Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Технический флейм »   Новое поколение программ-вымогателей
RSS

Новое поколение программ-вымогателей

Как обезвредить?

<<Назад  Вперед>> Страницы: 1 2 3 4
Печать
 
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
Надеюсь все знают о таких прогах которые просять денег чтобы якобы разблокировать комп.. Появились они давно, но раньше все было просто, они записывались в автозагрузку (удалялось через безопасный режим) или в реестр, ключ ...\WindowsNT\Winlogon\ Убиралось через лайв си-ди. А вот недавно появились такие проги что нигде их "нет" :(

В реестре все чисто, в "Documents and Settings" вообще все ексешники нашел тоталом и удалил
Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег!

Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия!
Sergei Frolov
Advanced Member
Коллекционер

Откуда: Питер
Всего сообщений: 2719
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
5 июля 2003
Мне сказали, что сейчас эти штуки научились в MBR винчей писать.
DrPass
Advanced Member


Откуда: Донецк
Всего сообщений: 3566
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
17 апр. 2005
Ну, то они уже что-то сочинили, код MBR выполняется в реальном режиме, и никак не может работать под виндой.


DOS Logic написал:
[q]
Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег!
[/q]
Проверь кашпером или симантеком, оно универсальнее будет, чем доктор веб. Мест для загрузки всякой дряни у системы много:
- автозагрузка
- .\WindowsNT\Winlogon\
- Shell Extensions
- сервисы
- GINA DLL
Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование.
DrPass
Advanced Member


Откуда: Донецк
Всего сообщений: 3566
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
17 апр. 2005
И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок.
PS
Гость

Ссылка

Фотку покажи, как оно выглядит.

А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается.
в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run)

Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё.
Сейчас на форуме
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
Последняя зараза, которую не отловил DrWeb меняла файлы taskmgr.exe, userinit.exe и winlogon.exe на собственные версии...
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
DrPass
Да что-то каспер ничего не ищет тоже.. я не проверял, на работе пусклаи с лайв сиди где касперский есть (и обновляется)

- автозагрузка
- .\WindowsNT\Winlogon\
это я знаю. здесь все нормально

- Shell Extensions
- сервисы
- GINA DLL
А это где в реестре найти?
[q]
Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры.
[/q]
Знаем... помним.. все родное :)
[q]
В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование.
[/q]
Нуу нормальный антивирус это понятие очень растяжимое. У меня на работе, где я гоняю винты с вирусами стоит макафи и запускаю проверку доктор вебом "кюре ит" тот что увидит то ловит, а что не увидет то макафи сработает по доступу к файлу и так они два лохматят все файлы.. Меня устраивает в полне, только эти проги что деньги хотять, они каг-бэ не вирусы, просто прога на весьэкран пишет что-то, поэму я даже не представляю как их должны антивирусы ловить если имя проги будет рандомное и внутрености тоже..
[q]
И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок.
[/q]
А эту фигню на торентах хватают? Потому что я всем рассказываю чтобы ни на какую рекламу с боков сайтов не нажимали и всякие линки типа читать чужые смс, похудение, порнуху и так дале.. Просто не знаю у меня такого никогда небыло чтобы что-то денег хотело, у меня дома даже антивируса нет только фаервол, даже не знаю где люди берут этих вымогателей :biggrin:


PS
[q]
Фотку покажи, как оно выглядит.
[/q]
сейчас не могу
[q]
А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается.
в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run)
[/q]
Как выставить если винда не грузится в безопасном (синий экран 7В, такое вирусы делают)
А при загрузке в обычном сразу блокировка.. Ключи эти я знаю, именно это я имелл ввиду в своем первом посте в словах "автозагрузка"
[q]
Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё.
[/q]
Да тоже такое видел, здесь все чисто, в корзине (в папке на винте) ничего тоже нет


Кай
Здесь все эти файлы родные...
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия!
[/q]
К сожалению, в данном случае самый успешный софт это format c: :)
А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки.

Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe).
Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали.
Функция восстановления системных файлов (sfc /scannow) тоже не помогла.
Пришлось переустановить винду.

Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа.
При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe".

Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку.
В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так:
"taskkill /f /im имяпроцесса.расширение".

Сейчас же такое не прокатывает. :mad:
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
где люди берут этих вымогателей :biggrin:
[/q]
На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ.
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
IDDQD

Спасибо за способ! помогло!
с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы :)

Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован :)
SKcorp
Advanced Member
Эксперт.

Откуда: Leningrad, USSR
Всего сообщений: 3005
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
28 июля 2008
Перепиши winlogon.exe и userinit.exe
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
Спасибо за способ! помогло!
[/q]
А рабочий стол после этого нормально грузится ?
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
IDDQD
да нормально!

что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой..

У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить..

Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com
иногда работало.
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
DOS Logic написал:
[q]
что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой..
[/q]
Лазил в интернете через Firefox 4, антивирус - от самого Билла Гейтса (Microsoft Security Essentials).

AVZ пробовал, но к сожалению рабочий стол не грузился, видимо это из-за того, что ОС была Windows 7.
Приходилось запускать вручную, через диспетчер задач. Да и программы в автозагрузке не работали, несмотря на то, что они были прописаны в msconfig.
Fe-Restorator
Гость

Ссылка

IDDQD написал:
[q]
Лазил в интернете через Firefox 4
[/q]
Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил. :)
Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки. :thumbup:
Сейчас на форуме
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
Лазил я как-раз таки с включенным adblock, причем не на порносайте а на довольно приличном сайте с интернет-заработком - wmmail.ru.
SL project
Advanced Member


Откуда: Великий Новгород
Всего сообщений: 3706
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
3 янв. 2007
Fe-Restorator

на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить
POPEYE
Advanced Member


Откуда: Таллин, Эстония
Всего сообщений: 759
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
2 июня 2007
[q]
Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe).
[/q]
Это явно связано с шеллом
[q]
Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты.
[/q]
Он же как я понимаю блочит ВСЕ скрипты - так это половина сайтов потеряет функционал, а иногда и способность навигации совсем итд

Легче уж тогда поставить линукс
Fe-Restorator
Гость

Ссылка

SL project написал:
[q]
на оперу есть что то подобное
[/q]
Вряд-ли. Если только AdMuncher, но его я не пробовал в работе. Говорят - подходит ещё и для IE, и для Safari, ибо отдельностоящая прога-надстройка над просмотровщиком.

POPEYE написал:
[q]
так это половина сайтов потеряет функционал, а иногда и способность навигации совсем итд
Легче уж тогда поставить линукс
[/q]
Не понял сей туманной фразы. Однако:
1) удав действительно рубит ВСЕ скрипты, но позволяет их включать вручную, как поодиночке, так и пачками, как "на минутку", так и навсегда. Заодно, включённые скрипты можно всегда выключить, даже на "полпути" их выполнения. Очень удобно, ибо невидимая зараза изначально не имеет шанса на выполнение.
2) Огнелис и вообще, мозилла, - сами родом из линукс-сообщества, ставить оный повторно нет смысла.
Сейчас на форуме
POPEYE
Advanced Member


Откуда: Таллин, Эстония
Всего сообщений: 759
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
2 июня 2007
[q]
Лазил я как-раз таки с включенным adblock
[/q]
Этот плагин всего-лишь убирает рекламу, чтобы она не раздражала.
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
[q]
Если только AdMuncher, но его я не пробовал в работе. Говорят - подходит ещё и для IE, и для Safari, ибо отдельностоящая прога-надстройка над просмотровщиком.
[/q]
Я пользуюсь. Да, подходит.

SlashNet
Full Member


Откуда: Львов (Украина)
Всего сообщений: 221
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
29 мая 2011
SL project написал:
[q]
на оперу есть что то подобное? а то этот дурацкий банер задрал уже. смерть этому нотику пора учинить
[/q]
А из этого что-нибудь пробовали?
Fe-Restorator
Гость

Ссылка

SlashNet написал:
[q]
А из этого что-нибудь пробовали?
[/q]
Подозрительно много ссылок, есть версии "обычные", а есть "fixed", чем они отличаются?
И ещё "multi + German" что означает? Разве немецкий язык не входит в определение "мульти"?
Сейчас на форуме
SlashNet
Full Member


Откуда: Львов (Украина)
Всего сообщений: 221
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
29 мая 2011
Много ссылок – просто описания на разных языках

Я пользую "NoAds Fixed" а чем отличается от обычной, то см. описание на английском.
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
...Может кому-нибудь поможет...

