Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (7) [1] 2 3 ... Последняя » ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> Windows заблокирован. Отправьте денег
Rumata | Профиль
Дата 9 Июля, 2009, 10:15
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



что самое прикольное, народ таки платит, факт. причем отправив три четыре SMS стоимостью 35 грн. потом зовет меня что бы я за символические 100 грн. или пиво это починил. гадость сия может проступать в виде нескольких модификаций. на сайде DrWEb был даже выложен генератор ключей. есть возможность того что "само рассосется" через пару часов.

но лучшая возможность не лазить х.. знает где

вероятная точка проникновения вируса, наш дорогой и всеми любимый IE

Присоединённые изображения
Присоединённое изображение


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
38/59560   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
Nikolas | Профиль
Дата 9 Июля, 2009, 10:25
Quote Post




Group Icon

Группа: Banned
Сообщений: 3070
Регистрация: 30.04.08
Авторитет: 35
Вне форума

Предупреждения:
(100%) XXXXX


Rumata вообще то точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля.
Кейген полмагает, лично пробовал.
И вроде как через 2-3 часа блокировка должна сама исчезнуть.


____________________
Quod licet Iovi, non licet bovi
PMEmail PosterUsers Website
1/11461   
simpyalex |
Дата 9 Июля, 2009, 10:43
Quote Post



Unregistered









баян
VaH | Профиль
Дата 9 Июля, 2009, 11:16
Quote Post



зрю в корень
Group Icon

Группа: Gold Member
Сообщений: 852
Регистрация: 11.02.09
Авторитет: 58
Вне форума

Предупреждения:
(0%) -----


так же видел как нижнюю половину окна ИЕ появляется мега банер с порносодержанием который нельзя закрыть, где пишется что мол хочешь убрать отправь СМС на номер бла бла ... юзеры отпраяли, а он не уберался.. так они раздасадованные обиженно несли ПК ко мне))) а лечилось простым сбросом настроек ИЕ к дефолтным и указанием пользователя не пользоватся ИЕ


____________________
“- Рыба, — сказал он, — я тебя очень люблю и уважаю. Но я убью тебя прежде, чем настанет вечер.” (с) Э. Хемингуэй. Старик и Море.
PMEmail Poster
3/2254   
totoro | Профиль
Дата 9 Июля, 2009, 13:05
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 835
Регистрация: 17.01.09
Авторитет: 26
Вне форума

Предупреждения:
(0%) -----


Rumata
Микрософту ещё учиться и учиться зарабатывать бабки. lol.gif
Заблокировало пиратскую винду - отправь смс стоимостью 69 долларов wink.gif
PMEmail PosterUsers Website
5/3564   
Пэтро | Профиль
Дата 9 Июля, 2009, 15:23
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Нефиг по порносайтам лазить. И запускать скачанные оттуда activex библиотеки - запускаемые файлы.
PMEmail Poster
3/20840   
Inquisitor | Профиль
Дата 9 Июля, 2009, 21:37
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 654
Регистрация: 03.09.07
Авторитет: 23
Вне форума

Предупреждения:
(0%) -----


Баян, не баян, а актуальности тема не теряет:


Цитата(Nikolas @ 9 Июля, 2009, 9:22)
точка проникновения на сколько я помню кодаки. А именно их установка пользователем. Т.е. юзер скачивает какие то навороченные кодаки, инсталит их, его просят перезагрузиться и вуаля.


Не только и не столько кодЕки. Любимый источник - программы для повышения рейтинга Вконтакте, левые даунлодеры, кряки и прочая гадость. Мне попадался залоченный комп, в который эта кака пролезла через jpg-картинку. Причем через Файрфокс-2. Правда - с порносайта, факт =)

Цитата(Nikolas @ 9 Июля, 2009, 9:22)
Кейген полмагает, лично пробовал.


Увы, не всегда.

Цитата(Nikolas @ 9 Июля, 2009, 9:22)
И вроде как через 2-3 часа блокировка должна сама исчезнуть.


Скорее всего это кому-то попалась "отладочная" версия, убежавшая от автора =)

Цитата(Пэтро @ 9 Июля, 2009, 14:20)
Нефиг по порносайтам лазить. И запускать скачанные оттуда activex библиотеки - запускаемые файлы.


Истина buba.gif


На самом деле этот поганец - скорее всего разновидность дряни, именуемой Каспером "Trojan-IM.Win32.Krotten", а DrWeb'ом - "Trojan.Locker".

Случай, когда троян просто лочит комп - самый простой, загрузка с лайв-сиди, бэкап важных данных, переустановка/накат системы. Или восстановление реестра плюс тщательный поиск и убиение пакости. Вот полезная ссылка: http://support.microsoft.com/default.aspx?...kb;Ru-RU;307545

А вот одно из описаний проблемы: http://forum.kaspersky.com/lofiversion/ind...php/t50043.html

Второй по гадостности случай - когда вирус в добавку к порче реестра еще и переименовывает файлы системы, причем так, как сама винда сделать не в состоянии. Бэкап и ресетап. Или кейгены от Каспера, ДрВеба или кто там еще не поленился написать.

Ну и первое место: локеры-шифровальщики.
В дополнение к вышеупомянутым пакостям шифруют файлы заданного типа.
Вот тут приходится погеморроиться. Антивирусные компании давно выпустили тулзы, которые расшифровывают файлы. Но: нужно знать ключ. Аналитики выкладывают ключи для всех отловленных и вскрытых вирусов - а их модификаций много. Да и одна и та же зараза от версии к версии шифрует разными ключами. Последние модификации шифраторов используют 1024-битные ключи и их, насколько я знаю, до сих пор не вскрыли.

Следует учесть, что попытка расшифровать файлы с чужим ключем их необратимо портит, поэтому манипуляции надо производить на копиях.

В этом случае обычная практика - заплатить требуемую сумму. Увы =(
PMEmail PosterUsers Website
38/4025   
alexk | Профиль
Дата 9 Июля, 2009, 22:05
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Цитата("Inquisitor")

В этом случае обычная практика - заплатить требуемую сумму


Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов. Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
24/13986   
Inquisitor | Профиль
Дата 10 Июля, 2009, 13:27
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 654
Регистрация: 03.09.07
Авторитет: 23
Вне форума

Предупреждения:
(0%) -----


Цитата(alexk @ 9 Июля, 2009, 21:02)
Обычная практика по-моему - это не пользоваться IE, не запускать исполняемые файлы, скачанные из сети, если их происхождение неизвестно, и делать резервные копии своих данных. А также, поскольку речь идет о Windows, регулярно обновлять базы антивирусов.



Само собой. Просто это меры профилактические, а я рассматривал случай когда компутер УЖЕ заболел =)

Цитата(alexk @ 9 Июля, 2009, 21:02)
Заплатить требуемую сумму - это вряд ли выход, поскольку где гарантия, что после уплаты данные будут расшифрованы.

Это верно.
Но чаще всего, если ни один ключ из предложенных антивирусными компаниями не подошел, или такового еще не существует (а брутфорсинг 1024-битного ключа занимает очень много времени на не самой слабой технике), обычно плата - последний работающий метод.

ЗЫ прошу не считать, что я "поощряю терроризм".
PMEmail PosterUsers Website
24/4025   
SynkMaster | Профиль
Дата 9 Октября, 2009, 17:45
Quote Post




Group Icon

Группа: Абориген
Сообщений: 269
Регистрация: 09.10.09
Авторитет: 4
Вне форума

Предупреждения:
(0%) -----


Была и такая байда. нужно просто замочить процесс ctfmon.exe работающий из C:\windows
запустить explorer.exe с помощью "выполнить" в диспетчере. и удалить из реестра автозагрузку этого файла

Отредактировал SynkMaster - 9 Октября, 2009, 17:50


Присоединённое изображение
22/302   
mefaev | Профиль
Дата 9 Октября, 2009, 19:56
Quote Post




Group Icon

Группа: Абориген
Сообщений: 241
Регистрация: 23.09.09
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


Именно так сегодня и сделал людям smoke.gif, сначала поотрубал все из автозугрузки, а потом включая поочереди, понял что это
Цитата(SynkMaster @ 9 Октября, 2009, 15:45)
процесс ctfmon.exe работающий из C:\windows

Вот только так и не понял как безвредный ctfmon.exe, который собственно отвечает за языковую панель в трее, может приводить к подобной фигне blink.gif

PMEmail Poster
23/265   
Gear | Профиль
Дата 9 Октября, 2009, 20:21
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Цитата(mefaev @ 9 Октября, 2009, 18:56)
Вот только так и не понял как безвредный ctfmon.exe, который собственно отвечает за языковую панель в трее, может приводить к подобной фигне

Очень просто. Во первых вирус мог просто заменить этот файл на свой зараженный, во вторых даже не заменяя, просто дописаться к коду этого файла, да и другие способы есть.
PM
3/350   
XXXLer | Профиль
Дата 9 Октября, 2009, 21:40
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 755
Регистрация: 27.01.06
Авторитет: 35
Вне форума

Предупреждения:
(0%) -----


все проще. оригинальный файл лежит в %windir%\system32 bigwink.gif
PMEmail Poster
Gear | Профиль
Дата 9 Октября, 2009, 22:00
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Да. Я вообще написал про случай, когда "безвредный файл" может быть модифицирован и быть вредоноснымsmile.gif
PM
WereWolf | Профиль
Дата 9 Октября, 2009, 23:26
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


SynkMaster
а путь загрузки файла?


____________________
Время разбрасывать камни
Время и убирать пришибленных!
PMEmail PosterUsers Website
1/3990   
SynkMaster | Профиль
Дата 10 Октября, 2009, 2:25
Quote Post




Group Icon

Группа: Абориген
Сообщений: 269
Регистрация: 09.10.09
Авторитет: 4
Вне форума

Предупреждения:
(0%) -----


WereWolf
тоесть путь загрузки файла??
он работает и загружается прям из винды.
а выполняется експлорером когда идет автозапуск программ с РЕЕСТРА.
C:\windows\ctfmon.exe

Да и еще если в папке windows есть файл svchost.exe удаляйте его ТОЖЕ ВИРУС.

ОРИГИНАЛЬНЫЙ SVCHOST.EXE И CTFMON.EXE ЛЕЖАТ В \SYSTEM32
23/302   
Newton |
Дата 10 Октября, 2009, 12:36
Quote Post



Unregistered









в некоторых локальных сетях Харькова народ возмущался по поводу появления такого, причем такое появлялось вроде как после прихода мастеров настройки, когда тупо отрубали фаирволы и антивирусы...
такое встречалось после установки любителей Zver сборки винды.
4/   
simpyalex |
Дата 10 Октября, 2009, 12:53
Quote Post



Unregistered









Цитата(Newton @ 10 Октября, 2009, 11:36)
такое встречалось после установки любителей Zver сборки винды.
любят детишки разные комбайны...
а книжки читать некогда, все аськи, контакты и ютубы...
потом смотрят в список процессов и видят фигу lol.gif
2/   
WereWolf | Профиль
Дата 11 Октября, 2009, 0:47
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


SynkMaster
Стандартный вариант восстановления системы-просто загрузиться с флешки и подцепив внешний реестр, посмотреть в него. а уж если известны пути, откуда лезет дрянь-так просто вычистить оную ручками!
А ещё поймать бы написателя этой дряни..... Ух, и размялся бы я lol.gif
Хотя, спасибо ему, пока такие писатели будут-мы не останемся без нашего кусочка масличка на вкусном хлебушке bigwink.gif


____________________
Время разбрасывать камни
Время и убирать пришибленных!
PMEmail PosterUsers Website
Negent |
Дата 11 Октября, 2009, 1:50
Quote Post



Unregistered









По роду работы уже приходилось сталкиваться пока только с тем, что у народа в "ишаке" окно, которое просит отправить СМС и дать денег. Лечится Ctrl+Alt+Del. Сессию начинать заново. Дополнения, если таковые появились, в настройках обозревателя - удалять или хотя бы отключать bigwink.gif
5/   

Topic OptionsСтраницы: (7) [1] 2 3 ... Последняя » Start new topic Start Poll 

 



[ Script Execution time: 0.1472 ]   [ 13 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top