tahirg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb благодарю по онлайн порно попались мне Download и imax правда было это давно, пробегусь ещё раз Всего записей: 1971 | Зарегистр. 23-03-2003 | Отправлено: 14:58 24-01-2010

Garno Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb Цитата: Вобщем изловил гада.   Сидел в потоке: C:\WINDOWS\Fonts\SEGOEUI.TTF:YBUBEEcNI+2ep+yaLe0W (125952 байта)   В общем встретил аналогичную проблему! Картинка точно такая же, как в вашем сообщении. NOD32 лицензионный даже виду не подал, что видит вирус и ушел в небытие (при попытке запуска говорит, что ядро программы невозможно инициализировать) запуск DrWEB CureIt, AVZ и многого прочего антивирусного ПО из под Windows невозможен, редктор реестра и диспетчер задач заблокированы, запуск почти любого приложения или исполняемого файла приводят к появлению все того же окна с якобы сканированием файлов и конечной просьбой отправить СМС на номер 4460. В безопасном режиме ничего не меняется, вирус продолжает контролировать процессы, названия открытых окон и т.д. Пробывал 2 Live CD - один DrWEB-овский, другой - Касперского (оба с последними обновлениями баз данных) - результат 0, ни один из вредоносных файлов не обнаруживается, через WIN PE (ERD Commander) доступ к реестру также получить не возможно!   По совету опубликованному здесь загрузил сканер альтернативных потоков streams.exe - просканил вызывающие сомнения папки - в System32 3 каких-то потока удалил, в Fonts результат нулевой. Это никакого эффекта не дало, весь реестр загажен файлами с датой сборки установленной XP SP2 - соответственно в перемешку с нормальными (возможно рабочими) а возможно также подмененными.   Как Вам все таки удалось решить проблему??? Всего записей: 1 | Зарегистр. 24-01-2010 | Отправлено: 15:40 24-01-2010 | Исправлено: Garno, 15:42 24-01-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну в первую очередь я вычистил папки Temp C:\Documents and Settings\... C:\WINDOWS\Temp Потом прошёлся погой Addspy в C:\WINDOWS, C:\Program Files, C:\Documents and Settings, убил 1 поток, перезагрузился и окна не было, дальше AVZ. Нода он заблокировал политиками. Палиться антивирем он не будет, так как хозяева постоянно его обновляют. Вероятно с того времени что-то изменилось в методах его работы.   А по повобду реестра: не получается через стандартный regedit с LiveCD Выделить HKEY_LOCAL_MACHINE, Файл\Зaгpyзить кycт, WINDOWS\system32\config\software ? Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 18:41 24-01-2010 | Исправлено: ynbIpb, 18:56 24-01-2010

fedoseevka Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору xeroxman Цитата: Кстати, частенько выручает вот эта штука: http://razblocker.narod.ru    и как помогает? чтой-то мне ссыкотно после анализа данного разблокера http://www.virustotal.com/ru/analisis/416e4faa798170efa8a334b88217e67cbc5a856fc63211803181215659535e96-1264353693       хотя конечно каспер , нод с доктор вебом и микрософтом молчат... но макафи с семантеком тоже ведь не пацаны сопливые? Всего записей: 302 | Зарегистр. 09-02-2006 | Отправлено: 20:35 24-01-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Написал я для себя маленький скрипт: В ситуации, когда винлокер перекрывает всё видимое пространство, но не заблокирован запуск *.exe и не отключен Autorun с флешек, создаём на флешке Autorun.inf и кидаем скомпиленый файл скрипта.   Скрипт собирает список всех видимых окон в виде: [Заголовок] путь : PID пример: Цитата: [Documents and Settings]  C:\WINDOWS\Explorer.EXE : 1444 и сохраняет его в текстовый файлик, который можно будет потом посмотреть с LiveCD. Может комунибудь будет полезен: Код: ; ---------------------------------------------------------------------------- ; AutoIt Version: 3.3.4.0 ; Author: ynbIpb ; Script Function: Собирает список видимых окон v.0.1 ; ---------------------------------------------------------------------------- #Include <WinAPIEx.au3> ;Взять можно тут: autoit-script.ru/index.php?topic=47.msg193#msg193   $VisibleWindows = "" $all_windows = WinList(); собираем в массив все окна For $i = 1 to $all_windows[0][0]; перебираем все окна в цикле и составляем список видимых If IsVisible($all_windows[$i][1]) Then $winPid = WinGetProcess ($all_windows[$i][1]); определяем PID окна $path = _WinAPI_GetModuleFileNameEx($winPid); определяем путь к файлу процесса If $all_windows[$i][0] = "" Then ; если заголовок пуст $WinTitle = "[No title]" ; то пишем No title Else ; иначе берем в переменную реальный заголовок $WinTitle = "["&$all_windows[$i][0]&"]" EndIf $VisibleWindows &= $WinTitle & "  " & $path & " : " & $winPid &@CRLF ; формируем строку текущего окна EndIf Next ;MsgBox (0, "", $VisibleWindows) $txt_file = FileOpen ( @Scriptdir & "\WinList.txt", 2) ; открыть файл для записи FileWrite ($txt_file, $VisibleWindows) FileClose ($txt_file)   Func IsVisible($handle); функция проверки видимо ли окно   If BitAnd( WinGetState($handle), 2 ) Then     Return 1   Else     Return 0   EndIf EndFunc Для компиляции нужен autoit-v3-setup.exe, а также нужна UDF WinAPIEx.au3 Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 20:58 24-01-2010 | Исправлено: ynbIpb, 21:04 24-01-2010

