Civilization и Total War

 

Имя
Пароль  
Забыли пароль?
Регистрация


CIVru.com / Обо всем / Kaspersky
<< . 1 . 2 . 3 .  . 5 . 6 . 7 . 8 . 9 . 10 . >>   Версия для печати . Вверх
Автор Сообщение
xnektox3
Участник



Репутация: 978(???)
# Дата: 16 Янв 2010 19:52:07 Цитата

Это который предлагает отправить СМС на некий номер, получить в ответ код, и ввести его в строку "херни", и "херня" якобы закроется? Короче говоря - Вирус-Вымогатель? Простой способ избавится от него - скачать "anti autoran". Или покопаться в диске "С". Хотя он может (часа через два) удалиться сам, но вдруг он что-то НАТВОРИТ? ВАУ!

fantakt
Участник



Репутация: 1257(???)

# Дата: 16 Янв 2010 20:39:24 Цитата

Нет, сейчас гораздо более изощренные формы уже, блокирующие все что можно... Авторан не поможет.

xnektox3
Участник



Репутация: 978(???)
# Дата: 19 Янв 2010 13:49:15 Цитата

fantakt:Авторан не поможет
Ты прав.

Rins
Участник



Репутация: 1212(???)
# Дата: 24 Янв 2010 17:25:26 Цитата

Самый простой способ - загрузиться с erd-а, почистить автозагрузку в реестре и удалить всё во временных папках, против большинства таких попрошаек помогает. Есть заразы и посложнее, но тут многим проще будет переустановить винду из бэкапа или вообще с нуля.

fantakt
Участник



Репутация: 1257(???)

# Дата: 24 Янв 2010 18:45:06 Цитата

Все лечится, надо только захотеть Улыбка Сейчас вот шквал идет рекламного окна eKav. Эта зараза блокирует все, реестр, диспетчер задач, запуск антивирусной программы, запуск ехе-шников любых, даже восстановление системы. Вот все кроме последнего я лечу, а где там запрещается в политиках восстановление системы, никак найти не могу Огорчение

kicks
Участник


Репутация: 1556(???)

# Дата: 24 Янв 2010 21:09:40 Поправил: kicks Цитата

fantakt

Не пробовал?

http://virusinfo.info/deblocker/

http://news.drweb.com/show/?i=304&c=9&p=0

ЗЫ: У меня на семере стоит бесплатный http://www.microsoft.com/security_essentials/ - пока не подводил. Правда я по сайтам где можно подхватить заразу и не лазаю Смех

fantakt
Участник



Репутация: 1257(???)

# Дата: 24 Янв 2010 23:49:35 Поправил: fantakt Цитата

Так я тоже не лазаю Улыбка Я полинета перерыл, пока собирал по крохам как и где эту заразу лечить. Самое обидное, что люди сами ее с инета скачивают и себе подвешивают. А еще потом СМС шлют сдуру. Сегодня тетка жаловалась, ей 250 руб. сняли за СМС. И мне отдала еще за лечение Улыбка И кстати, ты ссылки дал на другие окна... В этом сезоне мода пошла на новый хит



И вот эта, не побоюсь этого слова, гнида, завешивает вообще все. Найти бы автора да руки ему выдрать и в жопу засунуть.

fantakt
Участник



Репутация: 1257(???)

# Дата: 25 Янв 2010 00:00:47 Цитата

У меня 2 операционки на компе ХР и 7, подцепил дрянь на семерке, увы, хваленая MS Essentials оказалась не на высоте и в мой комп под видом обновления Adobe Flash Player 10 влетело стадо слонов-троянов, всего 16! Влетело во все диски где были папки Windows, очистить удалось благодаря запуску другой ОС ХР и Касперскому - полной проверке плюс надо банально вычистить все корзины TEMP&RECYCLER на всех дисках!

http://virusinfo.info/showthread.php?t=65773

Кстати...

kaizer
Судья



Репутация: 1798(???)
# Дата: 17 Мар 2010 15:15:36 Поправил: kaizer Цитата

так народ хто может помочь. Борюсь с одним монстром - свежим и очень мощным

Пока нашел что главное тело запускается svchost.exe -k trchsrv (не подделкой а настоящим svchost), он записывает себя в hklm\software\microsoft\windowsnt\currentversion\svchost и запускается с как и другие службы ядра, в процессэксплорере ее никак не отличишь от системы, все имеет осмысленные цифровые подписи. Этот процесс пытается запустить другие самые разнообразные, которые уже ловятся каспером как trojan.win32.scar.bvic trojan.win32.scar.bgpm backdoor.win32.kraftcot.ov и многие другие, некоторые из них пытаются встать службами, некоторые дальше тащат что-то из инета. Так же в систем 32 нашел пару скрытых DLL начинающихся на trch - причем при старте с флешки ни каспер ни веб и нод их не определяют, но точно это он. Я не могу найти модуль, который вписывает svchost.exe -k trchsrv в реестр. После ручной чистки вроде бы все хорошо, но через 2 дня он опять там и люди вроде бы никуда не лазили

Вот такая хрень - судя по датам порожденных троянов вещь довольно свежая даты первого обнаружения троянов поcле 7-го марта

PS забыл маскируется под proxy auto-discovery service

xnektox3
Участник



Репутация: 978(???)
# Дата: 17 Мар 2010 15:20:20 Цитата

kaizer
Я плохо разбираюсь в этом - пиши лучше fantakt'у, он должно быть понимет.

kaizer
Судья



Репутация: 1798(???)
# Дата: 17 Мар 2010 15:33:22 Цитата

kicks:ЗЫ: У меня на семере стоит бесплатный http://www.microsoft.com/security_essentials/ - пока не подводил. Правда я по сайтам где можно подхватить заразу и не лазаю Смех
у меня уже пробивался несколько раз

fantakt
Участник



Репутация: 1257(???)

# Дата: 17 Мар 2010 18:14:25 Поправил: fantakt Цитата

Я обычно удаляю все, что в систем32 образовалось за последние несколько дней... У меня сейчас новый прикол, у клиента заблокирован доступ к сайтам drweb Улыбка

bakulenko
Участник


<
Репутация: 906(
???)
# Дата: 17 Мар 2010 18:34:38 Цитата

fantakt:У меня сейчас новый прикол, у клиента заблокирован доступ к сайтам drweb
А он, случаем, не в hosts прописывает левые IP для серваков drweb?

Talanius
Участник


Репутация: 936(???)
# Дата: 17 Мар 2010 18:58:18 Поправил: Talanius Цитата

kaizer:но через 2 дня он опять там и люди вроде бы никуда не лазили
либо все-таки лазили, либо где-нибудь на флэшке пакость остается - ты полечил, а они флэшку запихали и все по новой...
вообще в особо сложных случаях проще снести винду нахрен, поставить с нуля, снять образ и не забывать ставить нормальный антивирь, с регулярным(не реже раз в неделю) обновлением

если винду очень нужно сохранить, добро пожаловать сюда virusinfo.info , только обязательно читаем правила обращения за помощью

fantakt:У меня сейчас новый прикол, у клиента заблокирован доступ к сайтам drweb
чистим внутренности файлика hosts


З.Ы. когда лечу друзей и знакомых, первым делом скачиваю свежую DrWeb CureIt, гружусь с какого-нибудь СДюка с виндой(можно использовать Hiren`s bootCD - там есть миниВиньХР), запускаю CureIt и сканирую жесткий. Если на жестаке слишком много всего, а времени мало, можно сканировать выборочно - в первую очередь system32, корни разделов, и Documents and settigs. Из под самой зараженной системы лечиться беспонтово, но если очень хочется, хорошим помощником в исследовании системы, является AVZ (не забываем скачивать к ней свежие базы). Только не забываем, что это не антивирус. а утилита - здесь мозг включать надо Подмигивание

З.З.Ы. Ну а вообще как известно, самым лучшим способом не заболеть является профилактика - пользуйтесь антивирями, только не каким-нибудь ломаным каспером пятилетней давности, а нормальными свежими версиями со свежими базами. Сам уже несколько лет сижу на каспере, его-же, только корпоративный использую на работе - проблемы конечно бывают, но не часто (тьфу, тьфу, тьфу)

kaizer
Судья



Репутация: 1798(???)
# Дата: 17 Мар 2010 19:05:43 Цитата

Talanius:когда лечу друзей и знакомых, первым делом скачиваю свежую DrWeb CureIt, гружусь с какого-нибудь СДюка с виндой(можно использовать Hiren`s bootCD - там есть миниВиньХР), запускаю CureIt и сканирую жесткий.
Не видит он его

Talanius
Участник


Репутация: 936(???)
# Дата: 17 Мар 2010 19:15:06 Цитата

kaizer:Не видит он его
ну тогда AVZ тебе в помощь Улыбка
кстати после лечения, поставь своим знакомы запрет на запуск исполняемых файлов со съемных носителей, и отключи службу определения оборудования оболочки - это гораздо эффективнее всяких там NoDriveTypeAutorun

fantakt
Участник



Репутация: 1257(???)

