tahirg
ПЕРВЫЙ АРХИВ ОБНОВИЛСЯ, ОБРАЗ СОЗДАН, КАК СО ВТОРЫМ АРХИВОМ, ЧТО МНЕ С НИМ ДЕЛАТЬ?
ПЕРВЫЙ АРХИВ ОБНОВИЛСЯ, ОБРАЗ СОЗДАН, КАК СО ВТОРЫМ АРХИВОМ, ЧТО МНЕ С НИМ ДЕЛАТЬ?
» Windows заблокирован!
Mashakodinec
так вы меня запутали
от меня было два посыла
первый- два архива с утилитой и диском каспера
скачали, открыли первый архив и вытащили имеющуюся там папку
всё и забудте про второй архив (там хвост от первого)
второй - диск от др веба его просто просто записать на болванку
так вы меня запутали
от меня было два посыла
первый- два архива с утилитой и диском каспера
скачали, открыли первый архив и вытащили имеющуюся там папку
всё и забудте про второй архив (там хвост от первого)
второй - диск от др веба его просто просто записать на болванку
tahirg
СКАЧАЛА ДВА АРХИВА, Первый извлекла, обновила, появился образ 2010 годом, его нужно записать на диск это я поняла, что со вторым архивом делать?
Добавлено:
tahirg
сама запуталась, второй архив не от веба, а от касперского
СКАЧАЛА ДВА АРХИВА, Первый извлекла, обновила, появился образ 2010 годом, его нужно записать на диск это я поняла, что со вторым архивом делать?
Добавлено:
tahirg
сама запуталась, второй архив не от веба, а от касперского
Mashakodinec
Это видимо многотомный архив. Делается из нскольких частей специально, если одной частью не влазит куда-либо.
Чтобы распаковать надо использовать только первую часть отсальные подхватываются самостоятельно.
Это видимо многотомный архив. Делается из нскольких частей специально, если одной частью не влазит куда-либо.
Чтобы распаковать надо использовать только первую часть отсальные подхватываются самостоятельно.
Сегодня был звонок, по поводу винлокера. По пути на обед забежал (без ничего) чисто посмотреть: Текст Internet Security типа нашёл штук 50 зверьков на вошем компе, смс и всё в этом духе. При запуске пробегает прогресс бар.
диспетчер задач заблокирован, вероятно ассоциаци exe файлов перебиты на него, так как при попытке открыть какойлибо EXE появляется вновь окно этого винлокера, типа сканирует. Безопасный режим работает, но при попытке что-то запустить - завершение работы винды.
вечером пойду во всеоружии буду изгонять беса через Live CD.
Может уже кто его ловил? Где его файлики лежать?
диспетчер задач заблокирован, вероятно ассоциаци exe файлов перебиты на него, так как при попытке открыть какойлибо EXE появляется вновь окно этого винлокера, типа сканирует. Безопасный режим работает, но при попытке что-то запустить - завершение работы винды.
вечером пойду во всеоружии буду изгонять беса через Live CD.
Может уже кто его ловил? Где его файлики лежать?
ynbIpb
Он сидит в ADS-потоках. Обычно один на explorer.exe, второй - на случайном файле из папки Windows. За блокировку ответственен второй ADS-поток, он представляет собой библиотеку, которая внедряется посредством AppInit_DLL.
Он сидит в ADS-потоках. Обычно один на explorer.exe, второй - на случайном файле из папки Windows. За блокировку ответственен второй ADS-поток, он представляет собой библиотеку, которая внедряется посредством AppInit_DLL.
Спасибо за информацию, буду бороться.
з.ы.
статейку можно в шапку: Альтернативные потоки данных или ADS
з.ы.
статейку можно в шапку: Альтернативные потоки данных или ADS
ynbIpb
Статья довольно старая либо устаревшая. Первым зловредом, который использовал потоки, был Русток, так что сейчас все антивирусы скан потоков делают. Утилит для просмотра куча: от Gmer до ADSSpy.
Где-то выше я уже писал универсальный подход ко всем блокираторам, так что удачи в борьбе с вирусом!
