Цитата:
если бы в uVS'e был приличный файловый проводник
Пишите автору от имени соучастников темы.
» Windows заблокирован!
Цитата:
Пишите автору от имени соучастников темы.
ynbIpb
Process Killer 1.4.2 разве не то же делает? Вызывается по Ctrl+Shift+~. Фокус на последнем запущенном процессе, остается лишь Del или Enter нажать.
Process Killer 1.4.2 разве не то же делает? Вызывается по Ctrl+Shift+~. Фокус на последнем запущенном процессе, остается лишь Del или Enter нажать.
Вчерашний зверек и снова ms.exe (Ссылка) Уже без ярлычка и сам походу глючный, когда я пришел вирус не смог запуститься, остановив загрузку без рабочего стола, вызвав диспетчер задач быстро нашел и переместил тело вируса, дальше только удалил ключ его запуска оболочки из HKCU, и дублирующий в RUN.
inile
UVS может запускаться с предварительным закрытием всех активных процессов. Process Killer думаю только мигнет и скроется за банером. И потом популярные, приложения которые могут хоть чуть повредить банеру, блокируются на запуск.
В следующий раз обязательно попробую трюк с sethc.exe, зарание подложу наш скомпилированный KillWinlock, вместо того чтоб удалять сам вирус, и грузанусь. Если вирусописатели в теме то следующей модификации, прикроют данную уязвимость своего детища.
inile
UVS может запускаться с предварительным закрытием всех активных процессов. Process Killer думаю только мигнет и скроется за банером. И потом популярные, приложения которые могут хоть чуть повредить банеру, блокируются на запуск.
В следующий раз обязательно попробую трюк с sethc.exe, зарание подложу наш скомпилированный KillWinlock, вместо того чтоб удалять сам вирус, и грузанусь. Если вирусописатели в теме то следующей модификации, прикроют данную уязвимость своего детища.
Цитата:
попробую трюк с sethc.exe, зарание подложу наш скомпилированный KillWinlock, вместо того чтоб удалять сам вирус, и грузанусьГмм. Попробовал с "твоим" зверьком. В итоге после перезагрузки окно локера не вышло, explorer-а нет, KillWinlock и Process Killer уже не катят. Вывод - убивать гадов надо сразу и капитально.
Цитата:
Process Killer думаю только мигнет и скроется за банеромВ настройках есть - "основное окно всегда активно" (или просто удерживать 3 клавиши).
Способ folta отличный, только многие ли разберутся, что глушить в Uvs?
IvANANvI
Цитата:
не переживайте shift(sethc.exe) не прикроют. даже когда начали обходить "забытые" пароли подставляя вместо sethc.exe>cmd.exe, серьёзные дядьки разводили руками или тихонько молчали.
я сильно в вопрос не вникал, но там очень многое надо менять и ломать, чтобы прикрыть этот "чопик". сколько лет уже прошло, а результата ноль.
так что не переживаем.
если кто более информативно подкован, поправьте. буду благодарен за новую информацию.
да и абсолютное большинство, это локеры созданные через конструктор, в сам код никто не лезет, почти. а вот криптуют все. главная цель обойти детект антивирусов
не, моё мнение.
легче упасть на mbrlocker'ы и выжимать профит из них, чем пытаться победить shift(sethc.exe). уже думал о возможных контрмерах, но бросил, оно монументально)
Добавлено:
Цитата:
об этом в видео я поставил вопрос ребром.
вообще все винлокеры без прописки в автозагрузке себя не мыслят.
они вываливаются в
Цитата:
остается только убить его вместе с сылками. это два движения.
абсолютное большинство таких локеров.
с теми кто портит критические ключи и файлы, посложнее, вперот изучать uVS, нянькой ходить не буду.
а нет.
ждите когда автор AntiSMS расщедрится и вкатает модуль запуска из под рабочей системы. там нажал и тебе всё сделают хорошо
Цитата:
Если вирусописатели в теме то следующей модификации, прикроют данную
уязвимость своего детища.
не переживайте shift(sethc.exe) не прикроют. даже когда начали обходить "забытые" пароли подставляя вместо sethc.exe>cmd.exe, серьёзные дядьки разводили руками или тихонько молчали.
я сильно в вопрос не вникал, но там очень многое надо менять и ломать, чтобы прикрыть этот "чопик". сколько лет уже прошло, а результата ноль.
так что не переживаем.
если кто более информативно подкован, поправьте. буду благодарен за новую информацию.
да и абсолютное большинство, это локеры созданные через конструктор, в сам код никто не лезет, почти. а вот криптуют все. главная цель обойти детект антивирусов
не, моё мнение.
легче упасть на mbrlocker'ы и выжимать профит из них, чем пытаться победить shift(sethc.exe). уже думал о возможных контрмерах, но бросил, оно монументально)
Добавлено:
Цитата:
только многие разберутся, что глушить в Uvs
об этом в видео я поставил вопрос ребром.
