thyrannosaurus
Я и не говорил, что детектируется как вирус.
Я и не говорил, что детектируется как вирус.
» Windows заблокирован!
Цитата:
sevik68
А чего в ней видеть зловреда, если эта программа вполне легальная http://www.kakasoft.com/lock/
Просто вирусописатели стали ее использовать в своих целях
Цитата:
странно что до сих пор каспер wks с последними обновами не видит в этом lockdir.exe зловреда и запуск его соответственно не блокирует...
Доброго времени суток уважаемые форумчане!
Ребят, а что если в качестве борьбы с этим зловредом самому заблокировать свои важные файлы (диски) например программой Hide Folders 2009 - поставить только для чтения. По моему lockdir.exe и ему подобные - отдыхают. Например у меня 8Тб информации которую собирал несколько лет и бекапить просто некуда..
(ИМХО) Кто что скажет?
KowBoy_HaGis
юзай True Crypt. делай иногда бекапы.
можно создать им контейнер и подключать как дополнительный раздел в режим Только для чтения и никакие вирусы там не страшны
юзай True Crypt. делай иногда бекапы.
можно создать им контейнер и подключать как дополнительный раздел в режим Только для чтения и никакие вирусы там не страшны
Цитата:
юзай True Crypt. делай иногда бекапы
Ну я ж говорю что некуда бекапить. А так я просто привёл пример программы которая в данной ОС разрешит чтение и копирование файлов, но никак не шифрование и удаление без вашей на то воли. Немного неудобно, но всё же какая никакая защита. Я имел ввиду защищать только важные для вас файлы, а ОС - хрен с ней можно и переставить если что.
Ну что значит некуда? Просто кидаешь этот файл в 10 Гб на соседний раздел и пусть он там живет. Можно сделать автомонтирование этого тома при загрузке системы и будет у тебя новый раздел доступный только для чтения.
Также нужные файлы можно защитить с помощью HIPS'a в антивирусе.
Также нужные файлы можно защитить с помощью HIPS'a в антивирусе.
arvidos, да я понимаю, и ваш вариант неплох. Но где гарантия что данный файл подключаемого раздела не будет защифрован как и все остальные?
гарантии есть - размер огромный - только идиот додумается сделать вирус который будет шифровать файлы по 5-10-15 гигов.
расширение файла будет явно не jpg, txt, doc - именно эти шифруются в первую очередь. в последнюю - архивы.
фильмы ведь никто не шифрует. глупо было бы
ну и если боитесь за 1 файл контейнера - то его проще защитать антивирусом, чем тысячу мелких с разным расширением в разных местах
расширение файла будет явно не jpg, txt, doc - именно эти шифруются в первую очередь. в последнюю - архивы.
фильмы ведь никто не шифрует. глупо было бы
ну и если боитесь за 1 файл контейнера - то его проще защитать антивирусом, чем тысячу мелких с разным расширением в разных местах
Еще проще - не запускать неизвесно что - и никто ничего не зашифрует
Та запускайте что хотите, кто мешает ?
Я уже с антивирусами и не парюсь.
http://mrbelyash.blogspot.com/2012/01/sandboxie.html
Я уже с антивирусами и не парюсь.
http://mrbelyash.blogspot.com/2012/01/sandboxie.html
На ноуте благодаря советам здесь всетаки победил. Был красный банер с билайновским номером. На сайтах антивирей номер не найден.
Помог безопасный режим и правка реестра. Екзешник грузился из корня. Осталось его найти, т.к. с корня с лайвСД я удалял (их несколько разных висело), но в безопасном режиме они подгружались, точнее отображались. Впрочем с лайвСД и реестр не правился почему-то (видно плохо изучил матчасть).
Помог безопасный режим и правка реестра. Екзешник грузился из корня. Осталось его найти, т.к. с корня с лайвСД я удалял (их несколько разных висело), но в безопасном режиме они подгружались, точнее отображались. Впрочем с лайвСД и реестр не правился почему-то (видно плохо изучил матчасть).
Цитата:
А посмотрите решение проблемы здесь:
http://master-it.org/articles/99/
Total Commander вам в помощь.
То-то у нас наплыв посетителей на сайте
Цитата:
ZlayaByaka
Ну и наивность... Времена, когда можно было подобрать пароль к файлам, зашифрованным lockdir, канули в лету
Я тот самый автор, который осенью описАл метод разблокировки на сайте по ссылке выше. В 2-х из 3-х случаях, я вытащил первую партию файлов без расшифровки. Total Commander, был лишь инструментом в моих руках, я его показал для наглядности. В одном случае, я увидел .RN файлы, шансы оставались, и я обратился за помощью к ребятам из virusinfo, через сутки оставшиеся данные клиента были спасены.
Цитата:
KimFilby
Спасибо за песочнику, хороший материал, возмём на заметку.
KimFilby
Вывод из статьи один хороший, если уж пользуешься проводником, то Поставьте галочку "Отображать расширения зарегистрированных типов файлов" и никому не придет в голову запускать ролик с Исполняемым расширением. Кстати расширение файла можно часто увидеть еще до загрузки его с сайта, глянув в строку статуса любого браузера при наведении на ссылку, да и как правило рамеров роликов в несколько десятков или сотен килобайт не существует, что тоже должно сразу бросаться в глаза.
PS Совсем без антивируса нельзя, запустите в песочнице, любого вируса заражеющего все экзешные файлы (например популярный sality), и думаю без антивируса уже не обойтись. А вот как дополнение песочница сейчас практические есть у всех антивирусов, у Аваста даже до стадии паранои уже дошло на её почве.
Вывод из статьи один хороший, если уж пользуешься проводником, то Поставьте галочку "Отображать расширения зарегистрированных типов файлов" и никому не придет в голову запускать ролик с Исполняемым расширением. Кстати расширение файла можно часто увидеть еще до загрузки его с сайта, глянув в строку статуса любого браузера при наведении на ссылку, да и как правило рамеров роликов в несколько десятков или сотен килобайт не существует, что тоже должно сразу бросаться в глаза.
PS Совсем без антивируса нельзя, запустите в песочнице, любого вируса заражеющего все экзешные файлы (например популярный sality), и думаю без антивируса уже не обойтись. А вот как дополнение песочница сейчас практические есть у всех антивирусов, у Аваста даже до стадии паранои уже дошло на её почве.
Цитата:
гарантии есть - размер огромный - только идиот додумается сделать вирус который будет шифровать файлы по 5-10-15 гигов.
достаточно шифровать пару килобайт файла
Цитата:
достаточно шифровать пару килобайт файла
Да, вполне достаточно!
И можно просто удалить...
Цитата:
ну и если боитесь за 1 файл контейнера - то его проще защитать антивирусом, чем тысячу мелких с разным расширением в разных местах
Но это тоже правильно.
zikol
да, но какой идиот будет шифровать любые файлы любых размеров любых расширений?
таких еще нет в природе
Добавлено:
хотя идиотов и полно
да, но какой идиот будет шифровать любые файлы любых размеров любых расширений?
таких еще нет в природе
Добавлено:
хотя идиотов и полно
arvidos
Не говори того что не знаешь. Была..была такая версия энкодера. Отказались от нее...Ибо некуда выводить требования о бабулетах.
Зарута-дуреГ)
Не говори того что не знаешь. Была..была такая версия энкодера. Отказались от нее...Ибо некуда выводить требования о бабулетах.
Зарута-дуреГ
) Дома поймал вирус, просит через банкомат положить деньги на счет на номер +79171039539 через базы те что в шапке найти ничего не удалось, может кто поможет, к сожалению LiveCD нет, и возможности записать на диск тоже нет(((
безопасный режим грузиться?
opt_step
Цитата:
не могу проверить, так как у меня клавиатура беспроводная, и не работает пока не загрузится виндовс, в выходные найду старую и тогда попробую.
Если грузится, то что нужно будет сделать? в каком месте посмотреть этот вирус можно будет?
Цитата:
безопасный режим грузиться?
не могу проверить, так как у меня клавиатура беспроводная, и не работает пока не загрузится виндовс, в выходные найду старую и тогда попробую.
Если грузится, то что нужно будет сделать? в каком месте посмотреть этот вирус можно будет?
DJMC
Цитата:
avz или uvs или CureIt
Цитата:
Как правило блокеры прописываются в автозагрузку модифицирую ключ запуска проводника:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Например внося такие изменения:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
и еще
Цитата:
Цитата:
Если грузится, то что нужно будет сделать?
avz или uvs или CureIt
Цитата:
в каком месте посмотреть этот вирус можно будет?
Как правило блокеры прописываются в автозагрузку модифицирую ключ запуска проводника:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Например внося такие изменения:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
и еще
Цитата:
Помимо всем известных ключей HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ с их братьями для одноразового запуска RunOnce, существует еще множество всяких веток реестра, из которых может стартовать программа.
Например, если ты пользуешься IE, и он вдруг начал вести себя странно (показывает голых тетенек или открывает странные сайты), то стоит заглянуть сюда:
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\.
Еще есть
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit\,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\.
Эти ветки реестра позволяют запустить разнообразные исполняемые файлы (обычные exe, программы, сервисы или dll).
Кстати, последний ключик подгружает пользовательскую dll к explorer.exe, а это значит, что код зловреда будет работать даже в Safe Mode.
Следует обратить внимание и на HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\ — при запуске Имя_прогаммы будет запускаться софт, указанный в строковом параметре Debugger. Иная хитрая малварь может использовать ассоциации файлов в реестре.
То есть, при запуске, например, txt-файла, будет стартовать сначала вредоносное ПО, которое уже потом будет запускать реальную программу, работающую с этим типом файлов. Также вирус может загрузиться в память компьютера с помощью групповых политик. За это отвечает ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\Explorer\Run, в котором содержатся параметры с путями запускаемых программ.
Вообще, мест, откуда может стартовать проникший на компьютер СМС-блокер или другая зараза, много, но проверить их достаточно просто (если не применяются специальные техники маскировки), особенно если использовать специализированные средства, например, утилиту HiJackThis.
opt_step
к сожалению загурзиться не удалось в безопасном режиме, пришлось по новой ставить винду(
к сожалению загурзиться не удалось в безопасном режиме, пришлось по новой ставить винду(
DJMC
Вызвали бы мастера он вам за 300 руб. удалил этот вирус )
Вызвали бы мастера он вам за 300 руб. удалил этот вирус )
сегодня получилось удалить вирус, который грузиться "как бы в биосе" ну Вы поняли )
mbrfix три раза до этого пробовал, не получалось, а тут на тебе )
mbrfix три раза до этого пробовал, не получалось, а тут на тебе )
Цитата:
mbrfix
Цитата:
mbrfix три раза до этого пробова
Ненадежная прога - не всегда срабатывает.
А я поставил Emsisoft Anti-Malware и не "жужжу"...
KOGERENT
Молодец, мы скачиваем по твоей ссылке, тебе продлевают лицензию
Молодец, мы скачиваем по твоей ссылке, тебе продлевают лицензию
Цитата:
AntiWinLockerLiveCD-супер разблокер-советую всем!
Цитата:
-супер разблокер-советую всем!
попробуйте AntiSMS
Herzz
вообще-то это команда )
вообще-то это команда )
masgak, команда - это fixmbr
А mbrfix как раз утилита
А mbrfix как раз утилита
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.