Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (5) [1] 2 3 ... Последняя » ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> Порнобанер с sms, блокировка винды и любых исполняемых файлов
Rumata | Профиль
Дата 27 Ноября, 2009, 13:43
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Порнобаннер с sms, блоктрует все исполняемые файлы, таксменеджер, редактор реестра. Родился по идеее вчера. Ни один LiveCD с антивирусом не опознает наличие вируса. Лочит как XP так и W7, причем даже в безопасном режиме.

Пока нашел только один совет

Цитата
прописал в реестре блокировку запуска таскменеджера и регедита в HCU\software\microsoft\windows\current version\police
сам вирус обнаружился как скрытый файл %windows%\system32\iHXFW.dll
файл отложил для дальнейшего изучения. запуск ее ни в реестре ни в %windows% не обнаружился


трейд у каспера

http://forum.kaspersky.com/index.php?showt...ic=146645&st=20


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
34/59561   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
ordruf | Профиль
Дата 27 Ноября, 2009, 13:47
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 598
Регистрация: 15.01.09
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


сам бы файлик достать, на форуме лежит бред какойто, я б его Comodo скормил


____________________
user posted image
PMUsers Website
2/2160   
Rumata | Профиль
Дата 27 Ноября, 2009, 13:51
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



ordruf
сча достану, правда не знаю как аттачить ... машина сейчас гоняется на LiveCD DrWeb но думаю результата не будет, зато там на LiveCD есть MC. так что способ опубликовать файл найду smile.gif


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
26/59561   
Rumata | Профиль
Дата 27 Ноября, 2009, 13:58
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



%windows%\system32\AFoPZ.dll
%windows%\system32\iHXFW.dll

%windows%\system32\sdra64.exe
%windows%\system32\VlPUQ.dll

DLL указанных на форуме касперского на больной машине не обнаружено


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
6/59561   
ordruf | Профиль
Дата 27 Ноября, 2009, 14:03
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 598
Регистрация: 15.01.09
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


на форуме Comodo вроде тихо, но конфикера именно он первый распознал и лечил


____________________
user posted image
PMUsers Website
1/2160   
Nikolas | Профиль
Дата 27 Ноября, 2009, 14:04
Quote Post




Group Icon

Группа: Banned
Сообщений: 3070
Регистрация: 30.04.08
Авторитет: 35
Вне форума

Предупреждения:
(100%) XXXXX


Rumata может есть какие то аналогичные подозрительные? Судя по этим двум именам - название файла состоит из 5-ти английских букв, не несущих смысловой нагрузки. При чём буквы как большие так и маленькие. Больших больше.
Вообще хорошо бы размер в байтах знать этих файлов...
У меня к примеру файлов, походящих под эту маску, всего 18. И ни в одном из них в названии нет символов верхнего регистра...


____________________
Quod licet Iovi, non licet bovi
PMEmail PosterUsers Website
8/11461   
Bimer | Профиль
Дата 27 Ноября, 2009, 14:14
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


У меня у знакомого на ноуте похожий случай. Пока гоняю CureIt! Доктора Вэба, в одной из папок найдена куча файлов вида CorHk.dll - то есть бессмысленный набор букв различного регистра с расширением dll. Распознается, как BackDoor.Siggen.3863
Оно - не оно пока сказать не готов, закончу чистку - отпишусь

Отредактировал Bimer - 27 Ноября, 2009, 14:17
PMEmail Poster
27/1209   
Nikolas | Профиль
Дата 27 Ноября, 2009, 14:17
Quote Post




Group Icon

Группа: Banned
Сообщений: 3070
Регистрация: 30.04.08
Авторитет: 35
Вне форума

Предупреждения:
(100%) XXXXX


Bimer не просто бессмысленный набор букв, а набор из 5-ти букв! Сообщите плиз размер файла в байтах, если возможно.


____________________
Quod licet Iovi, non licet bovi
PMEmail PosterUsers Website
2/11461   
Rumata | Профиль
Дата 27 Ноября, 2009, 14:18
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Bimer
мы на машине под вендой вообще ничего запустить не можем, пашем ее с LiveCD


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Bimer | Профиль
Дата 27 Ноября, 2009, 14:19
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


Nikolas
К сожалению, доктор их уже похачил...
PMEmail Poster
2/1209   
Bimer | Профиль
Дата 27 Ноября, 2009, 14:21
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


Rumata
Я работаю в защищенном режиме.
Кстати, я заметил, что в моем случае баннер вылазил при проявлении сетевой активности - т.е. даже в защищенном режиме с поддержкой сети при попытке обращения к сети
PMEmail Poster
2/1209   
Rumata | Профиль
Дата 27 Ноября, 2009, 14:31
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Bimer
в сейфмоде банерок также имеет место быть, и также все залочено, попробуем оставить без сети машинку


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Bimer | Профиль
Дата 27 Ноября, 2009, 16:24
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


В общем и целом так:
CureIt! нашел файлов типа "5 английских букв различного регистра с расширением dll"
В папке C:\Documents and Settings\Имя_Пользователя\Local Setting\Temp\ - 11шт.
В папке %windows%\system32\ - 2шт.
В папке %windows%\temp\ - 1шт.

Для чистоты эксперимента AVZ запускать не стал

После перезагрузки баннер пропал.

Проблему с запуском regedit и Диспетчера задач пришлось решать путем загрузки с LiveCD и правкой веток
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies

Лично я там оставил только раздел Explorer, остальные посносив нафиг (особенно это касается System, где, собственно и сидят замки на запуск)
PMEmail Poster
15/1209   
Rumata | Профиль
Дата 27 Ноября, 2009, 16:35
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Bimer
мы плюнули таки, венду переустанавливаем


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Bimer | Профиль
Дата 27 Ноября, 2009, 17:39
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


Rumata
Это уж кому как удобнее.
Я предпочитаю вычистить, дабы потом не заморачиваться поисками специфического софта, который зачастую использует пользователь. А также возможных криков боли о том, что было заботливо спрятано в корзину на рабочем столе...

Формат жесткого диска уверенно лидирует в списке антивирусов. biggrin.gif

Отредактировал Bimer - 27 Ноября, 2009, 17:58
PMEmail Poster
19/1209   
Heavenward | Профиль
Дата 27 Ноября, 2009, 18:57
Quote Post



Stalker
Group Icon

Группа: Аборигениха
Сообщений: 1121
Регистрация: 06.02.07
Авторитет: 9
На форуме

Предупреждения:
(0%) -----


Кста, этой осенью, пока нас не было дома, тож хто-та сидел за моим компом.
Приезжаю, а у меня там ентот порнобаннер. Где они его подхватили, хз.
С дохтуром Вебом ничего не получалось. Он че-та не мог справицо с баннером. Я пользуюсь в основном лисичкой. Поползала по форумам и нашла совет - установить adblock plus.
Вероятно, это не выход из ситуации. Лучше было бы переустановить винду, но пока вроде все ок.
Ы, не знаю, по теме я или нет..
Сорри, если что blush2.gif


____________________
Бесплатный английский, наша группа вконтакте и на фейсбуке
PMEmail Poster
11/1160   
Nikolas | Профиль
Дата 27 Ноября, 2009, 19:03
Quote Post




Group Icon

Группа: Banned
Сообщений: 3070
Регистрация: 30.04.08
Авторитет: 35
Вне форума

Предупреждения:
(100%) XXXXX


Heavenward не =) У Вас была другая проблема. Если бы Вы подхватили вирус, как описывают в этом трэде, то Вы бы и FireFox вообще не запустили smile.gif


____________________
Quod licet Iovi, non licet bovi
PMEmail PosterUsers Website
11/11461   
Aquarius | Профиль
Дата 27 Ноября, 2009, 19:19
Quote Post




Group Icon

Группа: VIP
Сообщений: 1417
Регистрация: 10.05.04
Авторитет: 14
Вне форума

Предупреждения:
(0%) -----


а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).
PMEmail PosterUsers Website
10/4378   
Bimer | Профиль
Дата 27 Ноября, 2009, 20:19
Quote Post




Group Icon

Группа: Абориген
Сообщений: 264
Регистрация: 27.11.07
Авторитет: 7
Вне форума

Предупреждения:
(0%) -----


Цитата(Aquarius @ 27 Ноября, 2009, 17:19)
а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).

Кстати о птичках.
После восстановления работоспособности ноута (в каком объеме она восстановлена станет ясно после того, как владелец его погоняет, так как на первый взгляд все в норме) выяснилось, что в качестве антивиря был установлен "горячо любимый" мною Касперский... Причем согласно имеющимся данным - свежеобновленный и вполне работоспособный. Он и остался дальше "сторожить", правда не знаю - чего он там так насторожит

Отредактировал Bimer - 27 Ноября, 2009, 20:30
PMEmail Poster
12/1209   
Rumata | Профиль
Дата 27 Ноября, 2009, 20:56
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Bimer
дело в том что мы по ходу действия других LiveCD антивирей повредили работу самого вируса. в результате начало фиксится контекстное меню и дабл клик, машина просто уходила в ребут.

веселый зверь вылез на просторы, ничего не скажешь.

владелец машины просматривает постоянную группу сайтов, по прону не лазит, видимо кто-то "удачно" продал траф через iframe


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
10/59561   

Topic OptionsСтраницы: (5) [1] 2 3 ... Последняя » Start new topic Start Poll 

 



[ Script Execution time: 0.1053 ]   [ 13 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top