Липецкие форумы
20 Ноября 2019, 15:20:06 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Страниц: 1 [2]  Все   Вниз
  Печать  
Автор Тема: [Помощь] помогу сломать вирус  (Прочитано 9022 раз)
0 Пользователей и 1 Гость смотрят эту тему.
maq
Новичок
*

Рейтинг: -21
Offline Offline

Сообщений: 29



Просмотр профиля
« Ответ #30 : 25 Февраля 2010, 19:41:44 »

многие ко мне обращались по поводу вирусов этих, но я после устранения залезал в историю браузеров и у всех ххх , я сам скачал паленый dr web и каспер не среагировал . 
Записан
hard
Живет на форуме
*****

Рейтинг: -62716
Offline Offline

Сообщений: 4935


El pueblo armado jamas sera aplastado!


Просмотр профиля WWW
« Ответ #31 : 25 Февраля 2010, 19:50:49 »

...я сам скачал паленый dr web и каспер не среагировал .  
Ничего удивительного. Половина, если не больше вирусей блокирующих комп делают своё дело (прописывают в автозагрузку через реестр или еще как-то) и самоуничтожаются. То есть после того как... уже искать что либо не то, чтобы поздно, но вирусей может уже и не быть. Есть совершенно "легальные" записи на вполне не вирусные картинки и т.п...

Тут править только ручками, автоправилки есть, но они не могут быть универсальными. Разве что вернуть на "дефолтные" настройки. А это не всегда удобно. Если удобно, то антивирус Зайцева в помощь. Там много автоматизировано на этот случай.
А вообще лечить подобное я уже сказал, что не всегда всё просто.
И если некоторый ломастер вылечил десяток компов не факт, что на 11-ом он не сядет в лужу. Просто потому, что его универсальный ламерский рецепт не работает, а где еще искать он не догадается.
И я не всегда догадываюсь, точнее часто проще снести и переставить быстрее и легче, чем искать все возможные грабли. Это может занять много времени, а время-деньги. Иногда (почти всегда, если сильно надо) и очень сложные случаи лечатся.
Но лихо назначить цену и дать гарантию успеха настоящий мастер не отважится. По крайней мере без осмотра пациента.
« Последнее редактирование: 27 Февраля 2010, 11:59:56 от hard » Записан

И это пройдёт...
Сан-саныч
Завсегдатай
***

Рейтинг: -22
Offline Offline

Сообщений: 480



Просмотр профиля
« Ответ #32 : 27 Февраля 2010, 10:32:27 »

Полность согласен с hard, каждый случай уникален и модификаций этих троянов очень много.
Записан
make.believe
Живет на форуме
*****

Рейтинг: -108
Offline Offline

Сообщений: 4238



Просмотр профиля
« Ответ #33 : 27 Февраля 2010, 14:44:49 »

Цитировать
прописывают в автозагрузку через реестр или еще как-то
Такое произойдёт только с правами администратора.
А с правами пользователя реестр защищён, как и все папки главного меню.
Записан
hard
Живет на форуме
*****

Рейтинг: -62716
Offline Offline

Сообщений: 4935


El pueblo armado jamas sera aplastado!


Просмотр профиля WWW
« Ответ #34 : 27 Февраля 2010, 16:54:05 »

Цитировать
прописывают в автозагрузку через реестр или еще как-то
Такое произойдёт только с правами администратора.
А с правами пользователя реестр защищён, как и все папки главного меню.
Блажен, кто это понимает, но почему-то "блаженных" мало  Улыбающийся
Записан

И это пройдёт...
MaxSon
Заслуженный
****

Рейтинг: -50
Offline Offline

Сообщений: 829



Просмотр профиля WWW
« Ответ #35 : 01 Марта 2010, 06:36:26 »

циничные неудачники.
Острота высказываний не говорит о наличии ума!
Записан
hard
Живет на форуме
*****

Рейтинг: -62716
Offline Offline

Сообщений: 4935


El pueblo armado jamas sera aplastado!


