достали мошенники

[deivan]

Цитата:

Сообщение от Rambo

PS: По скольку источник этой заразы (ну, контент сайтов, которых она попадает на комп) хорошо известен - совесть за содранные денежки не мучает, Абсолютно.

ну и напрасно не мучает.
он прыгает совсем не из порносайтов, а из рекламных баннероротаторов, через жабаскрипт. пострадать может любой, кто лазит по говносайтам типа "весь софт-музон-филма здесь!!! заходи!!!"...

[PavelZT]

Как раз хотел, создать аналогичную тему. За последние 2 недели 3 случая все хотят ВебМани. С помощью LiveCD убирается очень быстро. Главное знать место расположение заразы. Обычно это временные папки (кэш) браузеров или гдето в папке в профиле пользователя. Искать вручную с помощью Тотала можно, по маске *.exe + дата. Обязательно проверить реестр так как вымогатели меняют shell на свой вирусный.
Также был случай когда зараза прописывалась вместо MBR тогда лечение команда с консоли восстановления fixmbr.

pupkov
Аваст + ZoneAlarm (не конфликтуют) + фаэрфокс + (плагины) -
adblock_plus - блок банеров рекламы
noscript - блок скриптов - не обязательно ставить
flashblock - блок флеш картинок и рекламы
betterprivacy - чистит флеш куки

Будешь заниматься гонками потратишь кучу времени в пустую.

И ребят ) такое только с порносайтов попадает, или я картинка, я видео но с расширением exe, с каких пор картинка или видео предлагали установиться к вам на комп? с каких пор для скачки ряда прог с сайта на комп нужно установить какой то инсталятор? думайте головой что делаете! а мама я сунул пальци в розетку, а нельзя но она же в стене жоступна и можно сутунуть, ну это как то не серьёзно, хотите научится чем то пользоваться изучите правила безопасности.
Раз такое было в офисе, комп просто был переустановлен - на компе лазили в порнухе!

Jetpilot
А в мире бывает пиратская винда? (не считая модификаций на экспи хотя там изменений не много) пиратское то, что сделано без лицензии, либо является подделкой, а мы регистрируем лицензионную винду произведённую мелкософт, а как мы это делаем это уж наше дело! Если быть точнее то это программное обеспечение установленное с нарушением авторских прав, а не как не пиратское программное обеспечение или не лицензионное.
Есть понятия продажа нематериальных активов подлежащих лицензированию (самый яркий бытовой пример это видео фильмы), а есть понятие взлом и нарушение авторских прав а то, что органы смешали понятия лицензий в одно ну так это их дело.

[locos]

Да, не видит, я ж о чем и говорю - Курит, AVZ не видят эту дрянь!

[Rambo]

Потому как оно не есть вирусом в их понимании. А научить чего-то не получается... Или может механизм заражения правильный придумали. Еще не разбирался.

[deivan]

универсальной лечилки-программы от этого дела пока нет.
потому что антивирусные программы не считают вирусом файл, который выводит на экран картинку с кнопкой и блокирует диспетчер задач.
лечится -- руками опытного специалиста.

Ну не знаю попробуйте уже в режиме от сбоев! или с другого компа поищите внете куда прописывается в трей эта зараза, где то же такие случаи были и можно грохнуть ветку, а потом загрузится с лив сиди, грохнуть из автозагрузки всё можно сделать.

[Zvirr]

Чел уже в четвертый раз приносит комп с тойже херней причем по порно сайтам он не лазит На компе стоит лицензионный др.веб
Вот сейчас есть три файла др.веб их не определяет как вирус а вот Malware Определяет их как вирус шоле рискнуть запустить )))
Написал в поддержку др.веба жду ответа

[=Коля=]

Пиши в арбитаж, пусть блокируют кошелек

[Zvirr]

Кстати достал вирус могу поделиться

[Zvirr]

Вобщем изличился нашол вирус он на рабочем столе был удалил его а вместо него поставил АВЗ с таким же именем при перезагрузке стартанул АВЗ с помощью его иправил все. Вирус отправлю в Др.веб хай роздупляют

[Dalli]

Попытка справиться обычными методами ничего не даст. Загрузка в безопасном режиме и заход под другим пользователем ничего не дадут, искать коды для разблокировки не советую, только потеряете время.

Раз средствами ос добраться не получилось, нам потребуется какой-либо LiveCD, умеющий работать с файлами и реестром на локальной машине. Я для этих целей использую Erd Commander. Дальше буду писать с учетом использования Erd, использование других LiveCD принципиальных отличий не внесет.

1. Грузимся с загрузочного диска Erd Commander.

2. Заходим в «Explorer», затем c:\Documents and settings\имя вашего пользователя\Рабочий стол\ и удаляем файл «test.exe», если он есть. Если нет – идеи дальше.

3. Заходим c:\WINDOWS\system32\ находим файл «userinit.exe« и безжалостно его удаляем, затем находим там же файл «03014D3F.exe» и переименовываем его в «userinit.exe«.

4. Заходим в c:\Documents and settings\Documents and settings\All Users\Application Data и удаляем там файл «22CC6C32.exe«.

Теперь вируса больше нет, осталось подчистить за ним следы в реестре.

5. Заходи в Erd в «Administrative Tools» и запускаем там редактор реестра RegEdit.

6. Переидем в ветку «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon», в этой ветке необходимо проверить два параметра – “Shell” и “Userinit”. В параметре «Shell» должно быть записано «Explorer.exe», а в параметре «Userinit» – «C:\WINDOWS\system32\userinit.exe,» (обязательно с запятой на конце!!!).

7. В моем случае вирус видоизменил файл файл c:\WINDOWS\system32\taskmgr.exe. После пролечивания указанным методом системы, перезагрузки компьютера и запуска диспетчера задач злополучный баннер появился снова. Лечится заменой зараженного файла на аналогичный с живого компьютера. Советую сделать это сразу, лшним не будет.

8. Перезагружаемся и все должно заработать как прежде

Важно: чтобы удалить вирус, нужно выполнить все пункты инструкции, невыполнение скорее всего привдет появлению баннера снова.

[Zvirr]

Удалил без ваших пунктов

[Dalli]

Цитата:

Сообщение от Zvirr

Удалил без ваших пунктов

Аха а когда винда грузиться не будет я посмотрю что вы будете делать

[Zvirr]

То грузится яж после исправлений AVZ перезагружал и после Malware тоже перезагружал все гуд

[Dalli]

Цитата:

Сообщение от Zvirr

То грузится яж после исправлений AVZ перезагружал и после Malware тоже перезагружал все гуд

Я в плане когда залезет этот троян и не будет пускать тебя не в безопаску не в винду

[Rambo]

В большинстве случаев скотинки этого рода подменяют собой ехплорер или садятся в строчку запуска юзеринита доп. параметром.
Итак.
1. Загрузившись с любого ливЦД правим раздел, описанный Dalli. За тем проверяем все разделы с именем Run. Но тут надо иметь некоторый опыт. Нужно представлять, что там должно быть и чего не должно. Например, там не должно быть путей на юзерский или системный темп а так же, на юзерский или общий Application Data. Все это удаляем не задумываясь.
2. Чистим системный и юзерские темпы. В 80% случаев по моей статистике зараза складывается туда.
3. Любым вменяемым менеджером файлов (Far) смотрим диск С: с сортировкой по дате модификации. Вдумчиво анализируем измененные в день заражения (если знаем, когда) ехе-шники. Особенно, если они еще и скрытые. Помним, что всякая фигня типа Проводника и ТоталКоммандера по умолчанию скрытые файлы НЕ ПОКАЗЫВАЕТ. Все подозрительное... Ну, для начала складываем в какую-нибудь временную папку подальше от системных. Если уверены, что модифицированный файл - виндовая утилита - восстанавливаем его из винды с такой же версией сервиспака.