вообще все винлокеры без прописки в автозагрузке себя не мыслят.
они вываливаются в
Цитата:
подозрительный/ая
остается только убить его вместе с сылками. это два движения.
абсолютное большинство таких локеров.
с теми кто портит критические ключи и файлы, посложнее, вперот изучать uVS, нянькой ходить не буду.
а нет.
ждите когда автор AntiSMS расщедрится и вкатает модуль запуска из под рабочей системы. там нажал и тебе всё сделают хорошо
Цитата:
легче упасть на mbrlocker'ыНапомню про не плохую программку nProtect MBR Guard
exe-шник с английским меню: nPMBRGuard.zip
Добавлено:
Цитата:
вообще все винлокеры без прописки в автозагрузке себя не мыслятТак я о том же. У людей там столько всего, кликают на "Далее" не читая, а потом сами не понимают что откуда, и почему комп долго грузится.
Цитата:
nProtect MBR Guard
А разве уважающие себя ХИПСы делают другое?
Сейчас много развелось программ, рвущихся получить низкоуровневый доступ к диску. Скажем, для лицензии или от кривого ума. Фиг им - никто не получил у меня (кроме собственно программ для работы с дисками), и все работают как миленькие.
Цитата:
Гмм. Попробовал с "твоим" зверьком. В итоге после перезагрузки окно локера не вышло, explorer-а нет, KillWinlock и Process Killer уже не катят. Вывод - убивать гадов надо сразу и капитально.
Может дописать в конце принудительный запуск проводника? Но опасаюсь, вдруг тело локера подменит штатный проводник?
Цитата:
Гмм. Попробовал с "твоим" зверьком. В итоге после перезагрузки окно локера не вышло
Походу, прошло какое то время и функционал этого вымогателя сменился с показывания таблички на просто прекращение загрузки системы.
ynbIpb Ну наверное не сложно добавить например сравнение размер Explorera в папке с характерным размером вируса. Правда встречал виды заражения когда после запуска explorer появлялось окно проводника, а не рабочий стол.
(Лучше запустить сразу FAR ) Да и походу варианты с заменой файлов explorera с userinit`m прошли. Полного универсализма думаю не стоит добиваться. Лишнее это все.Народ такая проблема, поймали баннера и просит отослать код на номер +79055407845.
Испробовал все что написано в шапке и dr.web и касперским пролечил, просканировал, после перезагрузки он все равно на месте, помогите, как быть?!
Испробовал все что написано в шапке и dr.web и касперским пролечил, просканировал, после перезагрузки он все равно на месте, помогите, как быть?!
AntiSMS пробовали?
arvidos
Нет, щас iso запишу на диск и загружусь с него...
Добавлено:
вобщем номер после перезагрузки поменялся...
Теперь он стал +79672907971 на сумму 900 руб.
Добавлено:
Вобщем удаляю вирус через касперский disk перезагружаюсь и есть 1 минута чтоб начать ковыряться в винде, после этого подгружается этот самый баннер...
В msconfig зайти не успеваю, чтоб глянуть как там дела
Добавлено:
Вобщем номер постоянно генерируется...отловить и понять какой код не понятно...
ОС 7 x32 домашняя расширенная
Нет, щас iso запишу на диск и загружусь с него...
Добавлено:
вобщем номер после перезагрузки поменялся...
Теперь он стал +79672907971 на сумму 900 руб.
Добавлено:
Вобщем удаляю вирус через касперский disk перезагружаюсь и есть 1 минута чтоб начать ковыряться в винде, после этого подгружается этот самый баннер...
В msconfig зайти не успеваю, чтоб глянуть как там дела
Добавлено:
Вобщем номер постоянно генерируется...отловить и понять какой код не понятно...
ОС 7 x32 домашняя расширенная
setwolk
Попробуй так в касперский disk.
Внизу в углу слева жмёшь на кнопку - терминал - набираешь windowsunlocker - жмёшь на кнопку Enter. Жмешь на 1 - жмёшь на кнопку Enter.
Должно помочь.
Попробуй так в касперский disk.
Внизу в углу слева жмёшь на кнопку - терминал - набираешь windowsunlocker - жмёшь на кнопку Enter. Жмешь на 1 - жмёшь на кнопку Enter.
Должно помочь.
KismetT
Дык это процедура описана мною выше, я так делаю, после ребута появляется вновь баннер, но уже с другим номером...
Дык это процедура описана мною выше, я так делаю, после ребута появляется вновь баннер, но уже с другим номером...
setwolk
такой лог можете создать с LiveCD?
http://pchelpforum.ru/showpost.php?p=124809&postcount=2
если LiveCD есть уже, то скачайте отдельно uVS и сделайте лог
http://rghost.ru/38168194
такой лог можете создать с LiveCD?
http://pchelpforum.ru/showpost.php?p=124809&postcount=2
если LiveCD есть уже, то скачайте отдельно uVS и сделайте лог
http://rghost.ru/38168194
arvidos
НУ хорошо, вот скачал я uVS, каким образом я сделаю лог, если ОС не загружается?
В каспеском live cd можно запускать только его утилки...
Если я даже запишу на флеш, тот в его коммандере ее видно не будет
НУ хорошо, вот скачал я uVS, каким образом я сделаю лог, если ОС не загружается?
В каспеском live cd можно запускать только его утилки...
Если я даже запишу на флеш, тот в его коммандере ее видно не будет
setwolk
В том же диске можно посмотреть реестр системы, через Dolphin (файловый менеджер), включив показ скрытых файлов, посмотреть файлы в корзине, Local, Temp, может там чего сидит.
В том же диске можно посмотреть реестр системы, через Dolphin (файловый менеджер), включив показ скрытых файлов, посмотреть файлы в корзине, Local, Temp, может там чего сидит.
setwolk
если есть возможность, то качай тот LiveCD который по первой ссылке. я не в курсе на базе чего у Каспера лечилка. если не на лине, то попробуй сочетание клавиш Shift+F10, должна командная строка открыться
если есть возможность, то качай тот LiveCD который по первой ссылке. я не в курсе на базе чего у Каспера лечилка. если не на лине, то попробуй сочетание клавиш Shift+F10, должна командная строка открыться
arvidos
Да, она на генту...
Есть мысль вапще выкрутить с этого ноута ЖД и полечить KAVFSEE 8.0
Но что та подсказывает мне, что все это лечение не поможет, засел где то глубоко зверек...
Добавлено:
Вопрос такой, найдет ли вирусню касперский, если подключить ЖД к ПК?
Да, она на генту...
Есть мысль вапще выкрутить с этого ноута ЖД и полечить KAVFSEE 8.0
Но что та подсказывает мне, что все это лечение не поможет, засел где то глубоко зверек...
Добавлено:
Вопрос такой, найдет ли вирусню касперский, если подключить ЖД к ПК?
если сигнатура на этот вирус есть в базах, то найдет
150 мб скачать не можешь? какой нибудь LiveCD есть? установочный диск 7 есть?
150 мб скачать не можешь? какой нибудь LiveCD есть? установочный диск 7 есть?
arvidos
Установочный есть!
Добавлено:
arvidos
Вы про это что ль? http://rutracker.org/forum/viewtopic.php?t=3650177
Установочный есть!
Добавлено:
arvidos
Вы про это что ль? http://rutracker.org/forum/viewtopic.php?t=3650177
Да, про это. Но можно это проделать и с установочным от Семерки. Грузишься с него, жмешь Shift+F10, в командной строке открываешь notepad, оттуда переходишь на флешку, запускаешь uVS, делаешь лог своей системы предварительно выбрав каталог с Windows. В инструкции что выше я давал это расписано.
arvidos
Принято сделаю, просто уже выкрутил и сканится, если не поможет проделаю как вы сказали, спасибо большое.
Потом конечно о результатх отпишусь.
Добавлено:
Не подскажите еще пути, где может сидеть зловред?
То есть есть возможность через far почистить руками...
Принято сделаю, просто уже выкрутил и сканится, если не поможет проделаю как вы сказали, спасибо большое.
Потом конечно о результатх отпишусь.
Добавлено:
Не подскажите еще пути, где может сидеть зловред?
То есть есть возможность через far почистить руками...
во временных папках, в корне профиля юзера, в appdata, с места запуска зловреда, с кэша браузера
Нашел
trojan ransom win32 gimemo.tss
trojan ransom win32 cidox.tss
backdoor.win32 buterat
exploit java cve-2012-05-07
trojan ransom win32 gimemo.tss
trojan ransom win32 cidox.tss
backdoor.win32 buterat
exploit java cve-2012-05-07
setwolk
А вы AntiSMS не пробовали или он не справился? По совету arvidos вы сказали, что загрузитесь с него, но дальше по теме используете другие методы. Интересно всё же узнать результат.
А вы AntiSMS не пробовали или он не справился? По совету arvidos вы сказали, что загрузитесь с него, но дальше по теме используете другие методы. Интересно всё же узнать результат.
simplix
Ввиду того что я его записал на диск и он не стартанул, я не стал разбираться в чем там проблема и пошел дальше, так как рабочий день подходит к концу...
Ввиду того что я его записал на диск и он не стартанул, я не стал разбираться в чем там проблема и пошел дальше, так как рабочий день подходит к концу...
Проверка на вирусы решила проблему?
Все удалил, включил вроде работает, щас воткну АВ просканю и все.
Спасибо всем большое, злая штука оказалась.
Спасибо всем большое, злая штука оказалась.
Принесли ноут с системным диском в RAW формате (протестил викторией все чисто), есть подозрение на отработку вируса данного типа. Какие сектора HDD и чем сохранить попроще для исследования. Системный (основной) раздел третий от начала диска (те первый с конца).
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.