Статья довольно старая либо устаревшая. Первым зловредом, который использовал потоки, был Русток, так что сейчас все антивирусы скан потоков делают. Утилит для просмотра куча: от Gmer до ADSSpy.
Где-то выше я уже писал универсальный подход ко всем блокираторам, так что удачи в борьбе с вирусом!
Вобщем изловил гада.
Сидел в потоке: C:\WINDOWS\Fonts\SEGOEUI.TTF:YBUBEEcNI+2ep+yaLe0W (125952 байта)
Результат: 8/41 (19.52%) печально, топовые антивири молчат
На мобилу сфотал, так как скрин сохранить не давал.
Вот ещё скрины чужие
Сидел в потоке: C:\WINDOWS\Fonts\SEGOEUI.TTF:YBUBEEcNI+2ep+yaLe0W (125952 байта)
Результат: 8/41 (19.52%) печально, топовые антивири молчат
На мобилу сфотал, так как скрин сохранить не давал.
Вот ещё скрины чужие
ynbIpb
Цитата:
Перепаковка по три-четыре раза в день - не мудрено!
Цитата:
печально, топовые антивири молчат
Перепаковка по три-четыре раза в день - не мудрено!
Хоть бы давали тревогу по факту вообще присутствия чего либо в потоках.
Кстати там ещё новый для меня приём я нашёл: стоял антивирус ESET 4, так эта сволочь гдето в политиках прописала его каталоги как запрещённые м соответственно служба не могла стартовать. Это я обнаружил, когда коекак вычистил ESET 4 и поставил старый добрый NOD32 2.7, а служба не стартует )), политиками пользоваться не умею, по этому из "Просмотр событий" взял имя политики (рандомный набор букв и цифр) и поиском по реестру нарыл, удалил.
Вот вопрос возник, пытался ковыряться в реестре заражённой машины с Live CD, но как-то всё не получилось. Стандартный редактор реестра куст не подгружает, этот пункт не активен, альтернативный редактор подгрузил, но что-то всё совссем не то что хотелось бы увидеть.
Можно чётко по пунктам, что как делать, чтоб например AVZ мог находить в нём проблемы и справлять, будучи запущенным с Live CD.
Кстати там ещё новый для меня приём я нашёл: стоял антивирус ESET 4, так эта сволочь гдето в политиках прописала его каталоги как запрещённые м соответственно служба не могла стартовать. Это я обнаружил, когда коекак вычистил ESET 4 и поставил старый добрый NOD32 2.7, а служба не стартует )), политиками пользоваться не умею, по этому из "Просмотр событий" взял имя политики (рандомный набор букв и цифр) и поиском по реестру нарыл, удалил.
Вот вопрос возник, пытался ковыряться в реестре заражённой машины с Live CD, но как-то всё не получилось. Стандартный редактор реестра куст не подгружает, этот пункт не активен, альтернативный редактор подгрузил, но что-то всё совссем не то что хотелось бы увидеть.
Можно чётко по пунктам, что как делать, чтоб например AVZ мог находить в нём проблемы и справлять, будучи запущенным с Live CD.
ynbIpb
Посмотри ПМ
Посмотри ПМ
Цитата:
куст не подгружает, этот пункт не активен
выделить надо сначала в списке куда грузить куст
ynbIpb
Когда поток удалишь и активного зловреда не будет, в рабочей системе (не LiveCD!) выполни в AVZ скрипт:
Код: begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.
Когда поток удалишь и активного зловреда не будет, в рабочей системе (не LiveCD!) выполни в AVZ скрипт:
Код: begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.
ynbIpb
такая пакость уменя была, как то ручками да скриптами avz вычистил...
такая пакость уменя была, как то ручками да скриптами avz вычистил...
Наверняка следующий вопрос уже обсуждался, но я ответа что-то не нашел. У меня постоянно в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезаписывается строчка
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Т.е. оставляю только userinit, перезахожу в реестр и там снова добавление. Как удалить корректно не знаю. С помощью Process Explorer и AutoRuns понять в чем беда не смог. Всем спасибо за ответы!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезаписывается строчка
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Т.е. оставляю только userinit, перезахожу в реестр и там снова добавление. Как удалить корректно не знаю. С помощью Process Explorer и AutoRuns понять в чем беда не смог. Всем спасибо за ответы!
kgenius2, значит в системе присутствует активное тело вируса, которое мониторит этот ключ реестра и перезаписывает. Вывод сначало убить. или из под Лайв СиДи переделать ключ.
Да я под LiveCD заходил и прибивал все вирусы - не помогает. Или нужно под LiveCD что-то хитрое с реестром делать!?
Тут дело человек пишет....
Дело то дело, только вот покажите мне того, кто до суда с этими претензиями дошел...
kikozz
Ну да, осталось на броневик залезть и призвать к победе коммунизма
В статье не нашёл ничего толкового. Да, сбор доказательств сделан правильно и видно, что человек сильно обозлился. Только вот концовка смазалась:
Цитата:
Так что далеко не факт, что все усилия к чему-либо приведут.
Ну да, осталось на броневик залезть и призвать к победе коммунизма
В статье не нашёл ничего толкового. Да, сбор доказательств сделан правильно и видно, что человек сильно обозлился. Только вот концовка смазалась:
Цитата:
Это самый крутой вариант разбирательств с контент-провайдером. На этом этапе вам абсолютно точно потребуется адвокат, потому что самостоятельно разобраться в том, что и как нужно делать, сложно. Нам с женой это пока лишь предстоит, поэтому тут пока ничего не могу сказать конкретно.
Так что далеко не факт, что все усилия к чему-либо приведут.
kgenius2
Цитата:
Нужно удалить файл ручками. Он почему-то антивирусником не определяется как вирус. А потом еще и CureIt-ом полечить свежей версией.
Добавлено:
kikozz
Цитата:
Ерунда это полная. Почитал, ничего хорошего не нашел кроме призывов в духе КПСС. Сам юрист и прекрасно понимаю, что в России с нашим законодательством такое не пройдет. Особенно если вирусописатель сидит например в Украине. Справедливость в таком случае "курит". Оттуда, как в свое время с Дона выдачи нет.
Цитата:
C:\WINDOWS\system32\sdra64.exe,
Нужно удалить файл ручками. Он почему-то антивирусником не определяется как вирус. А потом еще и CureIt-ом полечить свежей версией.
Добавлено:
kikozz
Цитата:
Тут дело человек пишет....
Ерунда это полная. Почитал, ничего хорошего не нашел кроме призывов в духе КПСС. Сам юрист и прекрасно понимаю, что в России с нашим законодательством такое не пройдет. Особенно если вирусописатель сидит например в Украине. Справедливость в таком случае "курит". Оттуда, как в свое время с Дона выдачи нет.
Ну да сам контент провайдер перепродаёт свои услуги дальше анонимным лицам (в виде префикса, с которым и надо слать смс) и делят бабло пополам, по этому не охотно банят. один короткий номер может принадлежать сразу нескольким смс биллингам.
Цитата:
Ну да сам контент провайдер перепродаёт свои услуги дальше анонимным лицам (в виде префикса, с которым и надо слать смс) и делят бабло пополам, по этому не охотно банят. один короткий номер может принадлежать сразу нескольким смс биллингам.
Вот именно. Пока они будут иметь с этого прибыль, ничего они делать не будут. Даже если одному из сотни вернут деньги (возможно), все равно будут в плюсе.
Цитата:
C:\WINDOWS\system32\sdra64.exe
однозначно зловред, при чём скорее всего - ZBot. Просто перепакованный. Кстати, именно по этой причине рекомендую после СМС-вымогателей менять все пароли - думаю, там дело не только в СМС....
Так как хозяева компьютеров не любят сидеть из под ограниченного юзера, им Админа подавай - от этого все беды.
Что если создать вторую учётку ограниченную, но из под неё не сидеть, а в основной админской сделать ярлык браузера от имени ограниченной учётки, это убережет наших горе юзеров от большинства заразы?
Ярлык делаю на автоите лоадером.
Что если создать вторую учётку ограниченную, но из под неё не сидеть, а в основной админской сделать ярлык браузера от имени ограниченной учётки, это убережет наших горе юзеров от большинства заразы?
Ярлык делаю на автоите лоадером.
А может кто подсказать? тут вот гуру разные говорили в ветке в реесте в winlogon ниже userinit.exe ничего не должно быть.
А у меня там написано:
Userinit REG_SZ windows/system32/userinit.exe
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
WinStationsDisable REG_SZ 0
вот то что ниже userinit нужно?
у меня винда запускается, иногда вылетает окно с смс, иногда нет,
но не работает регедит, командная строка и никакие екзешники!
Др.Веб от Ливсиди нашёл и прибил такие вещи:
Trojan.BlackMailer.832 - wxilib.dll
Trojan-PWS.Stealer - pdfupd.exe
trojan.packed.189
win32.hllw.marf - system32/aston.mt
BackDoor.Zapinit.88 - efgop.ee
BackDoor.Zapinit.94 - r33.es
Trojan.Rvz.10
так что про юзеринит?
Добавлено:
ynbIpb
объяснил бы как ты его прибил, у меня такой же Intrnet Security и смс, но файлов тифовских которые у тебя были у меня нет, как ты их нашёл то?
Кстати парни, почти не нужно никакой милиции, если я смогу я достану айпи тех кто это распространяет, если конечно нужно. Ко мне стучались эти люди, и пытались купить у меня трафик с сайта, чтобы сливать его на эти сплойты, людям этим я отказал, но я могу согласится "якобы", чтобы их изловить, если нужно.
Добавлено:
ynbIpb
Цитата:
статейка, да, не весёлая, только не понятно как запускать просмотр потоков экзешником, если любые! экзешники блокирует троян.
А у меня там написано:
Userinit REG_SZ windows/system32/userinit.exe
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
WinStationsDisable REG_SZ 0
вот то что ниже userinit нужно?
у меня винда запускается, иногда вылетает окно с смс, иногда нет,
но не работает регедит, командная строка и никакие екзешники!
Др.Веб от Ливсиди нашёл и прибил такие вещи:
Trojan.BlackMailer.832 - wxilib.dll
Trojan-PWS.Stealer - pdfupd.exe
trojan.packed.189
win32.hllw.marf - system32/aston.mt
BackDoor.Zapinit.88 - efgop.ee
BackDoor.Zapinit.94 - r33.es
Trojan.Rvz.10
так что про юзеринит?
Добавлено:
ynbIpb
объяснил бы как ты его прибил, у меня такой же Intrnet Security и смс, но файлов тифовских которые у тебя были у меня нет, как ты их нашёл то? Кстати парни, почти не нужно никакой милиции, если я смогу я достану айпи тех кто это распространяет, если конечно нужно. Ко мне стучались эти люди, и пытались купить у меня трафик с сайта, чтобы сливать его на эти сплойты, людям этим я отказал, но я могу согласится "якобы", чтобы их изловить, если нужно.
Добавлено:
ynbIpb
Цитата:
Спасибо за информацию, буду бороться.
з.ы.
статейку можно в шапку: Альтернативные потоки данных или ADS
статейка, да, не весёлая, только не понятно как запускать просмотр потоков экзешником, если любые! экзешники блокирует троян.
Цитата:
объяснил бы как ты его прибил
Эту хрень убить можно ток из неактивного состояния.
С Live CD, сканируй папку Windows програмой ADSSpy, всё что она найдёт мочи. Нормальные программы в потоках не живут, следовательно всё что в потоках - зло.
Цитата:
если я смогу я достану айпи тех кто это распространяет
Такие люди не сидят на прямую.
Они явно имеют армию сокс ботов, используют дедики, ВПН сервисы. Нереально найти.
Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?
Да, совем забыл. Скачал ISO отсюда http://www.freedrweb.com/livecd/, но не понимаю, как сделать загрузочную флэшку. То, что там есть в PDF не работает. Помогите, подалуйста!
Да, совем забыл. Скачал ISO отсюда http://www.freedrweb.com/livecd/, но не понимаю, как сделать загрузочную флэшку. То, что там есть в PDF не работает. Помогите, подалуйста!
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.