Просмотр профиля WWW
« Ответ #36 : 01 Марта 2010, 10:02:45 »

циничные неудачники.
Острота высказываний не говорит о наличии ума!
Самокритичность - замечательное качество. Улыбающийся
Записан

И это пройдёт...
MaxSon
Заслуженный
****

Рейтинг: -50
Offline Offline

Сообщений: 829



Просмотр профиля WWW
« Ответ #37 : 01 Марта 2010, 22:59:53 »

применительно к кому ?
Записан
thefate
Живет на форуме
*****

Рейтинг: -38
Offline Offline

Сообщений: 1815


Предначертан судьбой…


Просмотр профиля WWW
« Ответ #38 : 02 Марта 2010, 13:29:53 »

ды что вы уперлись-то…

Записан

MadКОТ
Гость
« Ответ #39 : 02 Марта 2010, 19:21:39 »

Такое ощущение, что все люди идиоты. За входящие смс\ммс платить- это вообще смешно! Тот кто написал данную статью- некомпетентен или не до конца осведомлен в данном вопросе.
Второе, если пользователь дурак, а таковых много, то он будет ставить неизвестно,что, неизвестно откуда, даже не ознакомившись с пользовательским соглашением, которое присутствует почти на каждом ресурсе. Так же, наш народ, не особо часто обращает внимание на звездочки.
Вобщем, самый лучший антивирус находиться ни на жестком диске, не установлен в ОС, а должен иметься в черепной коробке каждого пользователя.
А остальные пусть платят. И только респект всем мошенникам и вирусописателям.
Записан
SiMBaD Kipling :)
Живет на форуме
*****

Рейтинг: -60
Offline Offline

Сообщений: 1504


Просмотр профиля
« Ответ #40 : 06 Сентября 2011, 11:32:41 »

Вчера знакомая подхватила очередной вирус блокировщик виндов. На экране телефон 9156492806 и требуют сумму 500 рубликов.

В интернет по данному номеру телефона информации нет.


Установил, что лечится просто - выключаем ПК. Включаем снова и заходим в БИОС. Меняем год с 2011 на 2012. Грузимся, теперь видим, что все нормально включилось. Возвращаем прямо в виндах год на 2011. Далее идем на www.drweb.com, тащим cureit и проверяем ПК. В данном случае следов вируса у знакомой не осталось. Перезагружаемся и проверяем, что все ОК.

Может кому поможет быстро решить проблему, а может и не поможет.
Записан
MIGEL
Живет на форуме
*****

Рейтинг: -261
Offline Offline

Сообщений: 1792



Просмотр профиля
« Ответ #41 : 06 Сентября 2011, 13:05:48 »

Вчера знакомая подхватила очередной вирус блокировщик виндов. На экране телефон 9156492806 и требуют сумму 500 рубликов.

В интернет по данному номеру телефона информации нет.


Установил, что лечится просто - выключаем ПК. Включаем снова и заходим в БИОС. Меняем год с 2011 на 2012. Грузимся, теперь видим, что все нормально включилось. Возвращаем прямо в виндах год на 2011. Далее идем на www.drweb.com, тащим cureit и проверяем ПК. В данном случае следов вируса у знакомой не осталось. Перезагружаемся и проверяем, что все ОК.

Может кому поможет быстро решить проблему, а может и не поможет.
бывало такое с переводом даты, несколько раз попадал
Записан
L.E.V.
Зарегистрированный
Живет на форуме
*

Рейтинг: -10
Offline Offline

Сообщений: 4176



Просмотр профиля
« Ответ #42 : 06 Сентября 2011, 23:05:23 »

Могу помочь сломать вирус "отошлите смс для активации виндоувс"
т.е. деньги бедолаг будут списываться и оседать на "моем" реквизите?
Записан

Владимир Владимирович Путин, почему в Германии, ваши сидели в печах, а в России вы в верхах?
AL0PEX
Завсегдатай
***

Рейтинг: -120
Offline Offline

Сообщений: 410


зима вообще будет?


