Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 14:29 Сообщение отредактировано: 1 августа 2011 14:29
Последняя зараза, которую не отловил DrWeb меняла файлы taskmgr.exe, userinit.exe и winlogon.exe на собственные версии... |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
DrPass Да что-то каспер ничего не ищет тоже.. я не проверял, на работе пусклаи с лайв сиди где касперский есть (и обновляется) - автозагрузка - .\WindowsNT\Winlogon\ это я знаю. здесь все нормально - Shell Extensions - сервисы - GINA DLL А это где в реестре найти? Знаем... помним.. все родное Не забывай еще про возможность подмены любого из системных процессов - начиная от Explorer и заканчивая индюкатором клавиатуры. Нуу нормальный антивирус это понятие очень растяжимое. У меня на работе, где я гоняю винты с вирусами стоит макафи и запускаю проверку доктор вебом "кюре ит" тот что увидит то ловит, а что не увидет то макафи сработает по доступу к файлу и так они два лохматят все файлы.. Меня устраивает в полне, только эти проги что деньги хотять, они каг-бэ не вирусы, просто прога на весьэкран пишет что-то, поэму я даже не представляю как их должны антивирусы ловить если имя проги будет рандомное и внутрености тоже.. В общем, там лучше всего брать нормальный антивирус, с сегодняшней базой, подкидывать винч и запускать полное сканирование. А эту фигню на торентах хватают? Потому что я всем рассказываю чтобы ни на какую рекламу с боков сайтов не нажимали и всякие линки типа читать чужые смс, похудение, порнуху и так дале.. Просто не знаю у меня такого никогда небыло чтобы что-то денег хотело, у меня дома даже антивируса нет только фаервол, даже не знаю где люди берут этих вымогателей И да, забыл сказать: объясняй юзерам, как пользоваться торрентами, и давай ссылки на torrents.ua, rutracker.org и pornolab.net. Количество такой дряни уменьшится на порядок. PS сейчас не могу Фотку покажи, как оно выглядит. Как выставить если винда не грузится в безопасном (синий экран 7В, такое вирусы делают) А, вообще, выставь журнал оповещений на протоколирование всего и посмотри что и откуда запускается. А при загрузке в обычном сразу блокировка.. Ключи эти я знаю, именно это я имелл ввиду в своем первом посте в словах "автозагрузка" Да тоже такое видел, здесь все чисто, в корзине (в папке на винте) ничего тоже нет Я встречал вирусы, которые прятались в корзине, например. Или как скринсейвер прятались (расширение *.scr). Так что искать надо всюду и всё. Кай Здесь все эти файлы родные... |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 августа 2011 16:08 Сообщение отредактировано: 17 августа 2011 14:01
DOS Logic написал: К сожалению, в данном случае самый успешный софт это format c: Как его убрать, кто что толкового из софта знает? А то несут по несколько таких компов в день! настоящая эпидемия! А так во многих Windows XP и Windows 7 видел апплеты в Панели управления, подбирающие коды для разблокировки. Сам пробовал удалять через Windows XP PE Live CD - успешно, но переставал нормально грузиться рабочий стол, только через диспетчер задач (файл - новый процесс - c:\windows\explorer.exe). Антивирус ничего не обнаружил, встроенные в AVZ функции разблокировки не работали. Функция восстановления системных файлов (sfc /scannow) тоже не помогла. Пришлось переустановить винду. Поиск заразы через Live CD делал так - запускал с него Total Commander, искал файлы по дате: +- 3 часа с момента заражения компа. При этом сразу же обращал внимания на подозрительные и непонятные имена типа "7dfxfg.exe" или же "systemm.exe". Раньше, еще в начале 2010 г. помогал следующий финт - сразу же после появления рабочего стола, но до появления банера, нажимал Ctrl+Alt+Del, появлялся диспетчер задач, по быстрому запускал cmd.exe через "новый процесс". И даже после появления банера, мне удавалось зайти в командную строку. В командной строке вводил tasklist - список запущенных процессов. При этом если обнаружил что-то подозрительное, то убивал этот процесс так: "taskkill /f /im имяпроцесса.расширение". Сейчас же такое не прокатывает. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: На сервисах интернет-заработка - просмотри столько-то сайтов, зарегистрируйся на таком-то форуме и получи 0,5 WMZ. где люди берут этих вымогателей |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD Спасибо за способ! помогло! с поиском всех файлов за последние дни! Зараза пряталась в програм файлс, в папке оперы Я придумал другой способ, но знал что он наверно не сработает если тело ексешника чем-то сжато или закодировано. Я переписал номер кошелька веб мани, что писал блокиратор и с лайв сиди искал тоталом все файлы с текстом - этим номером веб мани. И ничего не нашел, наверно "вирус" таки был закодирован |
SKcorp
Advanced Member
Эксперт. Откуда: Leningrad, USSR Всего сообщений: 3005 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 июля 2008 |
Перепиши winlogon.exe и userinit.exe |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: А рабочий стол после этого нормально грузится ? Спасибо за способ! помогло! |
DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
IDDQD да нормально! что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. У меня если что было, что рабочий стол шалил то АВЗ всегда помогало.. Правда иногда бывает что ничего не возможно запустить из винды где не стартует эксплорер и диспечер задач, тогда как вернуть все непонятно ведь АВЗ невозможно запустить.. Я тогда грузился из лайв си-ди и вручную добавлял АВЗ в "автозагрузку" и назвал avz.exe как azv.com иногда работало. |
Sozdatel
Advanced Member
Всего сообщений: 3518 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 апр. 2010 |
DOS Logic написал: Лазил в интернете через Firefox 4, антивирус - от самого Билла Гейтса (Microsoft Security Essentials). что интересно, есть здесь другой комп, тоже с таким блокировщиком и там название ексешника похожее, но он находится на рабочем столе! Видно это от того с чем ты работал, если сидел в интернете через эксплорер то вирус запишется на рабочий стол, если в опере то в папку с оперой.. AVZ пробовал, но к сожалению рабочий стол не грузился, видимо это из-за того, что ОС была Windows 7. Приходилось запускать вручную, через диспетчер задач. Да и программы в автозагрузке не работали, несмотря на то, что они были прописаны в msconfig. |
Fe-Restorator |
NEW! Сообщение отправлено: 1 августа 2011 18:58
IDDQD написал: Хороший выбор, но без NoScript и AdBlockPlus я бы не рискнул соваться на подозрительные сайты. Первый, в переводе именуемый "Удав", сожрал все скрипты на странице, ничего само-собой теперь не моргает и не крутится, а второй, переводным именем "Кирпич", придавил все баннеры и прочие активные картинки. В шапке этого форума висит спонсорский баннер от "нотик"-а, так у меня его нет - Кирпич задавил. Лазил в интернете через Firefox 4 Зато на малом экране (... х 576 пикс) логон-страница видна полностью, без прокрутки. |
Сейчас на форуме |
<<Назад Вперед>> | Страницы: 1 * 2 3 4 | Печать |
Полигон-2 » Технический флейм » Новое поколение программ-вымогателей |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |