ESpec - мир электроники для профессионалов


Хватанул вирус..!

  Список форумов » Свободное общение
На страницу Пред.  1, 2, 3 ... 7, 8 ... 9, 10, 11  След.
Следующая тема · Предыдущая тема
АвторСообщение
БАРК 
Старший модератор
<B>Старший модератор</B>
Сообщения: 13337
БАРК
 
Сообщение #141 от 06/02/2011 11:42 цитата  

RomanRB, Подкинь к другому компу, затри плейер вместе с вирусом чем нибудь типа Unlocker , EasyCleaner или File Shredder ...
Nabi 
Пахан
Сообщения: 12403
Nabi
 
Сообщение #142 от 06/02/2011 12:37 цитата  

БАРК писал:
затри плейер вместе с вирусом чем нибудь типа Unlocker

Unlocker-это вещь!
-Сам юзаю давно... Но, вряд-ли поможет в данной ситуации...
Nabi писал:
RomanRB писал:
Он прописался в одном из плееров.

Вряд-ли в программ файле...Скорее, в виндовской папке...
RomanRB 
Модератор
<B>Модератор</B>
Сообщения: 29338
RomanRB
 
Сообщение #143 от 09/02/2011 08:49 цитата  

Сегодня винт в лабораторию отвез. К вечеру сказали будет результат. Либо положительный, либо отрицательный....... недовольство, огорчение
Nabi 
Пахан
Сообщения: 12403
Nabi
 
Сообщение #144 от 10/02/2011 07:39 цитата  

RomanRB, восстановил винт?
RomanRB 
Модератор
<B>Модератор</B>
Сообщения: 29338
RomanRB
 
Сообщение #145 от 10/02/2011 07:55 цитата  

Nabi, Нет. Взял комплекс у ребят PC-3000. Буду сам восстанавливать.........Ну не нравиться мне, как БМГ работает........
Maksimov 
Передовик
Сообщения: 2154
Maksimov
 
Сообщение #146 от 13/02/2011 21:43 цитата  

Как известно Виндоуз крайне дырявая программа, этим и пользуются мошенники из Интернета. Нашими поисками и усилиями было установлено, что зловреды устанавливают баннеры в директорию "C:\WINDOWS\system32\config" заменяя исходные файлы своими вирусами-шантажистами. А вот обратно заменить их родными системными файлами нельзя. Тут и 1000 рублей не поможет. Потому что уже испорчен реестр Windows, отключены Службы компонентов и Антивирус. Даже при завершении процесса работы вируса, после перезагрузки он опять заблокирует Windows, так как загрузился и распаковался вирус в директории "C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp".

Как Сломать вирус вымогатель.
Открыть реестр
regedit
Искать
userinit
Открыть не его а
Shell
Там путь к вирусу, вписать надо
Explorer.exe
Вымогатель работать не будет.
-20 dB 
Фанат форума
Сообщения: 7674
-20 dB
 
Сообщение #147 от 14/02/2011 03:43 цитата  

Maksimov, это откуда цитата? Я вот давеча комп пытался полечить челу... Баннер висит даже в безопасном режиме... И каким макаром в такой ситуации "открыть Регэдит"? Чистил комп AVZ'ом, зайдя с внешней ОС (BarPE от VasAlex), выгреб дохрена мусора, но баннер так и остался. Неубиваемый, сволочь. И где прописался - ХЕЗ. Редактор реестра у AVZ есть свой, встроенный. Однако как в нём открыть и отредактировать реестр неактивной в данный момент Винды?
m.ix 
Master Mixa
Сообщения: 1972+
m.ix
 
Сообщение #148 от 14/02/2011 03:52 цитата  

Однако как в нём открыть и отредактировать реестр неактивной в данный момент Винды?
======================================
ERD для своей винды можно поюзать.
И код ввести по виндой.
Но с другой винды на другой машине.
-20 dB 
Фанат форума
Сообщения: 7674
-20 dB
 
Сообщение #149 от 14/02/2011 04:09 цитата  

m.ix, ты не понял. В системе в данный момент работает Винда... Но не с того диска, который я пытался "полечить", а Portable, запущенная с BartPE. Задача - в этой, запущеной Винде каким-то образом открыть и отредактировать реестр той Винды, которая на диске. При работе Portable, "основная" Винда мертва (тупая мёртвая куча папок и файлов), и удалять спокойно можно что угодно, любые, даже системные, файлы можно стереть, как надоевший текстовый файл (только бы при попытке запустить эту Винду снова не пожалеть о такой лёгкости...), можно удалить хоть весь реестр, но вот как открыть его в знакомом редакторе, "починить" и сохранить в таком виде? Ибо сам я в реестре не специалист, и ползать по реестру без редактора как-то не приучен, а редактор реестра Винды с Bart'а и реестр открывает ЕЁ же, как и редакторы реестра программ, под ней запущенных...

ДОБАВЛЕНО 14/02/2011 7:15 AM

Да, собственно, скорее всего зря спрашиваю - у Maksimov, видимо, подразумевается, что до реестра можно добраться хотя бы из безопасного режима. В случае же сегодняшнего товарища - без внешней ОС к компу подступиться вообще никак невозможно. Значит, скорее всего, и адварь в нём сидит другая, и этот ключик искать бесполезно... Но попробовать-то можно. Пыпытка - не пытка...
VikBel 
Старший модератор
<B>Старший модератор</B>
Сообщения: 5377
 
Сообщение #150 от 14/02/2011 16:40 цитата  

-20 dB, А мой метод пробовал ? http://monitor.espec.ws/viewtopic.php?p=1176575#1176575
-20 dB 
Фанат форума
Сообщения: 7674
-20 dB
 
Сообщение #151 от 14/02/2011 18:04 цитата  

VikBel, интересно. Доберусь снова до этого компа - попробую. Если, конечно, хозяин к тому времени не воспользуется моей рекомендацией и не отнесёт комп в СЦ (посылать деньги уродам я его отговорил стопроцентно - под предлогом того, что, во-первых, не факт, что какой-то код разблокировки он получит, а во вторых - что каждая отправка бабла вымогателям стимулирует их к развитию технологий: на своём компе первый баннер я удалил на мах, со вторым геморроился четыре часа, а вот с этим баннером вообще сладить моих скромных познаний не хватило - прогресс технологии налицо. Лучше вдвое переплатить специалистам, чем хоть копейкой стимулировать ублюдков).

"Три заветные" жать пробовал, правда, уже после третьей бутылки пива (потом ещё три было), а потому - помню, что не работает... но хоть убей, не помню, как именно не работает, в смысле - мелькало ли вообще окно диспетчера. Хотя, картинка несколько другая, возможно, и реакции на три кнопки вообще не было (таки, квалификация ублюдков, поддерживаемая финансовым притоком, развивается несколько скорее, чем моя, развиваемая от случая...). Смутно помнится, что клавиатура вообще заблокирована. Впрочем, и наличие виртуальной клавиатуры в окне стимулирует это воспоминание. Фото окна при запуске в безопасном режиме прилагаю.

ЗЫ: кстати, в этом окне ВО ВСЕХ режимах курсор перемещается ТОЛЬКО в пределах активного (синего) окна, так что как таковым "баннером" эту адварь уже назвать не повернётся язык. Это уже полноценная программа. Это во-первых. Во вторых. Поскольку мужичок изначально боится тыкать кнопки на компе, и ползает по Инету только по триста раз хоженым новостным сайтам, маловероятна самостоятельная "подмотка" этой адвари непосредственно с этих сайтов... Зато при чистке на компе обнаружены (и успешно удалены) три трояна...




m.ix 
Master Mixa
Сообщения: 1972+
m.ix
 
Сообщение #152 от 14/02/2011 21:05 цитата  

Задача - в этой, запущеной Винде каким-то образом открыть и отредактировать реестр той Винды, которая на диске.
==============
ERD

Вводим-Скармливаем то что твой синенький экран просит
Для этого заходим туда где есть ключЪ для этой бяки.
И работаем далее, после вычиски и скана системы.

В системе много мест где может прятатся зараза в тех же (системных) папках.
OlegLOA 
Завсегдатай
Сообщения: 577
 
Сообщение #153 от 14/02/2011 22:39 цитата  

Есть много разных загрузочных дисков с Win PE но вроде именно на Bart PE есть какой-то мелкий сторонний редактор реестра (вот чей, не помню), который при запуске спрашивает какой реестр редактировать, и можно указать что не BartPE а тот что на винте. Пользовался неоднократно, но давно.
m.ix 
Master Mixa
Сообщения: 1972+
m.ix
 
Сообщение #154 от 14/02/2011 23:26 цитата  

OlegLOA, как раз ERD для своей оси нужен
Для начала скормить то что хочет синий экран
-20 dB 
Фанат форума
Сообщения: 7674
-20 dB
 
Сообщение #155 от 15/02/2011 00:07 цитата  

А-а-а-а! А я нашёл чит-коды для разблокировки компов! Очень рекомендую: http://support.kaspersky.ru/viruses/deblocker

Если ублюдки не просят посылать СМС (как в вышеописанном случае), поле СМС оставить пустым. Номер телефона вводить в произвольной форме (через тире или все цифры подряд).

Хреново только, что тут же не приводятся данные о том, какие файлы удалить и какие ключи реестра изменить в каждом конкретном случае, т.е мина таки остаётся на компе. Впрочем, это уже не моя проблема - пиво я отработал честно, совесть очищена (если, конечно, код подойдёт... но у меня третий час ночи - не осчастливливать же среди ночи бедного юзера)! Уря!
классно!

Кстати, пора бы уже как-то именовать эти адвари (по типу вирусов), а то форум у Касперского большой, у AVZ - ещё больше, по чистке многих адварей рекомендации даны, но искать "свою" бяку по картинкам - это уж слишком...
равнодушие
OlegLOA 
Завсегдатай
Сообщения: 577
 
Сообщение #156 от 15/02/2011 01:00 цитата  

m.ix, я так и не понял что ты имеешь в виду "скормить то что хочет синий экран"
Пополнять никому никуда не собираюсь как и платные СМС отсылать улыбка

-20 dB, у DrWeb на сайте тоже есть такие "чит-коды", если что - можно еще там посмотреть
m.ix 
Master Mixa
Сообщения: 1972+
m.ix
 
Сообщение #157 от 15/02/2011 01:45 цитата  

OlegLOA, Там же бАльшими буквами начертано
На экране
RomanRB 
Модератор
<B>Модератор</B>
Сообщения: 29338
RomanRB
 
Сообщение #158 от 15/02/2011 17:11 цитата  

-20 dB, Ром, привет!!! Да кстати, вот тот скрин что ты выложил-это он и есть. Цеплял я винт к другой машине, антивирь мне нашел в Sis32 один зараженный файл. Ну я его как и полагается-грохнул!!!! Но результат-нуль!!! Коды я пробовал подбирать-тож ноль. И как уже писал-не нравиться мне как БМГ "шуршат". Сегодня вот тока приехал, пока не занимался. Вот высплюсь-потом посмотрим.... подмигивание
-20 dB 
Фанат форума
Сообщения: 7674
-20 dB
 
Сообщение #159 от 15/02/2011 17:47 цитата  

RomanRB, ща позвоню товарищу - если с работы пришёл, проверю чит-код от Касперского (ссылка выше).

Выше уже писал - тоже три трояна "выселил" - не помогло. Название одного трояна явно навевает мыслю, что он-то и подселил прогу-блокиратор:
Trojan-Downloader.Win32.Geral.sql
А судя по названию второго - он-то и был дистрибутивом блокиратора:
Trojan.Win32.StartPage.ahtb
(Названия вирусов по отчёту AVZ, который, если я не ошибаюсь, пользуется классификацией Касперского.

Дистрибутив-то я удалил (как и троянского коня), а вот установленный блокиратор сидит намертво. Короче, ща позвоню страдальцу. Если у тебя заражённый комп под рукой - код разблокировки (если указан тот же телефон): 16342131
RomanRB 
Модератор
<B>Модератор</B>
Сообщения: 29338
RomanRB
 
Сообщение #160 от 15/02/2011 18:04 цитата  

-20 dB, Не Рома.... Номер телефона не тот. 8-903-172-09-94 недовольство, огорчение

Перейти: 
Следующая тема · Предыдущая тема
На страницу Пред.  1, 2, 3 ... 7, 8 ... 9, 10, 11  След.
Показать/скрыть Ваши права в разделе

Интересное от ESpec


Другие темы раздела Свободное общение



Rambler's Top100 Рейтинг@Mail.ru liveinternet.ru RadioTOP