На 5 кратное нажатие "Shift" я, вместо штатного обслуживания режима "залипания" кнопок, подвесил копию cmd.exe - скопировав с именем sethc.exe

И уже оттуда можно творить бесчинства, включая запуск FAR и поиска в нём файлов с нужной датой/размером. В том числе, если голые части тела или иной вымогатель закрыли весь экран. Текстовый режим они не закрывают...
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
Кай написал:
[q]
На 5 кратное нажатие "Shift" я, вместо штатного обслуживания режима "залипания" кнопок, подвесил копию cmd.exe - скопировав с именем sethc.exe
[/q]
Спасибо, возьму на заметку. А то финт с быстрым нажиманием Ctrl-Alt-Del уже перестал срабатывать.
А с помощью какой утилиты это можно сделать ?
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
[q]
А с помощью какой утилиты это можно сделать ?
[/q]
запустить штатный cmd.exe - кнопка "Пуск"-->Выполнить-->cmd-->[Enter]

Далее, командами DOS:

cd \WINDOWS\SYSTEM32
ren sethc.exe sethc.old
copy /b cmd.exe sethc.exe

Можно и как-то по другому. Если имеется в виду УЖЕ заражённый компьютер, то загрузиться с LiveCD или Hiren's BootCD, далее - примитивно...
Sozdatel
Advanced Member


Всего сообщений: 3518
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 апр. 2010
К сожалению в windows 7 у меня выдает сообщение: "отказано в доступе". А XP поставить не получится - ноутбук на Core i3 с двумя видеокартами, в xp не будет работать внешняя.
SlashNet
Full Member


Откуда: Львов (Украина)
Всего сообщений: 221
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
29 мая 2011
Под ХР-енькой ещё можно воспользоваться системной комбинацией Win+U. Там в каком-то окошке есть веб-ссылка которой можно запустить дефолтный браузер.
PS
Гость

Ссылка

IDDQD написал:
[q]
К сожалению в windows 7 у меня выдает сообщение: "отказано в доступе". А XP поставить не получится - ноутбук на Core i3 с двумя видеокартами, в xp не будет работать внешняя.
[/q]
Переведи командную строку в режим администратора.
Сейчас на форуме
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
Пошла новая волна этих "вирусов"
Уже 3 штуки было, пишутся в MBR я так понял, потому что блокируют все перед загрузкой винды!
Лечится fdisk /mbr, но виндовс 7 так портится, потом надо восстанавливать..

Интересно то как они на киррилице пишут надписи, ведь перед виндой ее нет? надо поменять символы в памяти... А еще не понятно что это за ексешник что так записать в МБР смог, его найти с наскоку пока не удалось..
wrenchrox
Advanced Member
Inhale

Откуда: Москва
Всего сообщений: 1888
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
11 нояб. 2009
Откуда только они берутся, ни разу не встречал, притом что пользуюсь avast'ом.
SlashNet
Full Member


Откуда: Львов (Украина)
Всего сообщений: 221
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
29 мая 2011
Как откуда? С сайтов с голыми тётками.
Я живу с одним файрволом, ни разу не вляпался.
А юзверям и антивирь не поможет.
zOrg
Гость
[V] Я не робот.

Откуда: Ленинградская область, пгт. Сиверский
Всего сообщений: 5124
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
9 янв. 2009
SlashNet написал:
[q]
Пошла новая волна этих "вирусов"
Уже 3 штуки было, пишутся в MBR я так понял, потому что блокируют все перед загрузкой винды!
Лечится fdisk /mbr, но виндовс 7 так портится, потом надо восстанавливать
[/q]
Я лечил Win 7, из консоли востановления с загрузочного диска XP (fixmbr), такая же утилка есть в составе LiveCD на ZverDVD, тоже работает. Загрузка Win 7 не нарушается =)
<<Назад  Вперед>> Страницы: 1 2 3 4
Печать
Полигон-2 »   Технический флейм »   Новое поколение программ-вымогателей
RSS

0 посетителей просмотрели эту тему за последние 15 минут
В том числе: 0 гостей, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS