madsmoker82 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Метод найденный мной вчера, сегодня прочитал у denverd666 Словили вирус родители вчера с утреца, новости почитать любят, а там и видеоролики тоже есть, им было предложено установить какую то хрень, типо на вашем компе не проигрывается данный тип видео, установите кодек вот и поймали, пришлось вечер потратить на чистку... Поэтому 20.04.2009 вечерком выкачивал CureIt! (состояние на 20.04.2009 15:36), он молчком проходил мимо Documents and Settings, хотя как и чуял зараза пряталась там... clrav и klwk от каспера тоже скромненько топтались по диску... поползав по Temp в Local Settings мне не понравились файлы с названиями nodXXX.tmp (XXX - разные буковки, но начало имени файла именно nod было... шифруется падла)... На всякий пожарный Prefetch почистил. После перезагрузки попрошайка исчезла, в реестре по ветке Winlogon конечно оставался след, про чистку данной ветки описано выше многократно... Всего записей: 77 | Зарегистр. 14-10-2004 | Отправлено: 06:36 21-04-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Появилось типа того окно с надписью Windows заблокирован, только красное ( трюк с сейф-модом не погмог, там тоже ента красная морда. Вот сейчас сканю с помощью ливсд от др.веба - посмотрим. Пробовал перекрутить дату на сутки вперёд - опять же не прокатило. Всего записей: 2302 | Зарегистр. 10-10-2002 | Отправлено: 16:56 21-04-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kaskad Хозяин вируса, похоже то-же читает форум и делает свои выводы. (их бы энергию, да на полезные дела) Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 17:29 21-04-2009

zvAndrey Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Запускаешь regedit с live cd. Открываешь раздел HKEY_LOCAL_MACHINE. В меню файл выбери пункт "Load Hive" (на русском кажется загрузить куст) открываешь файл со своего диска system32\config\software имя ветки для подключения можешь задать любое. Дальше разворачиваешь подключенную ветку и редактируешь. В конце выбери "Unload Hive" Всего записей: 132 | Зарегистр. 02-02-2002 | Отправлено: 20:17 21-04-2009

mylittlebrain Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На счет порно-баннеров: фаер от sunbelt блокирует, из комплекта KIS тоже. Comodo 3 пропускает без писка.   Камрады, эта смс-разводка только для владельцев ie ? У меня самого mozilla и никакие кодеки она не загружает, пока я не одобрю (поэтому не в курсе как оно инфицирует). Всего записей: 13 | Зарегистр. 20-04-2009 | Отправлено: 00:00 22-04-2009

Potapka Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Работаю сисадмином - у нас многие подхватили эту фигню - с голубым окошком)) но с той проблем не возникало - процесс удушил удалённо, файлы удалил - реестр почистил - 1-2минуты работы.... пока не появился вроде бы такой-же только красным фоном... вот тут-то и пришлось попотеть! Объясню - программы удалённого администрирования работают через WMI а этот неГАДяй частично блокирует WMI сервис и хоть я и с админскими правами щемлюсь - он меня нафиг посылает О_о ну тут мы на него обиделись - и сели вспоминать VBS) результат первый скриптик покажет список процессов:   strComputer = InputBox("Enter computer Name or IP-address")   On Error Resume Next Set objService=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer&"\root\CIMV2") If Err.Number <> 0 Then     WScript.Echo Err.Number & ": " & Err.Description     WScript.Quit End If strA="" intB=0 For Each objProc In objService.ExecQuery("SELECT * FROM Win32_Process")     intB=objProc.ProcessId     strA=strA & objProc.Caption & ":" & intB & "   " Next WScript.Echo strA   второй придушит процесс который вам не понравится:   strComputer = InputBox("Enter computer Name")   strDomain = InputBox("Enter domain")   strUser = InputBox("Enter user name")   strPassword = InputBox("Enter password") strP = InputBox("Enter process") Set objSWbemLocator = CreateObject("WbemScripting.SWbemLocator")   Set objWMIService = objSWbemLocator.ConnectServer(strComputer, _       "root\CIMV2", _       strUser, _       strPassword, _       "MS_409", _       "ntlmdomain:" + strDomain)   Set colProcessList = objWMIService.ExecQuery ("SELECT * FROM Win32_Process WHERE Name = '"&strP&"'") For Each objProcess in colProcessList     objProcess.Terminate(0) Next   удушили процесс - спокойно удаляете файлики - лезете в реестр - чистите там винлогон - и всё) ну это так - можт кому из сисадминов пригодится)) у нас просто есть компы которые находятся за 10-30км от нас... и из-за одного виря ехать как-то неохота) Всего записей: 14 | Зарегистр. 01-07-2008 | Отправлено: 15:33 22-04-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Potapka Цитата: процесс удушил удалённо, файлы удалил - реестр почистил А какими средствами администрирования? У меня просто нет домена, например, и как так ловко удушить - чего-то не допру ( Тупо коннектимся с помощью VNC Всего записей: 2302 | Зарегистр. 10-10-2002 | Отправлено: 18:53 22-04-2009

zvAndrey Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kaskad Второй скрипт и прибивает процесс на компьютере у пользователя. Это скрипты для управления компьютером посредством WMI, домен для них не нужен (хотя с ним проще).   Достаточно что бы был административный доступ к удаленному компу.   Запускаешь скрипт вводишь имя процесса. После завершения лезешь на админскую шару C$ удаляешь файлы и удаленно чистишь реестр.     Добавлено: Potapka Очень хорошее решение, особенно если сеть большая Всего записей: 132 | Зарегистр. 02-02-2002 | Отправлено: 19:25 22-04-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кстати, парадокс, генератор по сцылке на сайт дрвеба выдал мне ПРАВИЛЬНЫЙ код ответа, чтобы убить красномордого ГАДа ) Потом уже антивирем просканил в сейф-моде и добил его.   Генератор, напоминаю, тут http://news.drweb.com/show/?i=304&c=9&p=0   Но не забываем потом посмотреть раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и меняем значение параметра "Userinit"   с "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe (тут может быть прописан ещё какой-нить файл, его нужно будет удалить нафик с харда)" на "C:\\WINDOWS\\system32\\userinit.exe", если оно там осталось   Видимо, в вебе генератор дополняют потихоньку новыми кодами ответа.   zvAndrey А можно для меня и остальных тупых по шагам? Не в курсе, как запустить ентот скрипт, уж простите ( Всего записей: 2302 | Зарегистр. 10-10-2002 | Отправлено: 19:35 22-04-2009 | Исправлено: kaskad, 22:57 22-04-2009

zvAndrey Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kaskad Копируешь скрипт в файл с расширением vbs и запускаешь его: wscript filename.vbs Для первого скрипта перед запуском, если нет домена, зайди на административную шару удаленного компьютера, это аутентифицирует тебя на удаленном компьютере и тогда можешь запускать скрипт. Для второго вводишь имя компьютера или его адрес, вместо домена (если его нет) тоже имя компьютера или его адрес, имя локального админа, его пароль и имя процесса который нужно убить. Всего записей: 132 | Зарегистр. 02-02-2002 | Отправлено: 19:53 22-04-2009

plankton13kg Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нда, парадокс, но как раз-таки на красномордого гада генератор на сайте ДрВеба не действует. Пишет "неверный код".   Кто еще опробовал методом нехирургического вмешательства исправить положение?   Кстати, еще в копилку вирусоцеплялок:   http://online-films.razvlekyxa.net http://www.dsc.net.ru   Сайты онлайн просмотра кино потенциально заразны. Стоит нажать на проигрывание, как выскакивает стронний сайт! Всего записей: 47 | Зарегистр. 13-12-2004 | Отправлено: 09:50 23-04-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Шедевр, а не вирус... Главное, в каком пролете все антивирусы, похоже, они настолько увлеклись отловом нелегальных копий и ключей что совсем забыли про своё основное предназначение: ловить и уничтожать вирусы, а ещё лучше не пропускать или они в доле с вирусо-писателями ??? в последнее время только такие мысли и приходят... Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 09:57 23-04-2009

Potapka Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору north_crow "а у тебя шо все юзвери локальные админы? эта хрень пишет в ветку локал машин - а юзер без админских прав не может вносить изменения в эту ветку."   вообще-то скрипт служит для быстрого придушивания процесса без всякого гемора причём тут вообще реестр)) главное - придушить процесс - окошко уйдёт - и делай с ним что хочешь)   zvAndrey "Очень хорошее решение, особенно если сеть большая"   - писался для оч. большой корпоративной сети (в коей я и работаю) с большим количеством доменов разбросаной по нескольким районам, поэтому аутентификацию на второй скрипт и написал)) я просто так выложил - чтоб другим сисадминам меньше париться) Всего записей: 14 | Зарегистр. 01-07-2008 | Отправлено: 10:02 23-04-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору plankton13kg Цитата: методом нехирургического вмешательства исправить положение?   самый не хирургический подождать 2-3 часа, сам выключится, но у меня терпения не хватает, тем более инструменты всегда с собой. Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 10:04 23-04-2009

plankton13kg Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Слишком уж вольготно стало юзерам в инете.   Не то чтобы хочется усматривать в этом теорию заговора, но манипуляция юзерским страхом за свою информацию идет основательная. Всего-то оказалось достаточно - кинуть вирус и все уже на ушах, ибо привыкли к знакомым инет сервисам и прочему.     Добавлено: Беда в том, что инструментов-то нема Тогда будем ждать, а потом уже с Вебом расправляться. Всего записей: 47 | Зарегистр. 13-12-2004 | Отправлено: 10:09 23-04-2009

zvAndrey Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если автор действительно, как здесь предполагали, читает форум. То дальше следует ожидать увеличения периода ожидания. Всего записей: 132 | Зарегистр. 02-02-2002 | Отправлено: 10:39 23-04-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование