TourerV.ru > Основной раздел > Общение, дискуссии и праздники

Общение, дискуссии и праздники Общение на свободные темы, общие вопросы, дни рождения и торжественные события и так далее...

Реклама на форуме
КЛУБНЫЙ СЕРВИС ТМ-Авто Москва Распорки, кулинг панели, теплоэкраны, вставки
Полиуретановые сайлентблоки от "Точки Опоры" DailyDriftParts тюнячка из Японии, новое и б/у
  • Посетителям
  • Новеньким
  • Патриотам
Регистрируясь на данном ресурсе Вы соглашаетесь с действующими Правилами форума и обязуетесь их соблюдать.
Незнание правил не освобождает Вас от наказания за их нарушение!
На форуме действует ряд ограничений для новых пользователей: запрещено заниматься торговлей, устанавливать автар и подпись, принимать участие в опросах, личный ящик ограничен 10-ю сообщениями.
Для снятия ограничений Вам надо оставить на форуме более 10 сообщений, а также с момента вашей регистрации должно пройти не менее 30 дней.
Для участников клуба доступна различная клубная атрибутика: рамки, наклейки, футболки, толстовки, кружки, карты и т.д. Причем некоторые виды атрибутики распространяются бесплатно на встречах. Более подробную информацию узнавайте в своем региональном разделе или теме. Также если Вы хотите заниматься клубной атрибутикой в своем городе, то напишите об этом администрации.
С уважением, администрация форума TourerV.ru
Ответ
 
Опции темы Поиск в этой теме
Старый 23.04.2010, 10:00   #1
HighMan TC
HighMan вне форума
Местный
 
Аватар для HighMan
По умолчанию Очередной вирус-вымогатель 0

Отправьте SMS с текстом 3378138 на номер 5121
Вешает как и многие баннер, не дает работать.

Вымогатель выловлен.
Внимание! Этого гада не просекли антивири Avast, CureIt, Каспер ни в момент попадания на машину, ни при сканировании. Генератор ответов тож развел лапками. Пришлось привлекать тяжолую артилерию, т.е. МОСК!
Тварюшка прописалась C:\Documents and Settings\All Users\systems.exe
Так же в реестре отметилась в паре мест.
HCU\Software\Microsoft\Windows\CurrentVersion\Run и еще где-то, не помню, но элементарно находится поиском по имени файла.
Ах да! Еще эта скотина перемещает iexplore.exe в C:\Documents and Settings\All Users\
Вот отчет virustotal:
http://www.virustotal.com/ru/analisi...011-1271863781
Этого вымогателя пока очень мало кто ловит. Генераторы ответов тож не спасают.
Надеюсь кому-нибудь сей пост поможет.
__________________
Processor not found! Load program simulation..
HighMan вне форума   Ответить с цитированием
Старый 23.04.2010, 10:45   #2
SaNdigo
SaNdigo вне форума
Знаток
 
Аватар для SaNdigo
По умолчанию Re: Очередной вирус-вымогатель 0

На самом деле он уже начал лютовать, всё больше и больше пострадавших. Спасибо за инфу
__________________
Всё продал и раздал.
Раскольничаю, нищебродствую...
SaNdigo вне форума   Ответить с цитированием
Старый 23.04.2010, 10:53   #3
Дима Александрович
Дима Александрович вне форума
Местный
 
 
Аватар для Дима Александрович
По умолчанию Re: Очередной вирус-вымогатель 0

Цитата:
Сообщение от SaNdigo
. Спасибо за инфу

+1
__________________
Kawasaki ZZR 400-2
Дима Александрович вне форума   Ответить с цитированием
Старый 23.04.2010, 14:26   #4
брат
брат вне форума
Местный
 
Аватар для брат
По умолчанию Re: Очередной вирус-вымогатель 0

HighMan
где ты подхватил этот вирус?
брат вне форума   Ответить с цитированием
Старый 23.04.2010, 15:34   #5
HighMan TC
HighMan вне форума
Местный
 
Аватар для HighMan
По умолчанию Re: Очередной вирус-вымогатель 0

Цитата:
Сообщение от брат
HighMan
где ты подхватил этот вирус?
К сожалению не могу ответить на этот вопрос - не помню. Точно только, что цепанул в инете.
Очень поганый момент: он не детектится, на данный момент, ни одним из популярных у нас антивирусов. Virustotal тому подтверждение. Ах, да! Таблицы с ответами вымогателям и генераторы келючей тож оказались бессильными.

Если вы все таки словили банер вымогатель, то большую их часть можно нейтрализовать в безопасном режиме.
Грузимся в безопасном режиме с поддержкой сети (F8 сразу после отработки BIOS). Если удалось загрузиться, то принимаемся за убийство. Основной рабочий инструмент: regedit. Открываем regedit (Пуск->Выполнить набрать regedit). В первую очередь лезем:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Тут расположены програмы, загружаемые Windows. Внимательно смотрим значения ключей.. Если некий ключ указывает хрен знает в где, типа c:\Documents and Settings\... то это скорее всего зловред. На всякий случай скопируйте этот ключ в какой нить файл и после удалите. В файл копируем, что бы потом можно было восстановить, если это не зловред.
Такс... Тут, вроде, все чисто. Тогда лезем
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Тут глаза разбигаются, но нас интересует ключ Userinit. Смотрим его значение:
C:\WINDOWS\system32\userinit.exe, Вот такое, в большинстве случаев, вы и должны увидеть. Если после запятой написано что-то еще, то это, с большой вероятностью, зловред. Опять же копируем значение в текстовой файл. Мало ли что! И чистим все, что за запятой.
Если тут все оказалось в норме, то лезем в
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
И внимательно смотрим на предмет не ясных прог в загрузке.

Если вы обнаружили, что в одном из ключей живет нечто подозрительное, то перед удалением этого ключа все таки перепишите значение куда нить!
Такс! Перегружаемся в нормальном режиме и... Эврика! Баннер убрался. Круть? Угу, но не совсем. Теперь жевательно прибить виновника, абы пока мы прибили только его вызов, а само тельце продолжает валяться у нас в системе. Вот тут-то нам и поможет файлик в котором живут скопированные нами подозрительные пути. Смотрим этот путь, лезем по нему, обнаруживаем паршивца и бесследно удаляем! (Ctrl + Del).
Внимание! Вы можите залезть, но файл не найти, это потому, что вирусы, обычно, высставляют атрибут Hide. Так что заставляем Винду показывать и скрытые файлы тож и удаляем.

Таким образом мы можем выловить и прибить большую часть банеро-виросо-вымогателей.
В любом случае, даж если вам удалось разобраться с вирусом, то пригласите еще глянуть спеца, что бы подчистил хвосты. Возможно удасться его соблазить пивом
__________________
Processor not found! Load program simulation..
HighMan вне форума   Ответить с цитированием
Старый 28.04.2010, 07:15   #6
Arax
Arax вне форума
Пользователь
 
Аватар для Arax
По умолчанию Re: Очередной вирус-вымогатель 0

Странно, у меня каспер на зараженной машине нашел и убил его.
Arax вне форума   Ответить с цитированием
Старый 28.04.2010, 12:04   #7
HighMan TC
HighMan вне форума
Местный
 
Аватар для HighMan
По умолчанию Re: Очередной вирус-вымогатель 0

Цитата:
Странно, у меня каспер на зараженной машине нашел и убил его.
Вот уж действительно странно! Я сунул файл с вирусом в отдельный каталог и сканировал оный паучком, каспером, авастом, нодом. Все вышеперечисленные антивири отрапортавали, мол все чисто.
__________________
Processor not found! Load program simulation..
HighMan вне форума   Ответить с цитированием
Старый 29.04.2010, 06:58   #8
Arax
Arax вне форума
Пользователь
 
Аватар для Arax
По умолчанию Re: Очередной вирус-вымогатель 0

У меня на двух машинах вылезал этот вирус, тупо снимал винты, цеплял к своему и продерал касперским, спокойно находил в C:\Documents and Settings\All Users\systems.exe и удалял, просто первый раз я сделал и забыл где он валялся, теперь уже записал )
Arax вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Очередной победитель холода EDDI Кондиционер, отопление и вентиляция 9 24.12.2011 13:59
ОЧЕРЕДНОЙ БЕСПРЕДЕЛ!!!! Санёк Общение, дискуссии и праздники 46 16.04.2010 19:52
В очередной раз салонный фильтр... BrambuS Кондиционер, отопление и вентиляция 11 29.12.2006 07:04