Вирусология. (Вопросы и ответы)

Здесь обсуждаются различные программы, компьютеры, ноутбуки, операционные системы, связь, компьютерные сети, модемы, смартфоны, сотовые телефоны, цифровое и IP-телевидение и т.д.

Модераторы: Aneta, ru

alextob
Сообщения: 614
Зарегистрирован: 25 июн 2010 17:59

Re: Вирусология. (Вопросы и ответы)

Сообщение alextob » 15 июл 2011 16:52

По моему совету он поставил себе Comodo, пока никаких проблем нету.

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 16 июл 2011 13:08

просто завалили офис винлокерами, в пятницу словили вот такого http://www.tmnblog.ru/vash-kompyuter-za ... a-prosmotr" onclick="window.open(this.href);return false; только номер абонента естественно другой, стоит купленный в магазе паучок, лайвCD от каспера даже не загрузился в определённый момент такое чувство что просто не может разогнать диск, сайвсиди от паучка загрузился но работал только сканер, просканил машину, находит удаляет файл но при перезагрузке баннер снова на месте, этот кстати свежий вроде, он запускается даже в безопасном режиме, ничего другого пробовать не стал, отдадим в сервис

Аватара пользователя
feRL
Сообщения: 218
Зарегистрирован: 04 ноя 2006 18:17

Re: Вирусология. (Вопросы и ответы)

Сообщение feRL » 16 июл 2011 18:39

Smetchik писал(а):просто завалили офис винлокерами, в пятницу словили вот такого http://www.tmnblog.ru/vash-kompyuter-za ... a-prosmotr" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false; только номер абонента естественно другой, стоит купленный в магазе паучок, лайвCD от каспера даже не загрузился в определённый момент такое чувство что просто не может разогнать диск, сайвсиди от паучка загрузился но работал только сканер, просканил машину, находит удаляет файл но при перезагрузке баннер снова на месте, этот кстати свежий вроде, он запускается даже в безопасном режиме, ничего другого пробовать не стал, отдадим в сервис
еслиб ты посмотрел видео, которое я скидывал, как убрать любой винлокер, то проблем бы у тебя небыло :)

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 17 июл 2011 15:28

всё качнул, попробую в понедельник, если ещё не сдали в сервис

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 18 июл 2011 15:13

Federal писал(а):еслиб ты посмотрел видео, которое я скидывал, как убрать любой винлокер, то проблем бы у тебя небыло :)
спасибо, банер благополучно скончался, АСПшники лишились ещё одного куска хлебушка :D

Аватара пользователя
feRL
Сообщения: 218
Зарегистрирован: 04 ноя 2006 18:17

Re: Вирусология. (Вопросы и ответы)

Сообщение feRL » 18 июл 2011 16:43

Smetchik писал(а):
Federal писал(а):еслиб ты посмотрел видео, которое я скидывал, как убрать любой винлокер, то проблем бы у тебя небыло :)
спасибо, банер благополучно скончался, АСПшники лишились ещё одного куска хлебушка :D
После удаление баннера сканировал на вирусы? Чтоб все следы убрать...

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 18 июл 2011 22:57

ога поставил и ушол домой не дождался, ну там теперь если что есть кому, прям коллективно сматрели видео и потом так же коллективно наблюдали над смертью банера)))))), а ещё когда удачно загрузились уже без баннера увидели что у паучка ключик кончился

Аватара пользователя
feRL
Сообщения: 218
Зарегистрирован: 04 ноя 2006 18:17

Re: Вирусология. (Вопросы и ответы)

Сообщение feRL » 22 июл 2011 14:25

Smetchik писал(а):паследний баннер в офисе я убрать так и не смог, может я чего не так делал, а может и баннер уж очень мудреный был но в АСП сказали что после удаления банера "слетела файловая система"
вот вам и вред...
восстанавливали данные, причём подняли даже то что было когда то удалено :D
В этом баннере было слово "Электронный сейф"? А то сейчас уже новшество появилось, вирус шифрует данные.

Аватара пользователя
ru
забанен
Сообщения: 6373
Зарегистрирован: 23 июн 2006 08:42

Re: Вирусология. (Вопросы и ответы)

Сообщение ru » 22 июл 2011 15:08

Federal писал(а):В этом баннере было слово "Электронный сейф"? А то сейчас уже новшество появилось, вирус шифрует данные.
Это не новшество. Уже лет 5-6 минимум DrWeb trojan.encoder определяет и даже предоставляет средства расшифровки от многих версий.

Аватара пользователя
feRL
Сообщения: 218
Зарегистрирован: 04 ноя 2006 18:17

Re: Вирусология. (Вопросы и ответы)

Сообщение feRL » 22 июл 2011 16:33

ru писал(а):
Federal писал(а):В этом баннере было слово "Электронный сейф"? А то сейчас уже новшество появилось, вирус шифрует данные.
Это не новшество. Уже лет 5-6 минимум DrWeb trojan.encoder определяет и даже предоставляет средства расшифровки от многих версий.
Я про смс блокеры, то что уже используют трояны для шифрование

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 22 июл 2011 17:06

Federal писал(а): В этом баннере было слово "Электронный сейф"? А то сейчас уже новшество появилось, вирус шифрует данные.
уже и не вспомню

fantomas000
Сообщения: 1
Зарегистрирован: 27 июл 2011 14:13

Re: Вирусология. (Вопросы и ответы)

Сообщение fantomas000 » 27 июл 2011 14:39

М-да, ребятки!
Или как там принято у Вас в Тобольске ПАЦАНЫ.
Любой винлокер удаляется как дважды два. как уже писалось вначале топика, но с небольшой доработкой.
1. С рабочего НЕ ЗАРАЖЕННОГО компьютера копируем на флешку файлы C:\WINDOWS\system32\userinit.exe и C:\WINDOWS\system32\taskmgr.exe
2. Подключаем данную флешку к зараженному компу.
3. Загружаемся с ERD Commander
4. При загрузке выбираем Ваш каталог с масдайком
5. Открываем REGIDIT
6. Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Смотрим раздел shell и видим там скорее всего что-то типа c:/documents and settings/all users/application data/какой_то-файл.exe
8. Удаляем это всё в разделе shell и пишем туда разделе shell
9. Смотрим раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,
10. Обращаю Ваше внимание на запятую в конце строчки в пункте 7, это так и должно быть в реестра, если там что-то не так то удаляем и вписываем нужное.
11. Заходим в c:/documents and settings/all users/application data/ и удаляем ВСЕ файлы в этом каталоге с расширением .exe
12. Копируем с флешки файлы, которые были скопированны в 1-ом пункте в каталог C:\WINDOWS\system32 и в каталог C:\WINDOWS\system32\dllcache
13. Перезагружаемся и радуемся жизни.

Аватара пользователя
Saplyaffka
Радиолюбитель
Сообщения: 283
Зарегистрирован: 23 фев 2011 21:35
Контактная информация:

Re: Вирусология. (Вопросы и ответы)

Сообщение Saplyaffka » 01 авг 2011 11:35

fantomas000 писал(а):М-да, ребятки!
Или как там принято у Вас в Тобольске ПАЦАНЫ.
Любой винлокер удаляется как дважды два. как уже писалось вначале топика, но с небольшой доработкой.
1. С рабочего НЕ ЗАРАЖЕННОГО компьютера копируем на флешку файлы C:\WINDOWS\system32\userinit.exe и C:\WINDOWS\system32\taskmgr.exe
2. Подключаем данную флешку к зараженному компу.
3. Загружаемся с ERD Commander
4. При загрузке выбираем Ваш каталог с масдайком
5. Открываем REGIDIT
6. Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Смотрим раздел shell и видим там скорее всего что-то типа c:/documents and settings/all users/application data/какой_то-файл.exe
8. Удаляем это всё в разделе shell и пишем туда разделе shell
9. Смотрим раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,
10. Обращаю Ваше внимание на запятую в конце строчки в пункте 7, это так и должно быть в реестра, если там что-то не так то удаляем и вписываем нужное.
11. Заходим в c:/documents and settings/all users/application data/ и удаляем ВСЕ файлы в этом каталоге с расширением .exe
12. Копируем с флешки файлы, которые были скопированны в 1-ом пункте в каталог C:\WINDOWS\system32 и в каталог C:\WINDOWS\system32\dllcache
13. Перезагружаемся и радуемся жизни.
Далеко не идеальный алгоритм действий и уж явно не "Любой винлокер", да и в целом, можно выполнить только пункт 3 и сделать восстановление системы. В 90% случаях, для которых написан данный алгоритм, хватит и этого. В иных же и этот алгоритм бесполезен.

Аватара пользователя
Дамирыч
Почетный участник форума
Сообщения: 2375
Зарегистрирован: 09 янв 2010 17:59
Откуда: славный град Тоболеск
Контактная информация:

Re: Вирусология. (Вопросы и ответы)

Сообщение Дамирыч » 05 авг 2011 13:50

Для тех кто не в курсе:
По скайпу неизвестные передают вирусы, замаскированные под музыкальный файл или фотографию.
Этот может грохнуть вашу систему или отформатировать второй раздел жесткого диска. Этот вирус не будет просить отправить текст на какой нибудь номер. :)
Будьте внимательны. :)
С ужасом осознаю, что у меня всё таки доброе сердце.

Аватара пользователя
Smetchik
Старый друг
Сообщения: 2186
Зарегистрирован: 10 май 2007 13:24
Откуда: Из вне

Re: Вирусология. (Вопросы и ответы)

Сообщение Smetchik » 06 окт 2011 10:00

Federal писал(а): еслиб ты посмотрел видео, которое я скидывал, как убрать любой винлокер, то проблем бы у тебя небыло :)
Сестра словила банер выскакивает в момент приветствия винды, вариант выше результатов не дал

Ответить