Klirik Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Еще одна прожка для просмотра и редактирования ADS _http://www.nirsoft.net/utils/alternate_data_streams.html Всего записей: 1330 | Зарегистр. 02-09-2001 | Отправлено: 22:15 24-01-2010

hohkn Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tahirg Большое спасибо!     Добавлено: kgenius2 Как помню, у меня попутно к нему в автозагрузку полез файл autorun.inf, а с ним прицепом md.exe, посмотри такие файлы у себя на дисках. У меня md.exe выполз вообще на диске D:. Если не сложно, кинь скрин локера. У меня это было на локере: черный экран и надпись Kaspersky online на в красном окне. md.exe скорее всего генератор sdra64.exe. Нашел CureIt!-ом. Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 08:25 25-01-2010

xeroxman Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fedoseevka Нет там никакого вируса, файл на сайте с прошлого лета не менялся. ---------- Подпись в стадии разработки Всего записей: 2151 | Зарегистр. 01-12-2004 | Отправлено: 09:06 25-01-2010

hohkn Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb Цитата: Написал я для себя маленький скрипт: Спасибо! Отлично работает. Вещь в хозяйстве нужная. Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 15:15 25-01-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Любителям исследовать блокираторы: вирусы.rar   Прошёлся сегодня методом ловли на живца и поймал 3 псевдофлешплеера и 1 тулбар в виде яваскрипта. Что-то ни один из флешплееров на виртуалке не активировался, видимо ввели проверку на все популярные виртуальные машины. Мой нод палит одного по криптору, втого прям так обозвал Lock Screen.   ВО всех случая пользователь добровольно должен скачать и запустить исполняемый файл, а мне всё твердят клиенты, к которым прихожу лечить, что мы ничего не качали и не запускали.   --------------- updated ------------------ Проверил, всё качается, внутри архивы с телами запаролены, пасс: 1 Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 15:17 25-01-2010 | Исправлено: ynbIpb, 15:39 25-01-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb Удалили уже вашу ссылку... Паролить надо. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:32 25-01-2010

1Kipovec Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ynbIpb   Цитата: а мне всё твердят клиенты, к которым прихожу лечить, что мы ничего не качали и не запускали   Правду говорят (если не запускали), то же "проводил эксперимент", но не на виртуалке, а на реальной системе. Полазил по софто-кино-порно-помойкам. Во многих местах Авира-фри (базы и версия последние) "визьжял", но благополучно пропустил файлик plugin.exe с самоустоновщиком в автозапуск (я по определению, ни чего с сайтов не качал и ни чего не устанавливал) правда мелкопакостный смс-вымогатель (доступ к компу был полный). Потом "зацепил" "поганца" посерьезней (блокировка доступа, ехе, сом, и т.д.). Искать что да где не стал, "0-HDD" и баста. Всего записей: 641 | Зарегистр. 24-08-2009 | Отправлено: 18:24 25-01-2010

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну видимо потому что у меня на виртуалке винда с самыми последними апдейтами стоит и опера 10, они дыр не нашли предлагается в упор скачать файл и запустить. В других случаях через баги лезут. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 18:47 25-01-2010

Craker BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня дочке по аське пришел файлик от подруги с подписью "как тебе эта фотка". Дочка кликнула на нее и пипец. Синий экран и предложение прислать СМС. Позвонили подруге, ей тоже от кого то пришла эта гадость в то же время, а она не чего не отсылала. И тут посыпались звонки от дочкиных друзей. То есть, если я правильно понял, эта зараза сама себя еще и разослала по всем контактам?  Не web не Каспер liv CD не помогли. В безопасном режиме тот же банер. Пришлось из под Liv CD чистить в ручную. Из автозагрузки и sistem32. Что за имя сейчас не помню.   Есть ли какое конкретное лекарство? Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 19:13 25-01-2010

bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору есть - на сайте доктора веба посматри и касперского. там даже смску можно с сайта отправить Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 19:19 25-01-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование