Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
Порнобаннер с sms,блоктрует все исполняемые файлы, таксменеджер, редактор реестра. Родился по идеее вчера. Ни один LiveCD с антивирусом не опознает наличие вируса. Лочит как XP так и W7, причем даже в безопасном режиме.
Пока нашел только один совет
Цитата
прописал в реестреблокировку запуска таскменеджера и регедита в HCU\software\microsoft\windows\current version\police сам вирус обнаружился как скрытый файл %windows%\system32\iHXFW.dll файл отложил для дальнейшего изучения. запуск ее ни в реестре ни в %windows% не обнаружился
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
ordruf сча достану, правда не знаю как аттачить ... машина сейчас гоняется на LiveCD DrWeb но думаю результата не будет, зато там на LiveCD есть MC. так что способ опубликовать файл найду
____________________
Ничто так не сближает людей, как снайперский прицел
Rumata может есть какие то аналогичные подозрительные? Судя по этим двум именам - название файла состоит из 5-ти английских букв, не несущих смысловой нагрузки. При чём буквы как большие так и маленькие. Больших больше. Вообще хорошо бы размер в байтах знать этих файлов... У меня к примеру файлов, походящих под эту маску, всего 18. И ни в одном из них в названии нет символов верхнего регистра...
У меня у знакомого на ноуте похожий случай. Пока гоняю CureIt! Доктора Вэба, в одной из папок найдена куча файлов вида CorHk.dll - то есть бессмысленный набор букв различного регистра с расширением dll. Распознается, как BackDoor.Siggen.3863 Оно - не оно пока сказать не готов, закончу чистку - отпишусь
Rumata Я работаю в защищенном режиме. Кстати, я заметил, что в моем случае баннер вылазил при проявлении сетевой активности - т.е. даже в защищенном режиме с поддержкой сети при попытке обращения к сети
В общем и целом так: CureIt! нашел файлов типа "5 английских букв различного регистра с расширением dll" В папке C:\Documents and Settings\Имя_Пользователя\Local Setting\Temp\ - 11шт. В папке %windows%\system32\ - 2шт. В папке %windows%\temp\ - 1шт.
Для чистоты эксперимента AVZ запускать не стал
После перезагрузки баннер пропал.
Проблему с запуском regedit и Диспетчера задачпришлось решать путем загрузки с LiveCD и правкой веток HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
Лично я там оставил только раздел Explorer, остальные посносив нафиг (особенно это касается System, где, собственно и сидят замки на запуск)
Rumata Это уж кому как удобнее. Я предпочитаю вычистить, дабы потом не заморачиваться поисками специфического софта, который зачастую использует пользователь. А также возможных криков боли о том, что было заботливо спрятано в корзину на рабочемстоле...
Формат жесткого диска уверенно лидирует в списке антивирусов.
Кста, этой осенью, пока нас не было дома, тож хто-та сидел за моим компом. Приезжаю, а у меня там ентот порнобаннер. Где они его подхватили, хз. С дохтуром Вебом ничего не получалось. Он че-та не мог справицо с баннером. Я пользуюсь в основном лисичкой. Поползала по форумам и нашла совет - установить adblock plus. Вероятно, это не выход из ситуации. Лучше было бы переустановить винду, но пока вроде все ок. Ы, не знаю, по теме я или нет.. Сорри, если что
а как это вирус подхватывается? И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).
а как это вирус подхватывается? И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).
Кстати о птичках. После восстановления работоспособности ноута (в каком объеме она восстановлена станет ясно после того, как владелец его погоняет, так как на первый взгляд все в норме) выяснилось, что в качестве антивиря был установлен "горячо любимый" мною Касперский... Причем согласно имеющимся данным - свежеобновленный и вполне работоспособный. Он и остался дальше "сторожить", правда не знаю - чего он там так насторожит
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
Bimer дело в том что мы по ходу действия других LiveCD антивирей повредили работу самого вируса. в результате начало фиксится контекстное меню и дабл клик, машина просто уходила в ребут.
веселый зверь вылез на просторы, ничего не скажешь.
владелец машины просматривает постоянную группу сайтов, по прону не лазит, видимо кто-то "удачно" продал траф через iframe
____________________
Ничто так не сближает людей, как снайперский прицел