как избавится от зверя?

[Opel_Astra]

человек в течение месяца пользовался доступом в интернет с домашнего компьютера не используя антивирус. В результате пару дней назад на экране появился красочный баннер, предлагающий отослать смс, чтобы убрать баннер От баннера я кое как избавился, но доступ к сайтам типа касперского, др. веба и т.п. блокирован. Похоже к любым сайтам, содержащим слово антивирус (или как-то так). В связи с этим вопрос: где и что почистить, где-что удалить?

[andruxa]

341й...

[Er.DS]

Цитата:

Сообщение от Opel_Astra

где и что почистить, где-что удалить?

Поиск по названию (по каким-то ключевым словам/фразам с баннера) «жадного вируса» в этих ваших интернетах выручил огромное кол-во людей.

[Opel_Astra]

я много слышал об этом
сам вирус я удалил (то, что нашел), внешний вид баннера не запомнил, ключевые слова тоже, даже номер, на который смс отправлять надо...
как теперь быть? Ждать, пока он снова проявится?

[Er.DS]

Цитата:

Сообщение от Opel_Astra

как теперь быть?

Переставить винду.

Если много свободного времени и нечем заняться, то можно:
1) повспоминать ещё
2) скачать у drweb.com livecd, загрузиться с него и проверить диск С
3) изучить принципы работы утилиты AVZ и прогнать её про системе

[Opel_Astra]

винду переставить - это каждый может последнее средство Нужно постараться вылечить его!

[andruxa]

Нужно постараться не хватать вирей.

[Opel_Astra]

я это понимаю, но в условиях бурного роста услуг доступа в интернет и количества пользователей случаи хватания вирей неизбежно будут возникать Значит нам, тем кто вирей не хватает и понял это, нужно еще и продумывать способы борьбы.
Кстати, у меня на флешке с завидной регулярностью какая-то фигня вылезает. Стоит сунуть флешку в неизвестный USB и вот, пожалуйста. Вывод: нужна флешка с ручной блокировкой возможности записи ))

[int_surfer]

нужно не пользоваться виндой для выхода в инет

[Opel_Astra]

а чем предлагаете пользоваться?

[int_surfer]

да хоть с тех же лайвСД ходить в инет (особенно, если сайты весьма сомнительного содержания ), если нет возможности (или желания) переходить на линукс... У меня жена любит почитать самиздат, а он частенько приводит на всякие левые сайты, но никаких проблем с компом (убунту) не было ни разу, тем более, что жена не знает админского пароля

[andruxa]

Цитата:

Сообщение от int_surfer

нужно не пользоваться виндой для выхода в инет

Винда тут ни при чем. Эти баннеры пользователи ставят сами, по-сути сознательно. Когда очередной сайт предлагает "Обновить Flash Player 10", "Яндекс toolbar" или еще что-нибудь. Что заставляет людей не думая ткнуть кнопку "Ок", а не проверить обновления на официальном сайте непонятно. То же самое будет когда другая ос займет большой процент рынка, изменится только формат подкладываемого бинарника.

[Opel_Astra]

в этом случае пользователь уверяет меня, что не ставил ничего, кроме игрушек. Из поставленных игрушек запомнил "Рыбалка и чего-то там..." и какие-то гонки на мотоциклах. Удаление игрушек, естественно, результата не дало

[andruxa]

Цитата:

Сообщение от Opel_Astra

в этом случае пользователь уверяет меня, что не ставил ничего, кроме игрушек

Ни разу не слышал других версий. Хотя нет, еще бывает: "Я ничего не делал, а оно раз... и сломалось".

[Opel_Astra]

ситуация осложняется тем, что компьютером пользуется семья из 4-х человек, из них двое детей-подростков ))

[andruxa]

Цитата:

Сообщение от Opel_Astra

ситуация осложняется тем, что компьютером пользуется семья из 4-х человек, из них двое детей-подростков ))

Напротив, это вполне четко указывает на источник заразы.

[int_surfer]

ни разу! моему сыну 12 лет - сам игры находит под линукс, сам их ставит игры под мелкомягкого тоже ставит и играет в онлайн-игры - заразы никакой на компе не обнаружено

[Opel_Astra]

у нас аналогичная ситуация, только под линуксом никто не работает ))

[user]

У меня перед новым годом баннер вылез, ниче не ставил, касперский с актуальными базами даже ухом не повёл, выключаешь - всё ок, включаешь - вот он, красавчик, тут уже

[Opel_Astra]

вроде бы не должно так быть, кто-то еще пользовался компом?

[user]

Кроме меня больше никто.

[Luxor]

Цитата:

Сообщение от andruxa

Винда тут ни при чем. Эти баннеры пользователи ставят сами, по-сути сознательно

Только в этом никто не сознается. Уже писал в другой теме - лечилось через восстановление системы.

[int_surfer]

на сайте каспера есть какая-то генерилка ключей к этим баннерам... нужен только лайвСД с любым линем

[Opel_Astra]

Цитата:

Сообщение от int_surfer

нужен только лайвСД с любым линем

вот про это чуть подробнее, для компьютерного "чайника"

[int_surfer]

их много разных - но для данного случая рекомендую кноппикс

на вопрос boot: вводим:
knoppix toram
если надо юзать другой сидюк. Если надо только в инет слазить, то жмем ентер и ждем, когда загрузится...
файрфокс там есть Локальные диски видит, но они в режиме - только чтение.

[dem]

винт воткни в комп с антивирусом и пролечи

[koyot]

Мне всегда нравилась эта рекомендация. Следуя ей народ уже успешно перезаразил туеву хучу совершенно здоровых машинок. Ибо помимо подключения к другой машине заразного диска, надо еще и знать, что ты делаешь.

[Fossa]

Можно попробовать через меня, к примеру, выйти на сайт касперского. Они там быстро лечат. Просто будешь использовать меня как передаточное звено. Они попросят запустить пару программ на компе и прислать отчет. Я программы тебе перешлю, а потом перешлю им твой отчет. И они дадут программку для лечения. Я тебе ее тоже перешлю.
Чуть геморройно, но достаточно быстро

[Opel_Astra]

есть такой нюанс: это все не у меня на компе ) Т.е. здоровый комп у меня есть и даже не один, хочется надеятся )) А к тому я доступ буду иметь только завтра и то не факт. Сейчас ищется решение, как вырубить на том компе блокировку доступа к сайтам касперского. Идеально, конечно, прийти с ноутом и прямо на месте разобраться... Но будем посмотреть, может даже ноут не потребуется, просто прорвусь на сайт касперского и установлю активвирую пробную лицензию на месяц. За предложение спасибо!

[Lextor]

Цитата:

Сообщение от Opel_Astra

человек в течение месяца пользовался доступом в интернет с домашнего компьютера не используя антивирус. В результате пару дней назад на экране появился красочный баннер, предлагающий отослать смс, чтобы убрать баннер От баннера я кое как избавился, но доступ к сайтам типа касперского, др. веба и т.п. блокирован. Похоже к любым сайтам, содержащим слово антивирус (или как-то так). В связи с этим вопрос: где и что почистить, где-что удалить?

Можно попробовать: запускаешь комп в безопасном режиме - запускаешь командную строку - набираешь "msconfig" тыкаешь ентер- выбираешь вкладку "автозагрузка" и отключаешь все непонятное. Можно попробовать диагностический запуск.

[Opel_Astra]

я так и сделал: в безопасном режиме отключил этот баннер. Но теперь нужно убрать блокировку сайтов антивируса.

[Benzin95]

Цитата:

Сообщение от Opel_Astra

Но теперь нужно убрать блокировку сайтов антивируса.

Скачать с другого компа DrWeb CureIt и пролечить свой. Ну или со своего, только качать с какого-нить торрента например (они то наверно не заблокированы)

[Opel_Astra]

речь не о моем компе, со своим бы разобрался быстрее, т.к. он дома и в сетке домашней и вообще без него не жизнь )) А этот у знакомого, который попросил помочь.
Да и я не настолько безнадежен, чтобы гулять в интернете без антивируса ))

[Er.DS]

Цитата:

Сообщение от Opel_Astra

Да и я не настолько безнадежен, чтобы гулять в интернете без антивируса ))

Чьёрт! Я безнадёжен!!!

[atos]

Даже без промежуточного НАТа?

[Er.DS]

Цитата:

Сообщение от atos

Даже без промежуточного НАТа?

Сейчас год с ним ) А вот до этого — 3 года на работе момед бриджом был.

[atos]

В первое поверю. Во второе - нет.

[Benzin95]

Цитата:

Сообщение от Opel_Astra

речь не о моем компе, со своим бы разобрался быстрее, т.к. он дома и в сетке домашней и вообще без него не жизнь )) А этот у знакомого, который попросил помочь.
Да и я не настолько безнадежен, чтобы гулять в интернете без антивируса ))

Ну свой комп имелось в виду тот который заражен.

[mr.Karapuz]

Время назад переставь ... чтоб баннер не мешал, а потом антивирем (даже пробным каспером)

[Opel_Astra]

думаешь банер пропадает при изменении времени? Надо попробовать ))

[mr.Karapuz]

У родителей была аналогичная ситуация. Пропал

[Van Izem]

доступ блокирован только через Internet Explorer? другие браузеры тоже?
я такое лечил полным отключением всех плагинов и аддонов браузера с одновеременным удалением файлов из \Program Files\твой браузер\что-то там еще\

только надо сам браузер после отключения плагинов через TaskExplorer убить, а то при выходе из браузера вирь все сам обратно восстановит на событие "закрытие браузера".

дело было год назад и не на моем компе, но что-то мне кажется, что в моем случае название плагина содержало слова mail.ru

[Opel_Astra]

через другие тоже, судя по всему. Правда я еще не все попробовал, но КИС2009 не может активировать пробную лицензию именно потому, что блокируется трафик

[headhunter]

Цитата:

Сообщение от Opel_Astra

через другие тоже, судя по всему. Правда я еще не все попробовал, но КИС2009 не может активировать пробную лицензию именно потому, что блокируется трафик

avp tool поможет в этом случае или лайв цд от киса

[kandrik]

По поводу блокировки доступа к сайтам: посмотри файлик hosts возможно там напротив нужных тебе сайтов вирус поставил подлое 127.0.0.1

[andruxa]

Интересно какой процент пользователей Win знает где он расположен ))

[kandrik]

А что, пользоваться поиском файлов уже никто не умеет?
Для тех кто не умеет помоему тут, можете проверить:
СWindows\system32\drivers\etc\

[andruxa]

Цитата:

Сообщение от kandrik

А что, пользоваться поиском файлов уже никто не умеет?

Те кто умеют им пользоваться не задают таких вопросов.

[Opel_Astra]

не надо передергивать! Поиск файлов - это более простая операция, чем поиск решения по вопросам, подобным поставленному мной в начале темы. Поиском файлов умеет пользоваться большее количество людей, чем оперативно и грамотно найти в инете (да даже на компьютере пользуясь справкой) нужную информацию
Я понимаю неприязнь к тем, кто не пользуется поиском (по-разным причинам), но не разделяю ее.

[andruxa]

Я не передергиваю. Поиск на форуме. Аналогичная тема была не далее как две недели назад.

[Opel_Astra]

я не слишком внимательно слежу за форумом, это правда. Поиском пользоваться грамотно надо еще уметь Тему сейчас нашел. В той теме много советов, как победить заразу. Но я ее уже победил, по-крайней мере баннер не вылазит больше. Поэтому даже не стал искать по вопросу как победить баннер. Возможно зря.
Задача сейчас состоит в том, чтобы разблокировать доступ к сайту касперского для активации пробной лицензии и запуска касперыча.

[user]

Хорошие программы, явно написаны творческими людьми
Недавно сестра такую хапнула, отключилось восстановление системы, диспетчер задач, в безопасном режиме тоже баннер вылазил, песец короче))
По её словам выскочило окошко, и там было указание чёто обновить, вот она и обновила
Курил много форумов, пофиксил в итоге, но восстановление системы так и не работает, грит, - обратитесь к администратору домена , переключение языка работает только при включенной аське и ещё по мелочи чудес полно.
Вот здесь много интересного про баннеры:
http://www.cforum.ru/t4/forum/uqn8pm
http://www.ho24me.ru/ol/o6.html

[kandrik]

Да да, я с такой штукой на компе знакомых тоже сталкивался. Загрузил в безопасном - там тоже баннер. Тогда я загрузил в обычном, умудрился запустить FAR, запустил его в полноэкранном режиме (там они ставить баннер не научились еще) и в списке процессов мочил там процессы пока не нашел то, что надо.

[shade]

2 компа вылечил от этой гадости цеплянием винта к линуховой машине и проходом Avast'ом - всё как рукой сняло. чё там только не было... винда - зло.

[andruxa]

Уровень у них разный, но попадаются действительно стройные экземпляры

[zo0m]

Была такая же фигня -брат поймал)) действительно этот вирус мне больше всех понравился))))
По поводу восстановления системы:
Пуск-Выполнить-gpedit.msc-Ок
Заходишь административные шаблоны-система-восстановление и ставишь "не задано" в "отключить восстановление системы", нажимаешь окей))
[win]+[break] - закладка "восстановление системы" убираешь галочку

[McLane]

подготовка и лечение:
- качаем свежую утилиту Kaspersky Virus Removal Tool
- затем качаем свежий AVZ
- пишем все это на флешку.
- идем к компу зараженному. загружаемся в безопасном режиме.
- устанавливаем Kaspersky Virus Removal Tool - запускаем - лечим. перезагружаемся (программу не удаляем пока !!!)
- запускаем AVZ, меню Файл - Восстановление системы - отмечаем все пункты кроме 18-го. жмем кнопку Выполнить отмеченные операции.
- далее файл мастер поиска и устранения проблем.
ОТКЛЮЧАЕМ ВСЕ АВТОЗАПУСКИ на дисках и приводах ну и чистим кеши программ.
перегружаемся, запускаем Kaspersky Virus Removal Tool и если все чисто - радуемся жизни
PS зараженный комп не дает доступа к рабочему столу компа возьмите с собой live cd или boot флешку
PPS если все ок - удаляем утилиту Kaspersky Virus Removal Tool. если нет то опять лечим
PPPS если вам непонятны эти процедуры - обратитесь к специалисту.
==========
потом блокируемвстроенными средствами IE от доступа к инету. ставим или Opera или FireFox, ставим к ним плагины для подавления pop-up окошек и резалки рекламы.
ставим антивирус (автоматически обновляемый), включаем или встроеный брандмаэр либо сторонний (Outpost например) настраиваем его.
и САМОЕ ГЛАВНОЕ пользователя опускаем в правах в ОС до пользователя либо до пользователя с урезанными правами установки софта !!!!!!!!!! и меняем пароль пользователя Администратор !!!!!!!
либо ставим Линукс с набором программ

[Er.DS]

Спасибо, мне лень было бы всё это писать )

Одно скажу, Power User зло. Их нам не нать.

[Shevi]

Скачай http://www.trendsecure.com/portal/en...HiJackThis.zip

сделай лог - выложи или пришли мне - посмотрю.


Упс... не тебе... - это ТопикСтартеру.

[int_surfer]

вот попалась статья по теме: http://www.computerra.ru/terralab/softerra/494552/

[mr.Karapuz]

Вобщем встретил я уже другого зверя и чувствую только форматом его можно убрать. Пробовал софтинки от Касперского и веба, разного рода генерилки кодов (коды не подходят). Заблокированы: реестр, диспетчер задач, при открытии любых папок с упоминанием антивирус или авз закрывает окна или отправляет систему в перезагрузку, не помогает сейвмод, при установке антивирусов рубит установку (абсолютно не прогнозируемо). Софтинки по вытиранию вируса срубаются на этапе проверки. Через запуск уже были заражены все исходники антивирусов и программулек. При запуске их, запускался вирус и появлялось злаполучное окно жадного вируса. Он умеет читать сайты и их блокировать. Я в шоке

[andruxa]

О. А я говорил. Тебе повезло, зверь попался интересный Я развлекался целый день.
http://www.autoforum.nnov.ru/forum/s...64&postcount=5
Как тебе, наверняка, подскажет КГ - рой в сторону файлов по дате создания. Интересны как и созданные "на момент заражения", так и с любой странной датой.
зы: но это только если есть "спортивный" интерес, переставиться проще.

[mr.Karapuz]

mr.Karapuz, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами: бла-бла-бла

[andruxa]

Промахнулся с копированием ссылки.
Кстати, помимо родного taskman'а он не дает работать любым сторонним менеджерам процессов. Вообщем красивая и логичная штука.

[Крыглоупек Грамцианский]

Цитата:

Сообщение от andruxa

...Как тебе, наверняка, подскажет КГ - рой в сторону файлов по дате создания. Интересны как и созданные "на момент заражения", так и с любой странной датой.
зы: но это только если есть "спортивный" интерес, переставиться проще.

Переставиться проще не всегда и не всем.
Вообще, я гляжу, популярная нынче проблема-то.

[andruxa]

Цитата:

Сообщение от Крыглоупек Грамцианский

Переставиться проще не всегда и не всем.
Вообще, я гляжу, популярная нынче проблема-то.

Безусловно, вопрос оптимальности временных затрат каждый решает сам

[mr.Karapuz]

Только вставил флешку дома, ту что была в зараженом компе. Вирус Trojan.Win32.AutoRun.oc

[andruxa]

Это только его инсталлер.

[mr.Karapuz]

ха-ха каспер(совсем новый) говорит эту хрень не могу удалить с флехи )). 23 очага заражения (апчхи)

Вот его рожа

[user]

Если дождаться окончания отсчёта, то баннер исчезнет, и возможно, что удастся начать работать со зверьком. Попробуй по дате создания найти его имя. CureIt тебе в помошь!

[user]

Есть ещё такая мантра:

Цитата:

Как удалить вирус вручную

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на CWINDOWS\system32\userinit.exe, (если система установлена на диске C, если на другом диске, то <буква_диска>Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.

[AndrewS]

Попробуй поставить дату на компе (в биосе) 15 декабря 2009 г. и ввести код 1183693988 и нажать активировать. Комп через несколько секунд перезагрузится и потом загрузится в нормальном режиме с возможностью запуска всех средст диагностики. Ну а дальше лечится тривиально.

[atos]

Может, в заголовок форума вынести постулат, что нормальное лечение возможно только на сторонней системе?

[Er.DS]

Цитата:

Сообщение от atos

только на сторонней системе?

А как же ERD?

[atos]

А где там сторонняя система?

[andruxa]

Как быстрый способ получить эту систему в домашних условиях.

[int_surfer]

раз уж хочется делать "формат с:", может стоит посмотреть на другие системы?

[atos]

На 7 или на Ме?

[andruxa]

FreeDOS наше всё!

[atos]

Ваше.

[int_surfer]

хотя бы убунту Все-таки Генту за 1 час не поставишь

[andruxa]

Цитата:

Сообщение от int_surfer

Все-таки Генту за 1 час не поставишь

Спорим?

[int_surfer]

с иксами, опенофисом, гимпом, плеером (хотя бы одним), играми и другим софтом?

[andruxa]

Цитата:

Сообщение от int_surfer

с иксами, опенофисом, гимпом, плеером (хотя бы одним), играми и другим софтом?

Ну если список игр и другого софта обозначишь, то да

[andruxa]

Более того, готов усложнить себе задачу - не нажать ни одной кнопки на клавиатуре за время инсталляции

[atos]

Calculate не честно! )))

[andruxa]

Ок, оттуда только скрипты возьму.

[atos]

Сам пиши!

[int_surfer]

и все это будет собрано из исходников? ну например опенофис- я слышал, что он ночь точно будет собираться даже на относительно хорошем компе...

[andruxa]

Конечно будет собрано из исходников, только не на этапе инсталляции

[int_surfer]

не буду-ка я пока спорить с вами пока сам не попробую... впрочем, зачем мне на файл-сервере опенофис и иксы?

[atos]

Не надо спорить.
Надо подхватывать идеи.

[int_surfer]

ага вот руки дойдут до одного компа, у которого есть засада - атишная карточка - на нем все и попробую! Так что, всем спасибо за подсказки

ЗЫ Убунту ставить уже не прикольно как все слишком просто там...

[atos]

Вот как раз его проще всего в пакет закатать. Ибо что пакет ему, что сборка... Что кол на голове тесать...

[atos]

Легко.
Хинт? Пакеты + конфиги по rsync...

[user]

Апну тему, зверь сквозь каспера опять залез. В этот раз уже другой.
Выдал при включении компа во весь экран баннер типа "ваш виндовс левый, чтоб разблокировать надо отправить смс туда-то". Я повводил ему разных левых кодов, табличка пропала и появился рабочий стол, но абсолютно чистый, ни меню пуск, ни значков, ни панели, ничего нет, только виндовая фоновая картинка.
В безопасном режиме та-же финя, только фон чёрного цвета.
Диспетчер задач "отключен администратором", точек восстановления ни одной не осталось (смотрел через ERD).
Всё прошарил Live cd от Drweb, он нашёл вирус, убрал его, но легче не стало((
По описанию баннера это был winlock.100, но какой-то блин кривой, код вводить, взятый с разблокировщика было уже некуда((
Посоветуйте чего делать? Винда грузится без проблем, входишь в учётку и там пустота.
ЗЫ, каталог snapshot с копиями файлов реестра тоже отсутствует.

[Shevi]

В профиле в паке РабочийСтол хоть что-то есть? Или он и ярлыки потер за собой?

[user]

Ярлыки все на месте, папка "рабочий стол" цела.

[Sanych]

качай бесплатный avz4 отсюда. Там в инструментах есть все разблокировки и прочее.

[Крыглоупек Грамцианский]

Тоже его советую.

[user]

А как её запустить на неработающей системе?
Сейчас сижу со второго харда, но первый тоже видно.

[bearmik]

А другого профиля нет разве? Стандартного Администратор, например.
На Live cd есть прога по работе с чужим реестром -> можно поправить параметры, чобы запускался регедит и т.п. Толкьо нужно знать что и где править.

[McLane]

http://www.autoforum.nnov.ru/forum/s...0&postcount=57

[Крыглоупек Грамцианский]

Я не так делал.

[Крыглоупек Грамцианский]

Вылечил сегодня ещё один комп от этой напасти. Алгоритм - тот же, времени - около 2-х часов.
Зверь назывался plugin.exe, был зафиксирован в C:/Program files.

[hoopoe]

а я себе аналогичного на вайна поймал
прикольно смотреть на зверюшку в клетке

[andruxa]

А noexec на ~/ поставить?

[hoopoe]

зачем? я полдня спам перебирал чтобы его найти (зверя) и посмотреть как он будет под вайном жить

[Крыглоупек Грамцианский]

Расскажите по-русски - о чём вы?

[andruxa]

О параметрах монтирования.

[hoopoe]

Цитата:

Сообщение от Крыглоупек Грамцианский

Расскажите по-русски - о чём вы?

про ось Linux слыхал? там есть подсистема эмуляции виндового API (программа для запуска виндовых программ), вот, и это такое развлечение: находишь какой-нить вирь (или зверя типа того, которого ты вылечил) и запускаешь его в линухе... система безопасности линуха построена таким образом, что вирь/зверь сидит как бы в клетке: не может вылезти из некоторого пространства, но все равно пытается сделать свое черное дело

[andruxa]

Цитата:

Сообщение от hoopoe

система безопасности линуха построена таким образом

У тебя wine в chroot'e запускается или что?

[hoopoe]

не, из под узверя с сильно обрезанными правами

[andruxa]

изврат

[shade]

баян с баша в тему

Цитата:

Ven0m: б***ь, я криворукий далпаеп
Ven0m: *ищет стену*
Медвежонаг: ????
Ven0m: для прикола пытался запустить троян под вайном.
Ven0m: запустил
Ven0m: так это сцуко с****ило пятизнак из в квипа, включенного под тем же вайном

[user]

Походу новая волна пошла. Седня лечил систему, всё как всегда, касперский ни ухом ни хвостом, баннер с смс на 5121 в полэкрана + в безопасном, все системы off.
Опробовал новую методу. Зверь, как оказалось, прописывается в C\Program files или C\Program files\Common files, создаёт там папку Opera или Firefox, можно её определить по дате создания. Возможно эта папка будет скрытой.
В ней содержится exeшный файл с аналогичным именем, кторый для начала переименовываем (я заодно переименовал и его папку), а после перезагрузки удаляем. Всё это легко можно проделать под баннером, если он у вас конечно не во весь экран. Баннер после перезагрузки уже не появляется и можно работать с системой в обычном порядке, т.е. cureIt и прочие примочки. Вемени на разблокировку системы от столь сурьёзного зверя было потрачено не более 20 мин

[Er.DS]

Цитата:

Сообщение от user

сурьёзного зверя было потрачено не более 20 мин

Сурьёзный зверёк у меня компьютер сам выключал, при попытке запустить avz.exe )

[atos]

Кстати, переименовка запускаемого файла решила бы проблему...

Только интересный парадокс - антивирусы прямо таки настаивают на неизменных именах, а вирусы гасят процессы по имени файла...

[Er.DS]

Цитата:

Сообщение от atos

Кстати, переименовка запускаемого файла решила бы проблему...

Не знаю. Умные люди говорили, что данный зверёк гасит *.exe запущенное не из папки windows. Сам не проверял. Как рекомендовали, переименовал не имя, а расширение -> .pif

[klauss]

Принесли ноут Toshiba, вроде стандартный зверь "смс 1251", фигли делов, щас уберем...
не тут-то было, avz виснет, каспер (естесстно) молчит, диспетчер отключен...
мало того, не выключается и не перезагружается, выключил принудительно...
все, ноут мертв, при включении даже до биоса не доходит...
есть предположение, что вирусняк, сцк, биос грохнул...
че с этим делать и как жить дальше?

[atos]

БИОС грохнуть - ума надо быть великого...
Разобрать и посмотреть для начала.

[klauss]

э-м-м-м... я не трогал биос, все как обычно пытался сделать, почему он помер не знаю.
смысл в разборке какой?

[atos]

Просмотреть визуальную целостность, заодно все обесточить, дабы полноценно сбросить пресловутый биос...

[klauss]

значит я прально мысль понял
разобрать до конца не смог, почти располовинил, батарейка впаяна, кнопку сброса не нашел, сейчас в поисках другого usb-флоппика, чтоб перешить биос (Nec не видит )

p.s. главный вопрос, это вирусня до того мутировала, что биос бьет???

[Er.DS]

Цитата:

Сообщение от klauss

p.s. главный вопрос, это вирусня до того мутировала, что биос бьет???

Если обратиться к истории вирусописания, то внезапно окажется, что уже давным-давно был такой вирус:

Цитата:

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая Flash Bios зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

[klauss]

спс, что просветили, далек я от всего этого

[atos]

Теоретически невозможного нет.
Но я сильно сомневаюсь.

[shade]

именно грохнуть биос как раз таки большого ума не надо, даже наоборот, проверено по крайней мере гораздо проще это, чем качественный вирь написать.

[user]

Может подождать минут пять-десять?

[klauss]

не, не помогает

[semantik13]

сегодня с утра принесли старый хлам с такой проблемой.

при желании перезагрузиться и выйти в безопасный режим

нажимаю ресет и слушаю, как пс_спикер изображает из себя сирену скорой помощи.
скачал пару прог, щаз буду мучить. на компе - стратегические запасы порнухи на диске "с", поэтому вариант переустановки не канает

[Gosha %)]

http://www.drweb.com/unlocker/index/?lng=ru

[semantik13]

а почему после резета из безопасного режима биос не грузится и сиреной орёт? кстати, при каждом запуске надпись, что-то типа cmos error и часы с таймером на 0 уходят?

[Gosha %)]

может совпало - батарейка сдохла - зайти в биос, выставить настройки, сохранить.. эти блокеры с биос никак не связаны

[cepdu]

и тут еще есть разблокировка
http://support.kaspersky.ru/viruses/deblocker

[Shevi]

Ну вот вы что куда картинки кладете????
Не вижу я их... Если блокировщик с надписью, что Комп заблокирован ввиду ля-ля-ля использования сети. Порно, зоофилия и прочая хрень - то я как бы на днях с таким сталкивался.... - могу подсказать вектор копания системы.

[Shevi]

Цитата:

Сообщение от semantik13

сегодня с утра принесли старый хлам с такой проблемой.

Пробуй так:

Цитирую себя с письма другу - поэтому там "для блондинок":


Лечится эта байда за 10 минут с перекурами.
Состав медаптечки:
1. Диск с любым LiveCD (да хоть Alkid)
2. Прямые руки
3. Руководство

Действия:
1. Грузим комп с Лайф
2. Пуск - выполнить - regedit
3. Курсор ставим на HKLM
4. Файл - загрузить куст...
5. Выбираем файл, который расположен по пути CWindows\system32\config\software (software - это файл)
6. На предложение имени ввести что угодно!!! - я ввожу "1" (единичку)
7. Открыть, нажав на "+" ветку HKLM - увидите там свою единичку - и открываем следующие ветки:

Microsoft\Windows NT\CurrentVersion\Winlogon

8. Отыскиваем переменную Shell и ВНИМАТЕЛЬНО смотрим что там написано. Наверняка там будет написано что-то типа: cDocuments and Settings\[ИмяЮзера]....... и так далее и на конце файло vip_porno_video.avi.exe - так вот запоминаем этот путь.
9. Открыв, к примеру тотал коммандер или эксплорер или фар с этого ЛайфСД - идем по указанному пути и удаляем файлик (или несколько)
10. А вот а реестре переменную Shell правим, нажав правую кнопку и пункт Изменить. Значение переменной должно быть Explorer.exe
Т.е. вместо всего того пути достаточно написать

Explorer.exe

11. Пункт меню Файл - Выгрузить куст...
Ваш пункт, названный "1" должен пропасть.
12. А теперь жестоко перегружаем комп

[Shevi]

Кстати, аналогичная фигня прокатывает и на Вин7. Вчера вылечен был еще один комп, на сей раз с В7Ультимейт.

[brom]

Цитата:

Сообщение от Shevi

Пробуй так:

Цитирую себя с письма другу - поэтому там "для блондинок":

Для блондинок не канает, ибо

Цитата:

Сообщение от Shevi

8. Отыскиваем переменную Shell и ВНИМАТЕЛЬНО смотрим что там написано. Наверняка там будет написано что-то типа: cDocuments and Settings\[ИмяЮзера]....... и так далее и на конце файло vip_porno_video.avi.exe - так вот запоминаем этот пут
[/i]

у приятеля он сидел в переменной USERINIT, с погонялом 36546534364.exe...

[Shevi]

Цитата:

Сообщение от brom

Для блондинок не канает, ибо

у приятеля он сидел в переменной USERINIT, с погонялом 36546534364.exe...

Еще проще... ьуда достаточно как раз userinit.exe прописать...

В любом случае элементарно найти... явно в подобных переменных не должны быть такие экзотические экзешники


З.Ы. Но и вирусописатели стали изобретательнее

[semantik13]

короче, не получилось drweb.com livecd разблокировать/вылечить. тупо не сканирует и всё.
рою инфу по Trojan.Winlock.2194

[White]

Спроси у дятла, он недавно такое лечил. В соседней смене охранник за комп сел и в течении 2-х минут поймал. Вот что значит проффи ))) Короче дятел приехал с дисочком и всё шлёпнул к чертям собачьим ))

[semantik13]

Цитата:

Сообщение от White

Спроси у дятла, он недавно такое лечил. В соседней смене охранник за комп сел и в течении 2-х минут поймал. Вот что значит проффи ))) Короче дятел приехал с дисочком и всё шлёпнул к чертям собачьим ))

да ну... зае я его уже.

[Gosha %)]

цепляй диск к своему компу, сливай прон, возвращай в зад и переставляй винду... быстрее будет

[semantik13]

Цитата:

Сообщение от Gosha %)

цепляй диск к своему компу, сливай прон, возвращай в зад и переставляй винду... быстрее будет

ну нахрен... гемор. да к тому же терпеть эту мерзость не могу.

[Opel_Astra]

а ты пока ее переливаешь смотреть собираешься? ))

[semantik13]

Цитата:

Сообщение от Opel_Astra

а ты пока ее переливаешь смотреть собираешься? ))

класса с 10го средней школы потерял интерес.
просто стрёмно этот мусор на свой хард лить.

[Gosha %)]

http://support.kaspersky.ru/viruses/deblocker

ну здесь еще счастья попытать

[Alex Rex]

Проверяй ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\PersistentRoutes
Его либо не должно быть, либо он должен быть пустой. Если что-то там есть — убивай биспащадна.

Upd: Тьфу, блин, кто древнюю тему поднял?
Ну ладно, всё равно оставлю, совет небесполезный.

[semantik13]

Цитата:

Сообщение от Alex Rex

Проверяй ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\PersistentRoutes
Его либо не должно быть, либо он должен быть пустой. Если что-то там есть — убивай биспащадна.

Upd: Тьфу, блин, кто древнюю тему поднял?
Ну ладно, всё равно оставлю, совет небесполезный.

я поднял.
ещё бы как-нибудь получить доступ к безопасному режиму, либо разблокировать винду в обычном режиме...

[user]

С LiveCD надо грузиться и прогонять avz и cureit.

[Alex Rex]

Дык этаа... К Касперскому ходил?

Код:

Коды разблокировки
$73747589$
^77723094^
!48950345!
?10298012?
0100681330782
633692329785
14240054310887523
175729546763592
25263141518405
12821872873611
19800975328445
3163602967452
681896525
чупакабра
трататушечки
курвинаро
2131591397232
328461523064
2623359582
14187115922
12359
32590
6813331
156865
32537861
757311
6252438
герболай
127750834
23258136
53519889
53195838
42502649
53844699
516999
23574929
85591235
31339724
66038347
66204165
3237870
9209342
7719090a
97939211
86725724
7719090
312470
97222732
64817620
54192510
76756914
53407422
22317903
92177379
11325808
27932589
92214684
31076391
PEqqmgcY
64831802
81452498
27617096
+9999999
5000499544
403956320
04957625564
555666777333
лето на дворе
8013328883
965832471
арбузяка
я не *****
килиманжаро
герметично
вазасцветами
гидромашина
невалид
меломорэ
кукурекушки
тратататака
ни***себебля
психоебанат
нетнетнетда
диссекрето
хероводород
хреновище
пергамент
баранкин
явшокебля
говнище
говнобачище
гугудука
партизано
гореодмин
мухоцэкотухо
говнобак
беллисиммо
гауджаг
сыробериежка
геликоптер
херухуйа
барахата
тримотобляха
картофан
караматабука
беззакуси
зинунина
беспонтовщина
голодовка
селедочка
долбоящер
инферно
вильгельм
автоматизация
манипулятор
боржоми
горилка
гнилозуб
казибожка (внимание: перед словом пробел)
наживка
червячек
килька
пирожок
гудрончик
галактика
трататушки
головяшка
перелет
гуркуль
барабан
велосипед
бубльгум
трахома
кулебяка
драндулет
лесопед
потомучто
белиссимо
кассета
скотч
бегемот
билетов нет
киргуда
кандагар
бумбокс
любознательность
дирижабль
телевизер
терасса
нофелет
тарабум
герой дня
спектакль
белеберда
перегар
гуливер
кукушка
гардина
квазимодо
герасим
солнышко
мотоблок
геродот
козявочка
штиблеты
козявка
жопа ***
беломор
кокошник
мультифрукт
дуремар
а мы не пьем
гуталин
семерочка
фисташка
нажми на газ
не тормози
отдых на природе
сметанка
гондурас
привет *****ы
биокефир
пошли в баню
гуси лебеди
нет гомосекам
привет июнь
найди себе бабу
сковорода
21122012
F5x53M3p3469bZ5
fkX2tS6o8z8F1QRHO9
OvG0uF2tc3Vj01AB40Cm
aTzJMNgV
lqvyogKW
TkSqHGKV
ZopcxtqW
caFWKBeF
PuSgJInJ
yHFbHjmp
WhUzQCIO
YWeJjJtG
orNorcAD
CsDzCwvz
rZMdrCtD
NJvnyGwU
OKDnPaCA
OwkGHQGn
jlLcArCk
LengRNQE
tpKFmUDQ
MtfEddSR
kweAnorg
sVEuveGg
iXOLLeWc
XVmZKwxt
hfXsfrEk

----------------------
Добавлено позже.
----------------------
Или к Данилову:

Код:

Попробуйте следующие коды разблокировки: 
52200970176266177
@34208923@
$73747589$
?10298012?
100000020000300
10200000000000003
522855578
10020000003000
!48950345!
12345678
21122012
11224606
6118379
долбоящер
35876787
61183791
3413392498356
герметично
001001000002
193661942752
0100001000002
1100002
120030
1613678758995
5365211106267
1234561890122
3858581736447
2236734617961
1440361666326
8013328883
366202732045
123932
2490146
6813331587
113445025
00000000
14557453
18927091
51343616
11000020
628902581
43737351
72352055
98117125
12000003
76403110

[semantik13]

с дрвёба ни один не подходит. касперский вряд ли поможет. буду пробовать

[Shevi]

Не подходят номера.

Опиши, что на картинке, ибо я за проксей и радикал не вижу. Если что-то типа Ваш комп заблокирован за тра-ля-ля в сети. Порно, зоофилия и прочая хрень. Отправить 400 рублей... - попробую подсказать что нужно сделать

[Van Izem]

да примерно такое у него сообщение.

[kandrik]

Вот эту ссылку попробуй, если ее не давали еще:
http://support.kaspersky.ru/viruses/deblocker
Очень удобная штука, по номеру и тексту дает ответ что ввести, чтобы разблокировать комп.

[Alex Rex]

Я с неё список и выложил

[Alex Rex]

Ну, ежели не подойдёт, LiveCD значит.

[Gosha %)]

да не спасет LiveCD, кмк, не вирь это, программа которую юзер сам и запустил...


попробовать поставить винду в режиме восстановления, потом попробовать запустить в безопасный режиме... поставить проги для удаление малваре и спайваре

[Romshtex]

Шурин подхватил смс локер (второй раз за год) и уже успел отправить деньги на какой-то там счёт, но не помогло. Завтра договорились с ним, что комп мне привезёт, попытаюсь выковырять зверя.

[Крыглоупек Грамцианский]

Я описывал алгоритм излечения, но поскольку меня местные программисты засмеяли - расхлёбывайтесь сами.

[Romshtex]

Из готовых кодов не подошёл ни один.
Пока что с помощью диска DrWebLiveCD-5.0.3 нашёл такой троян в двух файлах:
Trojan.Inject.11891.

[Opel_Astra]

вот этой штукой прогони, страшная вещь (для вирусов))

[Romshtex]

Надеюсь не понадобится, т.к. третий заражённый этим же трояном файл называется C:/WINDOWS/system32/usrinit.exe.
Похоже это оно. Примечательно, что один из найденых заражённых файлов находится в каталоге временных загрузок Оперы и называется xxx_video.exe.

[woodpecker666]

разве ты сделал открытие что они оттуда и лезут?

[Shevi]

Цитата:

Сообщение от Romshtex

Шурин подхватил смс локер (второй раз за год) и уже успел отправить деньги на какой-то там счёт, но не помогло. Завтра договорились с ним, что комп мне привезёт, попытаюсь выковырять зверя.

Ну, как бы, этот метод еще никто не отменял...

[Romshtex]

Цитата:

Сообщение от Shevi

Ну, как бы, этот метод еще никто не отменял...

Я просто сканером прогнал и удалил то, что нашлось.
А разве под линуксом, который DrWeb-овский LiveCD грузит, можно regedit запустить?
Я там просто через mc смотрел этот software куст, но в таком виде там трудно разобраться.