Фот.

PS: Автозагрузка, которая находится в общем/юзерском меню - тоже есть место, куда ложится зараза.

PPS: Если же у Вас бутовый вирус - все становится намного интереснее. :-)

[Dalli]

Цитата:

Сообщение от Rambo

В большинстве случаев скотинки этого рода подменяют собой ехплорер или садятся в строчку запуска юзеринита доп. параметром.
Итак.
1. Загрузившись с любого ливЦД правим раздел, описанный Dalli. За тем проверяем все разделы с именем Run. Но тут надо иметь некоторый опыт. Нужно представлять, что там должно быть и чего не должно. Например, там не должно быть путей на юзерский или системный темп а так же, на юзерский или общий Application Data. Все это удаляем не задумываясь.
2. Чистим системный и юзерские темпы. В 80% случаев по моей статистике зараза складывается туда.
3. Любым вменяемым менеджером файлов (Far) смотрим диск С: с сортировкой по дате модификации. Вдумчиво анализируем измененные в день заражения (если знаем, когда) ехе-шники. Особенно, если они еще и скрытые. Помним, что всякая фигня типа Проводника и ТоталКоммандера по умолчанию скрытые файлы НЕ ПОКАЗЫВАЕТ. Все подозрительное... Ну, для начала складываем в какую-нибудь временную папку подальше от системных. Если уверены, что модифицированный файл - виндовая утилита - восстанавливаем его из винды с такой же версией сервиспака.

Фот.

PS: Автозагрузка, которая находится в общем/юзерском меню - тоже есть место, куда ложится зараза.

PPS: Если же у Вас бутовый вирус - все становится намного интереснее. :-)

Согласен, но уверен 60% народа ничерта не поняла =)

[softm]

Цитата:

Сообщение от Dalli

Согласен, но уверен 60% народа ничерта не поняла =)

а у меня дебиан 2двд-ы записывется ... писец кантре ребенка

[Rambo]

Цитата:

Сообщение от Dalli

Согласен, но уверен 60% народа ничерта не поняла =)

Дык эта. Нам больше достанется.

[PavelZT]

Буквально вчера опять словил блокировщика, файл называется netprotocol.exe.
Путь c:\documents and settings\Пользователь\application data\netprotocol.exe
+запись в реестре где вместо explorera.
Такое чувство будто школота писала. Поперло с начала сентября.

[_basil_]

Сам попал где-то с год назад, но раздуплил сразу, и заразы не цепанул, а вот уже пару человек таким же образом подхватили. Образ этот выглядит примерно так - заходишь на безобидную с виду страницу, а при попытке её закрыть - выскакивает такое себе окошко с примерным текстом "Вы действительно хотите закрыть нашу страницу? Тогда нажмите "Да", в противном случае вы продолжите просматривать содержимое нашего сайта". Попытка закрытия броузера приводит к тому же "вопросу". Нажимаешь "Да", и радуешься блокеру. ИМХО, всё честно - выскочила хрень, предлагающая установить себя в качестве шелла. Юзер согласился. Венда и антивири не при делах. Они же текст не читают, для сравнения с последуюущими действиями софтины.

[Zvirr]

Так с помощью AVZ можна править авто запуск и востанавливать эксплоуер причем нажатием одной нопки

[Rambo]

Цитата:

Сообщение от Zvirr

Так с помощью AVZ можна править авто запуск и востанавливать эксплоуер причем нажатием одной нопки

Ключевое слово - "шара". Или "нажатие одной кнопки". О том, что надо включать мозгЫ, если они есть, обычно, скромно умалчивается.

[Zvirr]

ну так менеджер авто запуска выдает только список а выбираеш ты сам. Правда розблокировать запуск реестра,диспетчер задач, запуск эксплоуера намного прще и удобней поставив галочьки чем лезть в реестр или в груповую политику