AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb хорошо принесу как будет Сегодня например у пользователя: Тут было всё чисто, как и должно быть в этих ветках – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - Userinit - C:\WINDOWS\system32\userinit.exe, - Shell     - Explorer.exe   Виста   Пока переустановка но хочется красиво…. Экземпляр не под рукой.. Если пользователи дотерпят.. то DrWeB 6  v1 777 677 проверит весь диск…(почти все файлы сохранены) Сообщу результаты…   -----------------------------------  --------------------  ------------------------------------------------ -------------  ----------------------- Инфа   Мышь  Seven 32bit c:\windows\inf\msmouse.inf C:\Windows\system32\drivers\mouhid.sys C:\Windows\system32\drivers\mouclass.sys ------------------------------------------------------------------------ c:\windows\inf\msmouse.inf C:\Windows\system32\drivers\i8042prt.sys C:\Windows\system32\drivers\mouclass.sys   ------------------------------------------------------------------------ Клавиатура Seven 32bit c:\windows\inf\keyboard.inf C:\Windows\system32\drivers\i8042prt.sys C:\Windows\system32\drivers\kbdclass.sys ------------------------------------------------------------------------   ------------------------------------------------------------------------   А как вариант хак в пару действий На примере Мышь   Копируются  свой mouclassBAD.sys в папку «drivers» И регистрируем новый драйвер в системе Перезагрузка…мышь в наших руках!   Вопрос, где эт всё в реестре и как c ERD всё вернуть обратно?? Пусть это в теории   Как? Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 20:41 22-12-2010 | Исправлено: AdapterLp, 22:06 22-12-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нужно мониторить тело. Я думаю так: на виртуалке ставим софт удалённого администрирования с возможностью управлять процессами и реестром (это чтобы убить зверька когда клава мышь заблокирована). Перед запуском делаем снимок системы, запускаем, ребут. Убиваем. делаем второй снимок и анализируем. Всего записей: 1646 | Зарегистр. 01-05-2006 | Отправлено: 22:42 22-12-2010

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb Согласен ну ктож тело даст оно сделает дело раскидает файло, reg  и удалит себя с машины   А я смогу взять с зараженной машины ток исполнителей.. так сказать.. а нужен заказчик Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 22:48 22-12-2010 | Исправлено: AdapterLp, 22:51 22-12-2010

bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вы перед собой главный вопрос поставьте: где и как я подцепил это г? Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 22:49 22-12-2010 | Исправлено: bomzzz, 22:50 22-12-2010

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bomzzz Повторюсь ещё раз не я.. как писал выше! Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 22:52 22-12-2010

bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 60 страниц тут не ты накатал. у меня вот антивируса нет уже четвертый год и ничего Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 22:56 22-12-2010

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bomzzz Я вас поздравляю! Знаете что такое ботнет?? - http://www.interface.ru/home.asp?artId=17243 Удачи в вашем труде Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 23:10 22-12-2010 | Исправлено: AdapterLp, 23:12 22-12-2010

bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору наверно тот кто себе вирусы ставит с завидной регулярностью, а потом канючит: памагити спасити. Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 23:15 22-12-2010

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я так понимаю вы один из авторов winlock в России ? Да помогаем людям избавиться от заразы!           Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 23:25 22-12-2010

BVV63 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AdapterLp Завязывайте. Красный цвет текста - это прерогатива модераторов. Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 05:52 23-12-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А я смогу взять с зараженной машины ток исполнителей.. так сказать.. а нужен заказчик Открываем браузер и смотрим последний посещённый порносайт, там оно и тело будет. Всего записей: 1646 | Зарегистр. 01-05-2006 | Отправлено: 08:08 23-12-2010

bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb +100!!!!!!!!!!!!!!!!!!!!!!!! Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 08:25 23-12-2010

DonDD Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: у меня вот антивируса нет уже четвертый год и ничего Есть анвир или нет его, главное голова на плечах. У меня стоит анвир, но всегда выключен, иногда делаю полные проверки, да съемные накопители проверяю. Ни разу не ловил всяких порно-баннеров.   AdapterLp Цитата: Я вас поздравляю! Знаете что такое ботнет?? Дятла можно обвешать анвирами и файрволами и все равно он будет активным участником ботнета. Ведь наличие анвира не гарантирует защиту, пользоваться им еще нужно уметь. Всего записей: 1169 | Зарегистр. 25-03-2006 | Отправлено: 11:20 23-12-2010 | Исправлено: DonDD, 11:22 23-12-2010

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DonDD да согласен! ynbIpb да Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 22:25 23-12-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сегодня был вызов на винлока. И это первый случай, когда юзеры поймали его не по своей глупости в порнухе. Проникновение осуществляется через эксплоит в яве. На радостях я даже видеоурок сделал как им заразиться и соответственно вылечиться. Видео: Flash_Video_Winlock.rar (не пугайтесь расширения exe, это флешка созданная в instantDemo) Всего записей: 1646 | Зарегистр. 01-05-2006 | Отправлено: 23:14 24-12-2010 | Исправлено: ynbIpb, 22:00 26-06-2011

358 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb логично,   но в RusLive Ram есть возможность править реестр машины не загружая удалённый куст, (так быстрее, и проще) через пуск - администрирование (если не ошибаюсь) - ф-я Редактор реестра.   Проверить Shell и userinit.exe. Так же потом запустить AVZ на поиск\исправление проблем + восстановление системы.(автоматом очиститься Temp и прочее). Но здесь интересен LEX LIVE CD & USB RAMBOOT FULL MULTIMEDIA 2010 (10 НОЯБРЯ 2010), там есть прога Registry Reanimator - очень гут!да и по функционалу не уступает RusLive Ram и VasAlex. "походная" шпора [?] Всего записей: 4472 | Зарегистр. 05-12-2007 | Отправлено: 23:59 24-12-2010 | Исправлено: 358, 13:00 28-12-2010

ndch Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb autorun by russinovich не удобнее ?   Добавлено: Цитата: Проникновение осуществляется через эксплоит в яве неа.   Всего записей: 7196 | Зарегистр. 31-08-2008 | Отправлено: 00:17 25-12-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я если честно не искал других путей, так как этот работает, но обязательно попробую ваши советы. И конечно же я в реальных условиях прогоняю AVZ, но в этом случае интересен не способ избавления, а способ проникновения (именно его я хотел продемонстрировать). Под удар уже может попасть другая аудитория.     Запуск браузера от Гостя рулит, в этом случае вылезает куча окошек и прочего, но проникнуть в систему он так и не смог. з.ы. Ещё пробовал на windows 2000 открыть хитрую ссылку, система умерла вообще (БСОД при включении)   Добавлено: ndch, это связка эксплоитов. у меня небыло акробата, оно прошло через яву. пробует все способы проникновения. about, версия специально старая и ява старая. Хотел воссоздать ситуацию, которую лечил у клиента. Всего записей: 1646 | Зарегистр. 01-05-2006 | Отправлено: 00:55 25-12-2010 | Исправлено: ynbIpb, 01:17 25-12-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: попутал, список плагинов тут:   opera:plugins Ну стандартный набор для чистой системы плюс установил 2: Windows Media (кстати через него тоже ломится) Ява 6.17 Флеш вот [?] Всего записей: 1646 | Зарегистр. 01-05-2006 | Отправлено: 01:12 25-12-2010 | Исправлено: ynbIpb, 01:18 25-12-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование