Здравствуйте, гость ( Вход | Регистрация )

4 страниц V  < 1 2 3 4 >  
Ответить в данную темуНачать новую тему
> порно-баннеры на рабочем столе
Ep0x
сообщение 9.02.2011 - 22:02
Стол, стул, девять...
*******
орден I степени9 лет с форумом орден I степеникубок за победу в конкурсах ФорумаНовогодний конкурсотличительный знак ZELAN

Группа: Главные модераторы
Сообщений: 14279
Регистрация: 31.07.2005
Пользователь №: 9145


Люди, одумайтесь! Из-за такой мелочи сносить винду и тратить время и нервы? Удаляется за 10 минут с LiveCD или EDR Commander
В последнее время опять эпидемия, чаще всего подменяет в реестре в в папке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "Shell". В значении параметра указан путь к вредоносу, чаще всего лежит в ContentIE5 или тупо в документах.
Смотрите путь, заходите и удаляете файло, для параметр "Shell" меняете значение на "Explorer.exe" и в ребут. а там уже антивирями для перестраховки.
Перейти в начало страницы
 
+Цитировать сообщение
Jeff
сообщение 19.02.2011 - 12:24
~God~
*****
Орден VIII степени
Группа: Модератор
Сообщений: 942
Регистрация: 24.05.2005
Пользователь №: 8161


Цитата(Ep0x @ 9.02.2011 - 22:02) *
Люди, одумайтесь! Из-за такой мелочи сносить винду и тратить время и нервы? Удаляется за 10 минут с LiveCD или EDR Commander
В последнее время опять эпидемия, чаще всего подменяет в реестре в в папке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "Shell". В значении параметра указан путь к вредоносу, чаще всего лежит в ContentIE5 или тупо в документах.
Смотрите путь, заходите и удаляете файло, для параметр "Shell" меняете значение на "Explorer.exe" и в ребут. а там уже антивирями для перестраховки.

Live CD не всегда помогает (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)
Перейти в начало страницы
 
+Цитировать сообщение
Ep0x
сообщение 20.02.2011 - 12:26
Стол, стул, девять...
*******
орден I степени9 лет с форумом орден I степеникубок за победу в конкурсах ФорумаНовогодний конкурсотличительный знак ZELAN

Группа: Главные модераторы
Сообщений: 14279
Регистрация: 31.07.2005
Пользователь №: 9145


Цитата(Jeff @ 19.02.2011 - 12:24) *
Live CD не всегда помогает (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)

тык. один из способов именно по последней эпидемии. тонкостей может быть множество, всего в один фак не собрать. (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
Buenos
сообщение 29.07.2011 - 22:10
Продвинутый новичок
**

Группа: Участник
Сообщений: 16
Регистрация: 9.07.2011
Пользователь №: 33704


Касперским проверяй KIS!
или NOD'ом... др веб плохо ловит эту дрянь.
Вообще как антивир он нестабилен.
Перейти в начало страницы
 
+Цитировать сообщение
Джеймс Бонд
сообщение 30.04.2012 - 10:03

*******

Группа: VIP
Сообщений: 2709
Регистрация: 4.12.2004
Пользователь №: 5627


Сегодня словил эту дрянь. Видимо совсем свежий: доктор веб и касперский такой номер телефона для разблокировки не знают. Записать образ от Касперского на cd в ближайшее время не могу. Есть на форуме умельцы, чтобы подхалтурить и оживить комп? В лс конечно, чтобы тему не засорять.
Переустанавливать ОС не хочу, так на диске полно нужных файлов. Словил в первый раз, причем на нормальном ресурсе, где регулярно бывал ранее.
Перейти в начало страницы
 
+Цитировать сообщение
WarFare
сообщение 30.04.2012 - 17:01
Продвинутый новичок
**

Группа: Участник
Сообщений: 37
Регистрация: 23.09.2009
Пользователь №: 27909


Цитата(Jeff @ 19.02.2011 - 13:24) *
Live CD не всегда помогает (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)

И в каком случае Live-CD не помогает? Когда вирь безвозвратно портит системные файлы самой винды, влезая на их место? Или еще есть варианты?
Перейти в начало страницы
 
+Цитировать сообщение
Алёшенька
сообщение 30.04.2012 - 17:10
Частый гость
***

Группа: Участник
Сообщений: 174
Регистрация: 7.08.2010
Пользователь №: 31137


Цитата(WarFare @ 30.04.2012 - 18:01) *
И в каком случае Live-CD не помогает? Когда вирь безвозвратно портит системные файлы самой винды, влезая на их место? Или еще есть варианты?


В любом случае, когда с ЛивСиДи нет возможности подцепиться к хворой учётной записи... Кстате, в ряде случаев проще загрузить венду в режиме "поддержки командной строки" и запустить ручками регедит... (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)
Перейти в начало страницы
 
+Цитировать сообщение
WarFare
сообщение 30.04.2012 - 17:40
Продвинутый новичок
**

Группа: Участник
Сообщений: 37
Регистрация: 23.09.2009
Пользователь №: 27909


Пользуюсь вот этим набором:
]]>http://rutracker.org/forum/viewtopic.php?t=3146678]]>
Плюсы:
*Совершенно по барабану, в каком состоянии хард на зараженной машине, то есть для запуска всего набора средств наличие в этой машине работоспособного харда вообще не обязательно.
*В процессе запуска системы не используется ни один файл с зараженной машины (не запустишь вирус в память до того, как найдешь)
*размер позволяет впихнуть его на почти любую мелкую юсб флешку
Минус обнаружен пока только один (в случае флешки):
*пока еще существуют железяки на которых невозможно или проблематично грузиться с юсб флешки.

UPD: ну еще как минус - это инструментарий для ручной "ловли блох", кнопки "сделать зашибись" в нем нет (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)

Сообщение отредактировано WarFare - 30.04.2012 - 17:43
Перейти в начало страницы
 
+Цитировать сообщение
Джеймс Бонд
сообщение 1.05.2012 - 06:27

*******

Группа: VIP
Сообщений: 2709
Регистрация: 4.12.2004
Пользователь №: 5627


Спасибо всем предложившим помощь. Компстар в этот день работал и за 10 минут комп реанимировали с внешней флешки.
Перейти в начало страницы
 
+Цитировать сообщение
AlexPunk
сообщение 1.05.2012 - 09:40
Monitor's Reanimator
*******

Группа: Участник
Сообщений: 2979
Регистрация: 15.11.2006
Пользователь №: 17045


Цитата(Джеймс Бонд @ 1.05.2012 - 07:27) *
за 10 минут комп реанимировали с внешней флешки.

и сколько взяли, если не секрет?
Перейти в начало страницы
 
+Цитировать сообщение
Джеймс Бонд
сообщение 1.05.2012 - 10:33

*******

Группа: VIP
Сообщений: 2709
Регистрация: 4.12.2004
Пользователь №: 5627


Цена вопроса 300 рублей. В 15 районе. Зашли с флешки, нашли этого блокера, все почистили.
Перейти в начало страницы
 
+Цитировать сообщение
AlexPunk
сообщение 1.05.2012 - 12:51
Monitor's Reanimator
*******

Группа: Участник
Сообщений: 2979
Регистрация: 15.11.2006
Пользователь №: 17045


Цитата(Джеймс Бонд @ 1.05.2012 - 11:33) *
Цена вопроса 300 рублей

Ну это по-божески. Хотя мог-бы сэкономить эти 300р и сделать сам, там ничего сложного. Alkid LiveCD в помощь.

Сообщение отредактировано AlexPunk - 1.05.2012 - 12:51
Перейти в начало страницы
 
+Цитировать сообщение
Holsten
сообщение 3.05.2012 - 15:06
Это вам не это...
*******
орден V степениорден I степени
Группа: Участник
Сообщений: 3807
Регистрация: 17.03.2004
Пользователь №: 2796


Цитата(AlexPunk @ 1.05.2012 - 13:51) *
kid LiveCD в помощь.
Иногда помагает загрузка в безопасном режиме и/или загрузка с поддержкой коммандной строки. Если процесс прошёл без эксцесов то дальше редактирование реестра (удаление программ из загрузки с помощью msconfig.exe или regedit.exe) и/или удаление лишних файлов.

Если компьютер достаточно медленный, то до загрузки вредоносной программы можно её закрыть через деспетчер задач до её окончательной загрузки.

Цитата(Джеймс Бонд @ 1.05.2012 - 11:33) *
Зашли с флешки
Вариант с флешки или диска от Касперского: ]]>http://support.kaspersky.ru/viruses/soluti...=208642240#scan]]>

Варианты разблокировки по номеру мошенника:
]]>https://www.drweb.com/xperf/unlocker/?lng=ru]]>
]]>http://sms.kaspersky.ru/]]>

Варианты подбора по похожим картинкам вируса:
]]>https://www.drweb.com/xperf/unlocker/gallery/]]>
Перейти в начало страницы
 
+Цитировать сообщение
Mystmuse
сообщение 4.05.2012 - 18:13
Любознательный
******
орден V степени
Группа: Участник
Сообщений: 1724
Регистрация: 7.04.2005
Пользователь №: 7382


Цитата(WarFare @ 30.04.2012 - 18:40) *
Пользуюсь вот этим набором:
]]>http://rutracker.org/forum/viewtopic.php?t=3146678]]>
Плюсы:
*Совершенно по барабану, в каком состоянии хард на зараженной машине, то есть для запуска всего набора средств наличие в этой машине работоспособного харда вообще не обязательно.
*В процессе запуска системы не используется ни один файл с зараженной машины (не запустишь вирус в память до того, как найдешь)
*размер позволяет впихнуть его на почти любую мелкую юсб флешку
Минус обнаружен пока только один (в случае флешки):
*пока еще существуют железяки на которых невозможно или проблематично грузиться с юсб флешки.

UPD: ну еще как минус - это инструментарий для ручной "ловли блох", кнопки "сделать зашибись" в нем нет (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)


Интересная вещь. До сих пор пользуюсь infr@CD - старая, но надежная штука, но грузится с диска прилично, а насколько быстро с флешки, может купить флешечку и закинуть на нее какой-нить реаниматор? Что сейчас наиболее популярно, просто, дайте мануальчик какой-нить.
Перейти в начало страницы
 
+Цитировать сообщение
WarFare
сообщение 4.05.2012 - 23:53
Продвинутый новичок
**

Группа: Участник
Сообщений: 37
Регистрация: 23.09.2009
Пользователь №: 27909


Цитата(Mystmuse @ 4.05.2012 - 19:13) *
Интересная вещь. До сих пор пользуюсь infr@CD - старая, но надежная штука, но грузится с диска прилично, а насколько быстро с флешки, может купить флешечку и закинуть на нее какой-нить реаниматор? Что сейчас наиболее популярно, просто, дайте мануальчик какой-нить.

Мануальчик к чему? к кнопке "сделать зашибись"? (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)

Все встреченные мной локеры закреплялись в системе одним из четырех способов:


1)тупо прописывая свой экзешник в автозагрузку

2)заменяя в реестре вызов одного из файлов винды на вызов себя

3)в качестве .dll-ки подгружались вместе с каким либо запускаемым файлом, либо регились в системе в качестве службы

4)уничтожали оригинальный файл винды и записывали себя на его место.

во всех этих случаях достаточно было устроить поиск по системному диску на тему *.exe *.dll, измененных за время с момента предполагаемого заражения, затем удалить найденные файлы, прошерстить реестр на предмет их упоминания, если затронуты нужные винде ветки вроде "Shell=" - вернуть оригинальные значения, в слуяае убийства оригинальных файлов винды сложнее, надо где-нить раздобыть оригинальные файлы.
З.Ы. Все вышенаписанное для варианта с реанимационной флешкой, умеющей лазить в реестр зараженной машины, например такой, что я выше советовал.

[troll mode]Что я делаю не так? (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif) [/troll mode]

Сообщение отредактировано WarFare - 4.05.2012 - 23:55
Перейти в начало страницы
 
+Цитировать сообщение
johnny1980
сообщение 5.05.2012 - 08:16
чего у многих под аватаркой подпись Это вам не это...?
*******
10 лет с форумом
Группа: Модератор
Сообщений: 7787
Регистрация: 18.06.2009
Пользователь №: 26794


Стандартный вирусок в семерке. Отправьте денег и прочее. Решение проблемы: Запускаем семерку с поддержкой коммандной строки (вирус не грузится). Стартуем explorer.exe (обманываем реестр по признаку shell). Далее получаем рабочую винду в безопасном режиме. Включаем руки и мозги.
Перейти в начало страницы
 
+Цитировать сообщение
cepxuo
сообщение 5.05.2012 - 08:46
Это вам не это...
*******
орден VI степеникубок за победу в конкурсах Форумаотличительный знак флудераНовогодний конкурсорден I степениСвадебное кольцо

Группа: Участник
Сообщений: 11582
Регистрация: 3.12.2007
Пользователь №: 22053


Цитата(johnny1980 @ 5.05.2012 - 09:16) *
Включаем руки и мозги.
Во избежание некорректного результата, последовательность включения данных инструментариев рекомендовано производить в обратном порядке.
Перейти в начало страницы
 
+Цитировать сообщение
johnny1980
сообщение 5.05.2012 - 10:19
чего у многих под аватаркой подпись Это вам не это...?
*******
10 лет с форумом
Группа: Модератор
Сообщений: 7787
Регистрация: 18.06.2009
Пользователь №: 26794


Во избежание некорректного результата мозги нужно включать до посещения интернет ресурсов (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
Slade
сообщение 8.05.2012 - 18:22
Частый гость
***

Группа: Участник
Сообщений: 283
Регистрация: 2.01.2007
Пользователь №: 18114


Своей знакомой,лечил подобное,3 раза,путем откатки системы из безопасного режима.У самого ДрВэб.Ни разу не ловил подобное.

Сообщение отредактировано Slade - 8.05.2012 - 18:24
Перейти в начало страницы
 
+Цитировать сообщение
Slade
сообщение 9.05.2012 - 08:36
Частый гость
***

Группа: Участник
Сообщений: 283
Регистрация: 2.01.2007
Пользователь №: 18114


Извиняюсь.Не в безопасного режима,а из режима выбора загрузки и восстановления.

Сообщение отредактировано Slade - 9.05.2012 - 08:36
Перейти в начало страницы
 
+Цитировать сообщение

4 страниц V  < 1 2 3 4 >
Ответить в данную темуНачать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 30.11.2021 - 15:24