Интересно, никто не пишет про контроль автозагрузки, а ведь отлично помогает от блокираторов.
Кто что думает?
Кто что думает?
» Windows заблокирован!
vovchek
Дык лишение прав админа приводит к отключению редактирования автозапуска за исключением автозапуска внутри учётной записи. Также Нормальный антивирус позволяет вносить свои ключи реестра для контроля.
Дык лишение прав админа приводит к отключению редактирования автозапуска за исключением автозапуска внутри учётной записи. Также Нормальный антивирус позволяет вносить свои ключи реестра для контроля.
vovchek
пока не нарветесь на mbr-lock'ер или локеры, которые не пляшут с реестром, а выпихивают winlogon.exe, explorer.exe...и иже с ними, чтобы свое тело вписать вместо них.
пока не нарветесь на mbr-lock'ер или локеры, которые не пляшут с реестром, а выпихивают winlogon.exe, explorer.exe...и иже с ними, чтобы свое тело вписать вместо них.
"принимайте" "пионЭра" для экспериментов
локерок пароль 111 Да и просьба не пишите о крутости своей пись.. типа антиФирь не пропустил.
"нормальные" (не пионерия) вирусы "на сегодня", либо "цепляются" к системному процессу, либо "подменяют" его. И "им" глубоко пофигу права учётки.
локерок пароль 111 Да и просьба не пишите о крутости своей пись.. типа антиФирь не пропустил.
"нормальные" (не пионерия) вирусы "на сегодня", либо "цепляются" к системному процессу, либо "подменяют" его. И "им" глубоко пофигу права учётки.
1Kipovec
а где можно почитать подробней? Например, как он пропишется в автозапуск без прав админа? кроме как в автозапуск пользователя?
а где можно почитать подробней? Например, как он пропишется в автозапуск без прав админа? кроме как в автозапуск пользователя?
zikol
понятия не имею, может на хакерру или у каспера или веба на форумах или ещё где. Я как то этим не интересуюсь,
"снимать" с компов приходилось.
понятия не имею, может на хакерру или у каспера или веба на форумах или ещё где. Я как то этим не интересуюсь,
"снимать" с компов приходилось.
Цитата:
"принимайте" "пионЭра" для экспериментов
локерок пароль 111
Я ничего не понял.... Удаляется элементарно, пишет себя в одну ветку реестра ( ну и после лечения нужно в свойствах папки включить показ скрытых файлов и папок). Где подвох ?
zikol
Цитата:
Гуглить не тему эксплоитов. Атакует через дыру в системе, повышает свои права, и прописывается, или системный файл подменяет. Эксплоиты периодически свежие появляются, а пока фикс выйдет, зараза успевает поднять ботнет.
Цитата:
а где можно почитать подробней? Например, как он пропишется в автозапуск без прав админа? кроме как в автозапуск пользователя?
Гуглить не тему эксплоитов. Атакует через дыру в системе, повышает свои права, и прописывается, или системный файл подменяет. Эксплоиты периодически свежие появляются, а пока фикс выйдет, зараза успевает поднять ботнет.
Снова лечил MBR локера 
. На этот раз кода разблокировки не нашел уже. Текстовки мало, без угроз, денег просят тоже не много.
Посмотрел раздел с данными наместе и вылечил uMBRGUI с бутовой флешки.
. На этот раз кода разблокировки не нашел уже. Текстовки мало, без угроз, денег просят тоже не много. Посмотрел раздел с данными наместе и вылечил uMBRGUI с бутовой флешки.
У Вас есть код для 380684524350
seragoga - AntiSMS вас выручит.
У меня комп не грузится
seragoga, если вы сейчас вышли в интернет с телефона, то пойдите к другу/знакомому/соседу у которого есть компьютер. На его компьютере скачайте образ AntiSMS и либо прожгите его на болванку, либо запишите с помощью AntiSMS USB Installer 2.1 на флешку. Потом с получившейся загрузочной флешки (или диска) загрузитесь на своём заблокированном компьютере и запустите AntiSMS.
Да не всегда помогает AntiSMS в автомате...
Цитата:
Да не всегда помогает AntiSMS в автомате...
Приведите пример. Именно вымогателя.
Оговорка: если вымогатель поражает загрузочный сектор, то АнтиСМС лечит его сигнатурно, т.е. не универсально, как он поступает с файловыми вымогателями. В этом случае, возможно, АнтиСМС не поможет, если вымогатель новый. НО АнтиСМС сохраняет неизвестный загрузочный сектор в файл и предлагает его отправить на форум сипликсу - он его проанализирует и добавит в новую версию АнтиСМС.
я ловил. Захожу в безопасном, далее AVZ смотрел автозаргузку. там было что-то типа профиль пользователя папка TEMP. Убил этот ключ и всё. Потом конечно надо просканить весь комп уже в нормальном режиме
Добавлено:
у меня LiveCD DrWeb больше суток сканил как-то ноут и ничего так и не нашел. Уж не знаю что он там делал. после этого я про него и не вспоминаю
Добавлено:
у меня LiveCD DrWeb больше суток сканил как-то ноут и ничего так и не нашел. Уж не знаю что он там делал. после этого я про него и не вспоминаю
Цитата:
Захожу в безопасном
Сказочник однако :-D
Herzz, он не сказочник, а просто трепло - посмотрите остальные его посты, сразу станет понятно, что человек набором постов занимается.
Ага. AntiSMS чистит временные папки всех профилей, поэтому утилита 100% бы удалила баннер.
Цитата:
Neon2- разве что был блокер от ламера полного.
Ели есть он - посмотреть и посмеятся охота.
Не могу понять одну вещь почему бы антивирусам не удалять, хотя бы в карантим подозрительные файлы в ключах RUN. Вымогатель-блокиратор ms.exe не меняет имени и своего местаположения уже наверное полгода, а каспер уверенно будет пропускать его не находя в сигнатурах, бред какой-то. Причем снова наблюдается шквал заражения одним и тем же пионерским вирусом. Обидно до жути.
PS Встречаю еще тачки на FAT32, с установленым MS-DOS второй системой когда-то, как же все удобно, чтоб вылечить такой вариант вируса.
PS Встречаю еще тачки на FAT32, с установленым MS-DOS второй системой когда-то, как же все удобно, чтоб вылечить такой вариант вируса.
Цитата:
Не могу понять одну вещь почему бы антивирусам не удалять, хотя бы в карантим подозрительные файлы в ключах RUN.
Варианты ответа: (имхо)
1) Юзер сам ставит проги несмотря ни на что. Так что не удивительно. Антивирус ведь действует с правами текущего пользователя.
2) Возможно, что производителям антивирусов невыгодно умничать - клиентов уменьшится.
3) ..........................?????
Цитата:
антивирус ведь действует с правами текущего пользователя.
Любой адекватный антивирус действует с правами системы (системного драйвера).
Цитата:
Не могу понять одну вещь почему бы антивирусам не удалять, хотя бы в карантим подозрительные файлы в ключах RUN
Потому что существуют программы, удаление которых из автозагрузки вызывает синий экран.
В данном случае разработчикам дешевле недобдеть (удалять только то, что разрешено в сигнатурах), чем перебдеть (привести винду в неработоспособное состояние действиями антивируса).
IvANANvI
А кто мешает тебе запретить запуск ms.exe? Есть вроде системные средства запрета запуска, да и сторонние программы тоже нетрудно найти.
А кто мешает тебе запретить запуск ms.exe? Есть вроде системные средства запрета запуска, да и сторонние программы тоже нетрудно найти.
Nikoderiko
Имел ввиду конкретный вирус и место хранения запускаемого в автозагрузке файла. Ни одна нормальная программа не будет стартовать из этого места. Да и сигнатура будет всего одна вместо бесчисленного множества вариантов его. Элементарный анализ автозагрузки, на предмет появления новых EXE файлов в нестандартных ключах (причем по три раза сразу в разных ключах одной и той же заразы) и местах.
Почему антивирус не видит, что запустился процесс и появилось окно блокировки, когда он работает, и что этот процесс прописался в автозагрузку? Бред!
С удовольствием бы видел, предупреждение о появлении в автозагрузке яндекс защитника и гуарда от мэйла, абсолютно бесполезных прог и предупреждениях смены стартовой страницы с их любимой. Гуард хоть деинсталлится, а яндекс защитник чуть ли не вирус, только вручную прибивать.
Я уж молчу про скрытую установку всевозможных панелей и прочего г..., при инсталляции программ. Согласитесь галочки на довески должны быть убраны по-умолчанию, кому надо сами поставят. Это навязывание г...-продуктов.
Видел у людей IE с десятком различных панелей, видимое поле вэб-страниц уменьшается до половины монитора (который и так широкоформатный с малым разрешением по вертикали). И всем кажется что так и должно быть .
Из за отсутствия в автозагрузке стороннего исполняемого файла BSOD не будет. BSOD чаще случается от самого антивируса, точнее его низкоуровневых драйверов.
wsadneg
Мне ничего не запрещает, я такого при желании не словлю, я об пользователях забочусь.
Тут больше похожа ситуация на взаимовыгдном сотрудничестве.
Имел ввиду конкретный вирус и место хранения запускаемого в автозагрузке файла. Ни одна нормальная программа не будет стартовать из этого места. Да и сигнатура будет всего одна вместо бесчисленного множества вариантов его. Элементарный анализ автозагрузки, на предмет появления новых EXE файлов в нестандартных ключах (причем по три раза сразу в разных ключах одной и той же заразы) и местах.
Почему антивирус не видит, что запустился процесс и появилось окно блокировки, когда он работает, и что этот процесс прописался в автозагрузку? Бред!
С удовольствием бы видел, предупреждение о появлении в автозагрузке яндекс защитника и гуарда от мэйла, абсолютно бесполезных прог и предупреждениях смены стартовой страницы с их любимой. Гуард хоть деинсталлится, а яндекс защитник чуть ли не вирус, только вручную прибивать.
Я уж молчу про скрытую установку всевозможных панелей и прочего г..., при инсталляции программ. Согласитесь галочки на довески должны быть убраны по-умолчанию, кому надо сами поставят. Это навязывание г...-продуктов.
Видел у людей IE с десятком различных панелей, видимое поле вэб-страниц уменьшается до половины монитора (который и так широкоформатный с малым разрешением по вертикали). И всем кажется что так и должно быть .
Из за отсутствия в автозагрузке стороннего исполняемого файла BSOD не будет. BSOD чаще случается от самого антивируса, точнее его низкоуровневых драйверов.
wsadneg
Мне ничего не запрещает, я такого при желании не словлю, я об пользователях забочусь.
Тут больше похожа ситуация на взаимовыгдном сотрудничестве.
есть ли у кого тельца новых зловредов?
кидайте новые винлоки на почту mrbelyash@yandex.ru
ЗюЫю
коды разблокировки публикуются здесь
ЗюЫю
коды разблокировки публикуются здесь
Дайте новых винлоков, плизззз
на почту mrbelyash@yandex.ru
на почту mrbelyash@yandex.ru
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.