bomzzz Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kpuk если это все что он наделал - оптимальное решение батник Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 17:04 28-12-2009

kpuk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bomzzz ха ну я так понимаю это не просто там лежит.. Короче я вот с 9 утра по 16 вечера пытался его вывести разными способами, и безуспешно. Но потом просто поставил заново винду и проблема ушла. Вот именно поэтому я написал что в этом случае лучше и легче перебить виндовс.   К томуже в моём случае это даже предпочтительнее - там стояла полурусская хр без сп. зы: хотя я более предпочитаю винду поднять чем переставить! ---------- Мой дед говорил ''делай добро и бросай его в воду, Оно не пропадёт, добром к тебе вернётся...'' Дружественный хостинг. Мой выбор! Всего записей: 1099 | Зарегистр. 07-03-2004 | Отправлено: 20:34 28-12-2009

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору где бы подцепить исходное тело, с которого начинается заражение. хочется исследовать. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 22:29 28-12-2009

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Kates палит не по окнам а по именам ресурсов в исполняемом файле. Во всяком случае - последние версии. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11459 | Зарегистр. 14-03-2007 | Отправлено: 11:42 29-12-2009

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нее... мой исключительнопо заголовкам палил. даже просто папку с названием "антивирусы" он тутже закрывал. Переименовал в "12345"  и норм открылось. И в отличии от каты мой тушил винду а не эксплорер. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 11:50 29-12-2009

noook Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сегодня бился на работе целый день с вирусом про download master, на сколько возможно биться с вирусом в 9-тиэтажке полной компов и моих любимых пользователей пока знаю что: в Application Data создаёт свою папку в temp папках хранится в system32 плодится в безопасном тоже пашет не лечится куритом 5ти дневной давности блокирует taskmgr.exe и regedit.exe   пробовал забить память бААААльшим количеством запусков тоталкомандера - помогало не всегда   пробовал вообще забить комп всякими прогами случайными - помогало потом запустить тоталкоммандер   мой тотал может в реестр коннектиться, но и успешно запущеный тотал с возможностью править реестр не смог помочь - разблокировался taskmgr.exe и при его запуске ничего не происходило   удивлённ был что редактор за место блокнота в сборке zver (там кажется bred3 или другой редатор) спокойно запускается, видимо написал на редком языке и екзешник сжат как то особо   работает по разному, то dll наплодит в temp папке, то в system32 начнёт dll создавать   при запуске почти любого екзешника либо выскакивало окно вируса ещё одно либо ничего не происходило и закрывалось приложение   есть ещё много мыслей - завтра буду пробовать   пробовал время перевести, пробовал загрузку последней удачной - неа Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 17:50 29-12-2009 | Исправлено: noook, 17:52 29-12-2009

udaffchik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору noook попробуй просканируйчерез Kaspersky Rescue Disk .Тока с новыми базами, можно с флешки обновиться. Всего записей: 254 | Зарегистр. 29-11-2009 | Отправлено: 23:27 29-12-2009

noook Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору короче утро вечера умдреннее поборолся! и винду менять не надо - считаю переустановку винды дорогим удовольствием ну и не профессиональным способом в итоге как я понял: копируется значит вирус видимо с инета, с дрянного сайта, в файл *.tmp от туда переименовываясь в exe запускается качает с инета остатки и вкладывается в dll в папку system32 и прописывается в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]   "AppInit_DLLs"="XXXXXXXXXX.dll"   вот этот вот dll надо удалить и почистить временные файлы всего (windows, ie, ...) нашёл похожих файлов с размером 147968 байт в system32 и тоже удалил // http://narod.ru/disk/16463657000/temp.rar.html        пароль 111 вот тут я слил файл в котором лежат файлы из папки temp и system32 там есть ещё папка с xxx там непонятные мне файлы из system32 // я загружался с ORDO 6.3 Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 07:24 30-12-2009 | Исправлено: noook, 07:33 30-12-2009

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору теперь понятно почему он неубиваем в самой винде, потомучто он инжектится в каждый процесс через этот ключ реестра. Раз он докачивает себя, фаервол в данном случае решает. У моих клиентов как раз его не было, вот и подцепили. По ходу изначально он попадает на машину через эксплоит в браузере. или связку сплоитов. Мой NOD32 2.7 опознал кучу DLL'ок как модифицированный Win32/Kryptik.BHX троян (вероятно спалил по использованому криптору) Спасибо за информацию.   ---- add ---- И так имеем виртуальную машину XP, инет через прокси. всё идёт через проксифер. Переименовал *tmp файлик в virus.exe и понеслось... сразу же тупо на видном месте прописывает себя а автозапуск (видно через msconfig, стыд и срам афтору ) далее следущее: [09:02] virus.exe - google.com:80 open [09:02] virus.exe - google.com:80 close, 0 bytes sent, 0 bytes received [09:02] virus.exe - download.microsoft.com:80 open [09:02] virus.exe - download.microsoft.com:80 close, 548 bytes sent, 1369431 bytes (1.30 MB) received дальше процесс умирает из-за внутренней ошибки, о чём пишет докторватсон в своём логе. после ребута всё посторяется... чтоже он скачал с микрософта я так и не понял. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 08:20 30-12-2009 | Исправлено: ynbIpb, 09:33 30-12-2009

Grandad Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору noook аналогичная шняга. найден в system32 - ibgate.dll был прописан в инитах. Всего записей: 5 | Зарегистр. 18-05-2006 | Отправлено: 10:58 30-12-2009

BIOS999 Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору "чтоже он скачал с микрософта я так и не понял." - .NET FrameWork Всего записей: 30 | Зарегистр. 26-05-2008 | Отправлено: 15:24 30-12-2009

noook Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору скорее это проверка доступа к обновлениям и тп Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 15:29 30-12-2009

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Полезная ссылка для пострадавших: http://support.kaspersky.ru/viruses/deblocker ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11459 | Зарегистр. 14-03-2007 | Отправлено: 18:13 30-12-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gjf долго рожали, у др.веба давно такая страница есть...   Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 18:22 30-12-2009

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не все афторы смсвымогателей такие порядочные, им главное получить смс деньгу, а что там дальше с юзером будет их не волнует и по сути разблокирущего кода может не существовать. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 19:34 30-12-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ynbIpb подтверждаю, уже несколько раз лечил после уплаты пострадавшим смс (кстати берут уже 600 руб, а не 300 как раньше и в минус) Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 21:12 30-12-2009

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору мои лошки тоже посылали, благо не было столько денег на счёти и им отказали. В минус не дали. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 22:39 30-12-2009 | Исправлено: ynbIpb, 22:40 30-12-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование