Новый SMS-вирус, Ёбтваюмать... |
Здравствуйте, гость ( Вход | Регистрация )
Новый SMS-вирус, Ёбтваюмать... |
Гость_MrYuran_* |
8.6.2011, 20:01
Сообщение
#41
|
Гости |
В общем, почти победил эту херь.
Она тупо подменила юзеринит.ехе и таскмгр.ехе. Скопировал с древнего колхацкерского реаниматора, загрузился - локеру .здец. Одна мелочь осталась- вместо рабочего стола и незаменимой кнопочки пуск - безжизненные обои. Но это уже завтра... |
|
|
8.6.2011, 20:04
Сообщение
#42
|
|
Активный участник Группа: Пользователи Сообщений: 7045 Регистрация: 22.11.2009 Из: Уфа Пользователь №: 18 |
в реестре надо прописать эксплорер
|
|
|
Гость_MrYuran_* |
8.6.2011, 20:34
Сообщение
#43
|
Гости |
|
|
|
8.6.2011, 20:38
Сообщение
#44
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
|
|
|
Гость_MrYuran_* |
9.6.2011, 7:19
Сообщение
#45
|
Гости |
В общем, все эти локеры - такой же лохотрон, как "залочка" модемов под операторов, которая лечится одной АТ-командой.
Общий рецепт такой: 1. Грузимся с boot-CD (неважно, Win или Lin) 2. Находим все изменённые со времени "Ч" (или чуть раньше) ехе-шники. У меня оказались изменёнными таскманагер и юзеринит. Также в аппликейшн дата оказались файлы типа 23342222.exe и Wlooooooo...exe. Ну и ещё какие-то ехе в Windows/temp. Их сразу под снос. 3. Из живой системы (или с диска реаниматора) переносим покалеченные файлы. 4. В реестре возвращаем на место ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe 5. Перезагружаемся, радуемся жизни. 6. Неплохо бы установить хоть какой-нибудь антивирусник, а лучше поставить параллельно убунту для лазания по инетам. PS: несерьёзный какой-то вирус. Получить доступ к системе и никак там не укорениться - какая-то студенческая поделка... Слазил на сайт доктора вэба. Лохотрон по разлочке не меньший, чем с локером. Общий смысл (мсм) - когда всё будет позади, не забудьте приобрести DrWeb. |
|
|
9.6.2011, 17:32
Сообщение
#46
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
В общем, все эти локеры - такой же лохотрон, как "залочка" модемов под операторов, которая лечится одной АТ-командой. Общий рецепт такой: 1. Грузимся с boot-CD (неважно, Win или Lin) 2. Находим все изменённые со времени "Ч" (или чуть раньше) ехе-шники. У меня оказались изменёнными таскманагер и юзеринит. Также в аппликейшн дата оказались файлы типа 23342222.exe и Wlooooooo...exe. Ну и ещё какие-то ехе в Windows/temp. Их сразу под снос. 3. Из живой системы (или с диска реаниматора) переносим покалеченные файлы. 4. В реестре возвращаем на место ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe 5. Перезагружаемся, радуемся жизни. 6. Неплохо бы установить хоть какой-нибудь антивирусник, а лучше поставить параллельно убунту для лазания по инетам. PS: несерьёзный какой-то вирус. Получить доступ к системе и никак там не укорениться - какая-то студенческая поделка... Слазил на сайт доктора вэба. Лохотрон по разлочке не меньший, чем с локером. Общий смысл (мсм) - когда всё будет позади, не забудьте приобрести DrWeb. Не всегда помогает. У мене один раз было такое, что систему пришлось переустанавливать. Зараза послала реестр в /dev/ass и восстановить обратно оказалось просто нереально. |
|
|
9.6.2011, 18:42
Сообщение
#47
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Мне такие же подобные "неизлечимые" попадали.
С нетривиальными методами автостарта через собственный драйвер. Чтобы злодея гарантированно выкосить вручную, потребуется глубокое знание Win. А это не такой уж и малый багаж, как может показаться изначально. Например такие способы запуска существуют. Слазил на сайт доктора вэба. Лохотрон по разлочке не меньший, чем с локером. Общий смысл (мсм) - когда всё будет позади, не забудьте приобрести DrWeb. Согласен на все 100. Пару раз пытался чужие компы "подлечить по-быстрому" через тот сервис. Но, почему-то оба раза разлочка оказывалась устаревшей и негодной. Приходилось применять ручной метод с использованием старого boot-CD WinPE W2K5. Интересно, оба компа зацепили "свежатину" на портале "Вконтакте". |
|
|
Гость_MrYuran_* |
9.6.2011, 19:40
Сообщение
#48
|
Гости |
Цитата(?ELF) Интересно, оба компа зацепили "свежатину" на портале "Вконтакте". Мой поцыэнт, похоже, тоже. Агент вконтакта в трее висит. А я все удивлялся - где это народ умудряется такой дряни нахватать. |
|
|
9.6.2011, 19:52
Сообщение
#49
|
|
Активный участник Группа: Пользователи Сообщений: 7045 Регистрация: 22.11.2009 Из: Уфа Пользователь №: 18 |
я это дерьмо в гугле ловил
|
|
|
9.6.2011, 21:00
Сообщение
#50
|
|
посіпака Хунти Группа: Мод Сообщений: 20016 Регистрация: 21.11.2009 Из: Vinnitsa Пользователь №: 11 |
|
|
|
Гость_AlexKlm_* |
9.6.2011, 21:31
Сообщение
#51
|
Гости |
я это дерьмо в гугле ловил Я уже давно не ловил, с тех пор как поставил свой собственный страж. Уничтожает всякую уйню на подходе. IE не успевает даже тело вируса на диск запейсать. Дайте ссылоку куда сходить чтобы заразиться, а я расскажу как это будет выглядеть. |
|
|
9.6.2011, 22:40
Сообщение
#52
|
|
ДИКТАТОР Группа: Мод Сообщений: 23809 Регистрация: 20.11.2009 Из: Житомир Пользователь №: 3 |
|
|
|
Гость_Максим Зиновьев_* |
9.6.2011, 22:57
Сообщение
#53
|
Гости |
|
|
|
9.6.2011, 23:00
Сообщение
#54
|
|
ДИКТАТОР Группа: Мод Сообщений: 23809 Регистрация: 20.11.2009 Из: Житомир Пользователь №: 3 |
|
|
|
Гость_Максим Зиновьев_* |
9.6.2011, 23:07
Сообщение
#55
|
Гости |
Ты тему-то читал?
Про что она, эта тема? Угадай с трёх раз? Про восемьзячие выперды? ... Или? |
|
|
9.6.2011, 23:08
Сообщение
#56
|
|
ДИКТАТОР Группа: Мод Сообщений: 23809 Регистрация: 20.11.2009 Из: Житомир Пользователь №: 3 |
|
|
|
Гость_Максим Зиновьев_* |
9.6.2011, 23:09
Сообщение
#57
|
Гости |
Клоуны скушные. К тому-же мешали мне в этой теме решить проблему.
А, значит? Сами проблему наслали? Или где? ... |
|
|
9.6.2011, 23:14
Сообщение
#58
|
|
ДИКТАТОР Группа: Мод Сообщений: 23809 Регистрация: 20.11.2009 Из: Житомир Пользователь №: 3 |
|
|
|
10.6.2011, 18:01
Сообщение
#59
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Какое есмь средство, чтобы из-под соседней винды пообладать неактивным в данный момент локальным реестром? ERD Commander. От него есть отдельные куски для запуска из-под венды. В этой теме, бля, я настаиваю, шутки, дебилолинуксные непонятночьи загрузчики- НЕ УМЕСТНЫ. (точка) Обсуждаются только методы борьбы с проблемой. [b]/dev/ass, Кирилл, идёт к ряженым казАкам, николашкам и его гемофиличному отродью.[/b] Заведите себе, линуксойды и макосьники новую тему, и там себе милУйтесь, ага? Сам дурак. |
|
|
10.6.2011, 19:17
Сообщение
#60
|
|
Активный участник Группа: Пользователи Сообщений: 7045 Регистрация: 22.11.2009 Из: Уфа Пользователь №: 18 |
Winternals ERD
|
|
|
Текстовая версия | Сейчас: 29.3.2024, 13:18 |