Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
DrPass
Advanced Member
Откуда: Донецк Всего сообщений: 3566 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 апр. 2005 |
Ну, то они уже что-то сочинили, код MBR выполняется в реальном режиме, и никак не может работать под виндой. DOS Logic написал: Проверь кашпером или симантеком, оно универсальнее будет, чем доктор веб. Мест для загрузки всякой дряни у системы много: Кэш броузеров и темпы почистил. В виндовс\сустем32 скрытых фалов нет. Папки Documents and Settings и Windows проверил доктор вебом (часто помагает) и ничего нет! А при загрузке компа все равно висит сообщение и просит денег! - автозагрузка - .\WindowsNT\Winlogon\ - Shell Extensions - сервисы - GINA DLL Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование. |
DrPass
Advanced Member
Откуда: Донецк Всего сообщений: 3566 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 апр. 2005 |
И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок. |
PS |
NEW! Сообщение отправлено: 1 августа 2011 14:29
Фотку покажи, как оно выглядит. А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается. в реестре ключи \windows\current version\run (runonce, \windowsnt\curr.ver\run) Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё. |
Сейчас на форуме |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 14:29 Сообщение отредактировано: 1 августа 2011 14:29
Последняя зараза, которую не отловил DrWeb меняла файлы taskmgr.exe, userinit.exe и winlogon.exe на собственные версии... |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
DrPass Да что-то каспер ничего не ищет тоже.. я не проверял, на работе пусклаи с лайв сиди где касперский есть (и обновляется) - автозагрузка - .\WindowsNT\Winlogon\ это я знаю. здесь все нормально - Shell Extensions - сервисы - GINA DLL А это где в реестре найти? Знаем... помним.. все родное Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. Нуу нормальный антивирус это понятие очень растяжимое. У меня на работе, где я гоняю винты с вирусами стоит макафи и запускаю проверку доктор вебом "кюре ит" тот что увидит то ловит, а что не увидет то макафи сработает по доступу к файлу и так они два лохматят все файлы.. Меня устраивает в полне, только эти проги что деньги хотять, они каг-бэ не вирусы, просто прога на весьэкран пишет что-то, поэму я даже не представляю как их должны антивирусы ловить если имя проги будет рандомное и внутрености тоже.. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование. А эту фигню на торентах хватают? Потому что я всем рассказываю чтобы ни на какую рекламу с боков сайтов не нажимали и всякие линки типа читать чужые смс, похудение, порнуху и так дале.. Просто не знаю у меня такого никогда небыло чтобы что-то денег хотело, у меня дома даже антивируса нет только фаервол, даже не знаю где люди берут этих вымогателей И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок. PS сейчас не могу Фотку покажи, как оно выглядит. Как выставить если винда не грузится в безопасном (синий экран 7В, такое вирусы делают) А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается. А при загрузке в обычном сразу блокировка.. Ключи эти я знаю, именно это я имелл ввиду в своем первом посте в словах "автозагрузка" Да тоже такое видел, здесь все чисто, в корзине (в папке на винте) ничего тоже нет Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё. Кай Здесь все эти файлы родные... |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 16:08 Сообщение отредактировано: 17 августа 2011 14:01
DOS Logic написал: К сожалению, в данном случае самый успешный софт это format c: Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия! А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки. Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe). Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали. Функция восстановления системных файлов (sfc /scannow) тоже не помогла. Пришлось переустановить винду. Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа. При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe". Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку. В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так: "taskkill /f /im имяпроцесса.расширение". Сейчас же такое не прокатывает. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ. где люди берут этих вымогателей |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD Спасибо за способ! помогло! с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован |
SKcorp
Advanced Member
Эксперт. Откуда: Leningrad, USSR Всего сообщений: 3005 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 июля 2008 |
Перепиши winlogon.exe и userinit.exe |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: А рабочий стол после этого нормально грузится ? Спасибо за способ! помогло! |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |