все знают о таких прогах которые просять денег чтобы якобы разблокировать комп.. Появились они давно, но раньше все было просто, они записывались в автозагрузку (удалялось через безопасный режим) или в реестр, ключ ...\WindowsNT\Winlogon\ Убиралось через лайв си-ди. А вот недавно появились такие проги что нигде их "нет"

В реестре все чисто, в "Documents and Settings" вообще все ексешники нашел тоталом и удалил
Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег!

Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия!

Ну, то они уже что-то сочинили, код MBR выполняется в реальном режиме, и никак не может работать под виндой.


DOS Logic написал:

[q]

Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег!

[/q]

Проверь кашпером или симантеком, оно универсальнее будет, чем доктор веб. Мест для загрузки всякой дряни у системы много:
- автозагрузка
- .\WindowsNT\Winlogon\
- Shell Extensions
- сервисы
- GINA DLL
Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование.

Фотку покажи, как оно выглядит.

А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается.
в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run)

Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё.

DrPass
Да что-то каспер ничего не ищет тоже.. я не проверял, на работе пусклаи с лайв сиди где касперский есть (и обновляется)

- автозагрузка
- .\WindowsNT\Winlogon\
это я знаю. здесь все нормально

- Shell Extensions
- сервисы
- GINA DLL
А это где в реестре найти?

[q]

Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры.

[/q]

Знаем... помним.. все родное

[q]

В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование.

[/q]

Нуу нормальный антивирус это понятие очень растяжимое. У меня на работе, где я гоняю винты с вирусами стоит макафи и запускаю проверку доктор вебом "кюре ит" тот что увидит то ловит, а что не увидет то макафи сработает по доступу к файлу и так они два лохматят все файлы.. Меня устраивает в полне, только эти проги что деньги хотять, они каг-бэ не вирусы, просто прога на весьэкран пишет что-то, поэму я даже не представляю как их должны антивирусы ловить если имя проги будет рандомное и внутрености тоже..

[q]

И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок.

[/q]

А эту фигню на торентах хватают? Потому что я всем рассказываю чтобы ни на какую рекламу с боков сайтов не нажимали и всякие линки типа читать чужые смс, похудение, порнуху и так дале.. Просто не знаю у меня такого никогда небыло чтобы что-то денег хотело, у меня дома даже антивируса нет только фаервол, даже не знаю где люди берут этих вымогателей


PS

[q]

Фотку покажи, как оно выглядит.

[/q]

сейчас не могу

[q]

А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается.
в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run)

[/q]

Как выставить если винда не грузится в безопасном (синий экран 7В, такое вирусы делают)
А при загрузке в обычном сразу блокировка.. Ключи эти я знаю, именно это я имелл ввиду в своем первом посте в словах "автозагрузка"

[q]

Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё.

[/q]

Да тоже такое видел, здесь все чисто, в корзине (в папке на винте) ничего тоже нет


Кай
Здесь все эти файлы родные...

DOS Logic написал:

[q]

где люди берут этих вымогателей

[/q]

На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ.

Перепиши winlogon.exe и userinit.exe

IDDQD
да нормально!

что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой..

У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить..

Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com
иногда работало.

IDDQD написал:

[q]

Лазил в интернете через Firefox 4

[/q]

Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил.
Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки.

Fe-Restorator

на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить

SL project написал:

[q]

на оперу есть что то подобное

[/q]

Вряд-ли. Если только AdMuncher, но его я не пробовал в работе. Говорят - подходит ещё и для IE, и для Safari, ибо отдельностоящая прога-надстройка над просмотровщиком.

POPEYE написал:

[q]

так это половина сайтов потеряет функционал, а иногда и способность навигации совсем итд
Легче уж тогда поставить линукс

[/q]

Не понял сей туманной фразы. Однако:
1) удав действительно рубит ВСЕ скрипты, но позволяет их включать вручную, как поодиночке, так и пачками, как "на минутку", так и навсегда. Заодно, включённые скрипты можно всегда выключить, даже на "полпути" их выполнения. Очень удобно, ибо невидимая зараза изначально не имеет шанса на выполнение.
2) Огнелис и вообще, мозилла, - сами родом из линукс-сообщества, ставить оный повторно нет смысла.

[q]

Если только AdMuncher, но его я не пробовал в работе. Говорят - подходит ещё и для IE, и для Safari, ибо отдельностоящая прога-надстройка над просмотровщиком.

[/q]

Я пользуюсь. Да, подходит.

SlashNet написал:

[q]

А из этого что-нибудь пробовали?

[/q]

Подозрительно много ссылок, есть версии "обычные", а есть "fixed", чем они отличаются?
И ещё "multi + German" что означает? Разве немецкий язык не входит в определение "мульти"?

...Может кому-нибудь поможет...

На 5 кратное нажатие "Shift" я, вместо штатного обслуживания режима "залипания" кнопок, подвесил копию cmd.exe - скопировав с именем sethc.exe

И уже оттуда можно творить бесчинства, включая запуск FAR и поиска в нём файлов с нужной датой/размером. В том числе, если голые части тела или иной вымогатель закрыли весь экран. Текстовый режим они не закрывают...

[q]

А с помощью какой утилиты это можно сделать ?

[/q]

запустить штатный cmd.exe - кнопка "Пуск"-->Выполнить-->cmd-->[Enter]

Далее, командами DOS:

cd \WINDOWS\SYSTEM32
ren sethc.exe sethc.old
copy /b cmd.exe sethc.exe

Можно и как-то по другому. Если имеется в виду УЖЕ заражённый компьютер, то загрузиться с LiveCD или Hiren's BootCD, далее - примитивно...

Под ХР-енькой ещё можно воспользоваться системной комбинацией Win+U. Там в каком-то окошке есть веб-ссылка которой можно запустить дефолтный браузер.

Пошла новая волна этих "вирусов"
Уже 3 штуки было, пишутся в MBR я так понял, потому что блокируют все перед загрузкой винды!
Лечится fdisk /mbr, но виндовс 7 так портится, потом надо восстанавливать..

Интересно то как они на киррилице пишут надписи, ведь перед виндой ее нет? надо поменять символы в памяти... А еще не понятно что это за ексешник что так записать в МБР смог, его найти с наскоку пока не удалось..

Как откуда? С сайтов с голыми тётками.
Я живу с одним файрволом, ни разу не вляпался.
А юзверям и антивирь не поможет.