# Дата: 18 Мар 2010 00:51:19 Цитата

bakulenko:А он, случаем, не в hosts прописывает левые IP для серваков drweb?
Нет, там я в первую очередь проверил

kaizer
Судья



Репутация: 1798(???)
# Дата: 18 Мар 2010 18:02:39 Цитата

Вроде победил - я сохранил себе файл с вирусом - онлайн проверку на сайте касперсокго проходит - говорят нет вирусов Улыбка
Это первый вирус (или как его назвать) в моей практике имеющий цифровую подпись и встраивающий себя в ядро системы и которого не видит на сегодняшний день ни один антивирус (главнуб част), он как монстр порождает самые разнообразные вируса (которые все ловят), но сам остается невидимым ибо его считают частью системы. меня спасло то, что я наизусть помню все что запускает svchost и то не сразу заметил лишний высокоуровневый процесс и тока наблюдение за ним позволило установить что именно он порождает все остальное, кстати процесс первичного заражения так и остался загадкой и возможно он еще себя проявит

Talanius
Участник


Репутация: 936(???)
# Дата: 18 Мар 2010 19:22:13 Цитата

kaizer:Вроде победил - я сохранил себе файл с вирусом - онлайн проверку на сайте касперсокго проходит - говорят нет вирусов Улыбка
ну ты им зверюшку то отослал?

kaizer
Судья



Репутация: 1798(???)
# Дата: 18 Мар 2010 20:42:50 Цитата

да

xnektox3
Участник



Репутация: 978(???)
# Дата: 19 Мар 2010 12:10:54 Цитата

Кстати fantakt:Я обычно удаляю все, что в систем32 образовалось за последние несколько дней...
fantakt
А если обновили Виндовс?

Вспомнил, читал где-то что удалив в System32 все dll удалится и вирь. Полная чепуха что комп востановит dll, а вирус будет побежден.

fantakt
Участник



Репутация: 1257(???)

# Дата: 19 Мар 2010 12:44:21 Цитата

Восстановление системных файлов делается без проблем с ERD Commander например. Но все длл-ки удалять не надо конечно Улыбка

fantakt
Участник



Репутация: 1257(???)

# Дата: 7 Июн 2010 15:33:29 Цитата

Кто-нибудь сталкивался с Trojan.Encoder который шифрует все файлы в расширение .cool и просит зайти на http://o-trojane.22web.net/ - можете зайти поприкалываться. А потом надо заплатить 1000 рублей. У меня заказчик попал, словил эту дрянь по почте...

xnektox3
Участник



Репутация: 978(???)
# Дата: 7 Июн 2010 15:56:52 Цитата

fantakt
У меня есть прога, чтоб разшифровать зашиф-ое Энкодером. Улыбка

Lito
Пошляк и матерщинник


<
Репутация: 873(
???)

# Дата: 7 Июн 2010 16:02:18 Поправил: Lito Цитата

fantakt:и просит зайти на http://o-trojane.22web.net/ - можете зайти поприкалываться

Я бы этих умельцев меееедленно через мясорубку б пропускал. Чтоб много-много раз пожалели, что на свет родились. И что папа с мамой в детстве мозги не вколотили.

xnektox3:У меня есть прога, чтоб разшифровать зашиф-ое Энкодером. Улыбка

Выкладывай для всех. Думаю, пригодится не только fantaktу

смотрит с подозрением

А кстати, откуда она у тебя?

<< . 1 . 2 . 3 .  . 5 . 6 . 7 . 8 . 9 . 10 . >>   Версия для печати . Вверх

ОСТАВЛЯТЬ СООБЩЕНИЯ МОГУТ ТОЛЬКО ЗАРЕГИСТРИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ!

Администрация форума: editors@civru.com
Rambler's Top100
XML [?]