| Optimus | Дата: Понедельник, 07.06.2010, 17:02 | Сообщение # 1 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 8
Статус: Offline
| На днях столкнулся с очень стойким информером вымогателем, это далеко не первый информер с которым я имею дело, все таки специализация у меня такая (короче специализируюсь на компах и все что с ними связано), ну ладно ближе к делу.
Вирус оказался порно информером, и хотя его создатели не поленились написать на банере что типа это не вирус и ни фига он не блокирует, однако все выходит наоборот. Мало того что он блокировал диспетчер задач и консоль управления ПК, он блокировал также и командную строку, реестор, и т.д.
Вирус запускался не из под своего экзешника или делал вид а из под других прог на диске С, напр. сначала он запускался из под M'Word (текстовый редактор), позже когда я начал от него избавляться, он начал запускаться из под Менеджера процесов, который был установлен на флэху, короче это самый настоящий вирус, настоящее не куда, да и кстати он запускаеться и из под безопасника и не позволяет ставить антивиры т.е. любые окна инсталяторов антивира вирус принудительно закрывает из завершает все их процессы. Вирус храниться в папках
1. C:\D.and S\пользователь\Temp\ для Висты и 7-ки С:\Profile\и т.д.
2. c:\WINDOWS\system32\
3. c:\Temp\
Во 2-м скорее управляющие модули. т.к. temp люди чистят после чего вирус создает себе новых клонов и ост. в temp( короче чистка temp) не помогает.
Вирус по ходу от каких то казлов которые даржат сайт порнухи, на банере с двух сторон изображена девушка (картика кстати отстойного качества, видимо сильно сжали) и сообщение с просьбой отправить СМС с текстом 1850101786542 на номер 3381, также вверху банера адрес сайта pornhub точка ком.
В общем мои обычные методы для этого вируса не подействовали, пришлось прибегать к крайним(после таких обыно все находиться, но это долго).
И так начнем, для начала
1) скачайте minDrWebLiveCD-5.0.3.iso это это программный продукт, основанный на стандартном антивирусном сканере Dr.Web. Он позволяет
восстановить систему в тех случаях, когда вследствие вирусной активности не представляется возможным произвести загрузку компьютера с жесткого диска обычным способом. С помощью диска скорой антивирусной помощи вы можете не только очистить свой компьютер от инфицированных и подозрительных файлов, но и попытаться вылечить зараженные объекты. Можно скачать сдесь
http://planetsoft.3dn.ru/load/mindrweblivecd_5_0_3/33-1-0-100 Лиюо с офицального сайта Доктор Вэба
2) запишите на болванку (чистый диск), это можно сделать с помощью Nero
3) перезагрузите ваш компьютер, при загруске ПК войдите в биос и выставьте загруску с DVD (это делается во вкладке Boot), при этом вставьте диск с minDrWebLiveCD-5.0.3, и если вы все еще находитесь в биосе нажмите F10 и подтвердите ДА, после этого ваш ПК снова перезагрузиться и начнет загруску со спаительного диска, при загруске будет предоставлен выбор в каком режиме грузиться можете остаться на верхней строке, или для опытных пользователей перейти на строку ниже(безопасный режим)
4)После загруски с диска вам откроется рабой стол после запуститься drweb или запустите сами, выберите -все диски, либо -полная проверка, после чего нажмите start, и ждите все зависит от того сколько у вас памяти в ПК. после всей проверки он выдаст вам все что удалось обнаружить, поставитьте везде галочки и нажмите Delete. Потом можете перезагрузиться не забудьте снова поменять в биосе загруску на жесткий диск (ничего страшного нопросто будет дольшо загружаться, если забудите).
После проверки он у меня нашел в
C:\D.and S\пользователь\Temp\4 файла
c:\WINDOWS\system32\ около 10 файлов
c:\Temp\тоже около десятка
Все были с разными именами, и расширение DLL
Ну вот вобщем и все может кому поможет, удачи. 
Если кому нужна помощь пишите в асю и или мыло на главной странице сайте с правой стороны.
|
| |
| |
| Optimus | Дата: Четверг, 10.06.2010, 23:15 | Сообщение # 2 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 8
Статус: Offline
| Еще одного вымогателя встретил, знакомая приняла сообщение в контакте с сслкой на картинку, но это была не просто картинка, это был вирус содержащий картинку, чтобы заразиться надо эту картинку открыть, сообщение вылазит при входе на сайты типа контакта и мэйла, где нужно вводить свой лог и пароль. Вылазит что ваш аккаунт заблокировали за (к примеру за спам) и чтобы разблокировать надо отправить текст сообщения 6712454 или 6712784 (каждый раз меняется) на номер 6005(не изменяется).
Чтобы убрать эту хрень надо зайти по адресу C:\WINDOWS\system32\drivers\etc\ находим файлик hosts, открываем его в любом текстовом редактором примеру Notepad++, находим строку
127.0.0.1 localhost
и убираем все что после нее, сохраняем и закрываем. Вот и все, удачи.
|
| |
| |
| дрон | Дата: Четверг, 10.02.2011, 21:52 | Сообщение # 3 |
 Рядовой
Группа: Пользователи
Сообщений: 1
Статус: Offline
| только скачал Acronis.Disk.Director.Suite.10.0.2161.Rus.Incl.Crack (Serial)...он требует серийный номер продукта как бы мне его раздобыть?
|
| |
| |
| Optimus | Дата: Понедельник, 21.03.2011, 02:04 | Сообщение # 4 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 8
Статус: Offline
| Толковая инструкция по ключам защиты 1С как деляться и ваще как поставляються
http://www.online-ufa.ru/content/articles/marking_security_keys_1c/
|
| |
| |