Просмотр профиля
« Ответ #43 : 07 Сентября 2011, 10:19:36 »

мне как-то забавный приносили, он косил под флэш плеер, чесно предлогал принять соглашение, после принятия блокировал вынь и выводил картинку известного содержания, самое смешное, что в соглашении руским по монитору писалось, что хочу денег, помп заблокирую Улыбающийся
Записан

Что бы Вы обо мне не подумали, Вы ошибаетесь.
CD3S
Постоялец
**

Рейтинг: -7
Offline Offline

Сообщений: 144


Просмотр профиля
« Ответ #44 : 22 Сентября 2011, 23:10:33 »

ИМХО, пОчти универсальный рецепт убирания блокировщиков windows.
(Также поможет если у вас не открываются одноклассники, вконтакте или другие сайты)
Так можно убрать, ИМХО, все варианты блокировщиков, может кому поможет:
Понадобится:
1. LiveCD c REGEDIT
2. Файлы оригинальные userinit.exe explorer.exe (можно взять со здоровой машины или скачать в интернете)
3. Диск с дистрибутивом Windows с консолью восстановления (оригинальный или похожий, вообще не встречал диск без консоли, но возможно в некоторых сборках ее вырезают)
4. Антивирус без установки (CureIT)
5. AVZ

Приступаем:
I. Если блокировщик появляется до логотипа Windows (встречал и такие):
Вставляем диск с дистрибутивом. Запускаем установщик. Запускаем консоль восстановления и вводим команды
fixboot
fixmbr

II. Если блокировщик появляется и нет значков на рабочем столе
Грузим LiveCD. Открываем Regedit.
Подключаем ветки вашего реестра. (Открываем ветвь HKEY_USERS, затем Файл - Загрузить куст) Нам нужны ветки Windos\system32\config\ SYSTEM и SOFTWARE, а также ветвь Documents&Settings\[Имяпользователя]\ NTUSER.DAT
В SYSTEM\ControlSetXXX\services\Tcpip\Parameters\PersistentRoutes удаляем все (чистим все "ControlSet" какие есть)
В SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
должно быть:
Shell = explorer.exe,
 Userinit = C:\windows\system32\userinit.exe
Если это не так, удаляем файлы прописанные там ,а потом приводим эти строки к положенному виду.
В SOFTWARE\Microsoft\Windows\RUN и NTUSER.DAT \SOFTWARE\Microsoft\Windows\RUN
проверяем автозагрузку на подозрительные строки
Проверяем Windows\explorer.exe и Windows\system32\userinit.exe сначала визуально, если значок странный заменяем копией. Если при наведении мыши нет информации "Корпорация Microsoft" то заменяем копией.
В файле C:\Windows\System32\drivers\etc\hosts должна быть только строчка "127.0.0.1 localhost"
Проверяемся антивирусом (DRWEB CureIT например) если нет времени проверяем только EXE SYS DLL файлы, но лучше полная проверка
Перезагружаемся!
С помощью AVZ убираем ограничения если вирус их сделал
« Последнее редактирование: 22 Сентября 2011, 23:46:12 от CD3S » Записан
make.believe
Живет на форуме
*****

Рейтинг: -108
Offline Offline

Сообщений: 4238



Просмотр профиля
« Ответ #45 : 22 Сентября 2011, 23:55:54 »

Во. Что надо.
Записан
Berik
Живет на форуме
*****

Рейтинг: -73
Offline Offline

Сообщений: 1033



Просмотр профиля
« Ответ #46 : 23 Сентября 2011, 10:48:20 »

В SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
должно быть:
Shell = explorer.exe,
 Userinit = C:\windows\system32\userinit.exe
Если это не так, удаляем файлы прописанные там ,а потом приводим эти строки к положенному виду.
Уточню.
(Trojan Explorer). Когда пользователь выполняет вход, Windows запускает файл explorer.exe, расположенный в папке Windows. Однако, если существует файл c:\explorer.exe, то Windows запустит именно его, а не тот, который расположен в папке Windows. Посему проверяем и корень диска.

Добавлю.
1) Запуск из оболочки (Shell Spawning). Когда вы делаете два клика на файле, чтобы запустить его, Windows просматривает реестр, чтобы найти команду ассоциированную с файлом, если команда найдена - она запускается. Программы-паразиты могут модифицировать такие команды, чтобы запускать свои программы.
HKEY_CLASSES_ROOT\exefile\shell\open\command;
HKEY_CLASSES_ROOT\comfile\shell\open\command;
HKEY_CLASSES_ROOT\batfile\shell\open\command;
HKEY_CLASSES_ROOT\piffile\shell\open\command.
2) Отсутствует стандартный перехватчик поиска (Default search hook is missing).
Перехватчик поиска используется когда Вы вводите адрес веб-сайта в браузере, но не указываете протокол (http:// или ftp://). Тогда браузер пытается выяснить нужный протокол самостоятельно и, если ему это не удастся, он использует установленные перехватчики поиска для поиска введенного адреса. Windows предоставляет стандартный перехватчик поиска, который обычно используется для поиска адреса. Программа-паразит может удалить стандартный перехватчик, чтобы получить контроль над поисковыми запросами. Идентификатор CLSID стандартного перехватчика - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} хранится в ключе HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \URLSearchHooks.
3) Диспетчер задач отключен (Task Manager Disabled). Политика безопасности, которая не позволяет пользователю запускать Диспетчер задач. Если эта политика включена, и пользователь пытается запустить Диспетчер задач, появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Диспетчер задач позволяет пользователю запускать и завершать программы; следить за производительностью компьютера; просматривать все исполняющиеся программы, включая системные службы; изменять приоритет процессов; находить имена исполняемых файлов приложений. Данная политика может использоваться паразитами, чтобы предотвратить принудительное завершение их процессов пользователем. Политика может быть включена или выключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System, DisableTaskMgr.
4) Панель управления отключена (Control Panel Disabled). Политика безопасности, которая отключает все программы Панели управления. Эта политика не допускает запуск файла Панели управления Control.exe. В результате, пользователь не может открыть Панель управления или запустить какую-либо из ее программ. Эта политика также удаляет ярлык Панель управления из меню Пуск и скрывает папку Панели управления в Проводнике. Если пользователь пытается открыть Панель управления через контекстное меню, то появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Данная политика может использоваться паразитами, чтобы помешать пользователю изменить Свойства обозревателя или деинсталлировать программу. Политика может быть включена или отключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer, NoControlPanel. Вы должны перезагрузить Windows после изменения этого значения.
5) Инструменты реестра отключены (Registry Tools Disabled). Политика безопасности, которая отключает стандартные редакторы реестра Windows: Regedt32.exe и Regedit.exe. Если эта политика включена, и пользователь пытается запустить редактор реестра, то появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Данная политика может использоваться паразитами для предотвращения удаления пользователем их ключей в реестре. Политика может быть включена или выключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System, DisableRegistryTools.

P.S. Последнее время все чаще стали попадаться "зверьки", использующие метод AppInit_DLLs. Суть метода заключается в модификации специального ключа реестра, содержащего список библиотек. Все библиотеки, указанные в этом списке, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll. То есть, могут внедряться в другие процессы и запускать нужную им программу. Наример, распаковывать шифрованный архив (который не распознается штатными антивирусами), содержащий троян и скрипт его запуска.
Список таких библиотек хранится в параметре системного реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Как правило, у рядового домашнего юзера значение этого ключа должно быть пустым.
Если все же имеется подключенная DLL, и если в параметрах ключа указано только имя файла, без указания пути, то саму DLL следует искать в системном каталоге Windows (например, C:\Windows\System32)
« Последнее редактирование: 23 Сентября 2011, 11:33:41 от Berik » Записан
Gremndramebed
Новичок
*

Рейтинг: 0
Offline Offline

Сообщений: 1

http://pedd.in/coeds/free-coeds-texas-videos ||| http://pedd.in/porno/dbz-hentai-mangas-porno-x ||| http://pedd.in/erotic/girls-under-10-erotic


Просмотр профиля WWW
« Ответ #47 : 10 Октября 2011, 09:37:00 »

new york city dungeon bdsm mistress http://pedd.in/transvestites/online-transvestites kara mynor anal peeing in my diaper fetish 
belmont massachusetts adult education http://pedd.in/nylon/rayon-nylon-polyester-fabric stories of anal abuse hypoallergenic adult diapers 
european adult nude parties http://pedd.in/porno/dede-lind-porno girls ass sniffing farting ann e gay 
married cheating anal http://pedd.in/porn/ebony-porn-trailers jessica alba ass is good luck chuck adult warhammer galleries 
anal sex and pancreatitis http://pedd.in/virgins/why-are-girls-virgins sexe amateur video cartoons lezbian incest 
amateur radio frequency bands http://pedd.in/incest/personal-stories-of-incest-recovery sweet pictures adult piss adult miniature schnauzers
Записан

Страниц: 1 [2]  Все   Вверх
  Печать  
 
Перейти в:  

Powered by SMF 1.1.16 | SMF © 2006, Simple Machines
Minerva Theme | The Simple Machines Forum Directory