Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 25.05.2010, 19:00   #1
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Winlocker-ы и методы устранения.

Простите,но....,и это "но" уже всех.
...
Предлагаю здесь делится инфой по безболезненному,относительно,удалению заразы,если унлокеры от дяди Жени и Игоря Данилова не работают.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.05.2010, 20:26   [включить плавающее окно]   #2
BSE
Мужской Абсолютный
 
Аватар для BSE
 
Регистрация: 08.04.2009
Адрес: Минск / Владивосток
А насчёт профилактики как? Например, использование UAC (в Vista и Seven, конечно)?
__________________
Под косматой елью, в темном подземелье,
Где рождается родник, — меж корней живет старик.
BSE вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 20:40   [включить плавающее окно]   #3
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (BSE) »
А насчёт профилактики как?
не всегда помогает. Давеча приятель звонил, просил помочь разблокировать по телефону. На вопрос как же ты очередной раз умудрился - "да касперский что-то ругнулся и спросил, я ответил "Да"".
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.05.2010, 21:05   [включить плавающее окно]   #4
BSE
Мужской Абсолютный
 
Аватар для BSE
 
Регистрация: 08.04.2009
Адрес: Минск / Владивосток
Keper
Цитата (Евгений Касперский) »
нельзя отметать влияние человеческого фактора — люди не перестанут делать ошибки, и мошенники всегда с радостью воспользуются этой «уязвимостью».
__________________
Под косматой елью, в темном подземелье,
Где рождается родник, — меж корней живет старик.
BSE вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 21:51   [включить плавающее окно]   #5
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (BSE) »
А насчёт профилактики как?
Так ведь юзеры.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 21:51   [включить плавающее окно]   #6
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Alexandra
Иметь образ чистой от вирусов системы со всеми установленными и настроенными программами. В случае WinLock берём загрузочный диск с Ghost'ом, Acronis'ом или чем-то подобным и откатываем систему из образа.
Быстро, просто, эффективно
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 22:28   [включить плавающее окно]   #7
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (WestGott) »
Иметь образ чистой от вирусов системы со всеми установленными и настроенными программами. В случае WinLock берём загрузочный диск с Ghost'ом, Acronis'ом или чем-то подобным и откатываем систему из образа.
Эх...
Цитата (Ariny) »
Так ведь юзеры
Добавлено через 2 минуты

BSE, WestGott

Условия задачи: юзерский комп, на нём винлокер. Так понятно?

Добавлено через 5 минут

Мне чаще всего помогала экранная лупа. Win+U => Экранная лупа => Веб.узел Майкрософт => Браузер => Файл => Работать автономно, далее по вкусу (мне по вкусу AVZ).
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 23:16   [включить плавающее окно]   #8
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Ariny
Я с Winlock'ером ещё ни разу не встречался.
Но тонкие методы не по мне, если у юзера есть образ (который был создан мной же заблаговременно), то убью образом.
Если нет, то загружусь с Live CD Касперского, обновлю ему базы с флэшки и устрою зачистку диска C:.
Если это не поможет, тогда Format C: и установка Windows заново.

С вирусами у меня церемониться не принято
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 23:20   [включить плавающее окно]   #9
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (WestGott) »
Я с Winlock'ером ещё ни разу не встречался.
А советы уже даёшь, да ещё Alexandrе...
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 23:29   [включить плавающее окно]   #10
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Ariny
Образом эта штуковина убивается гарантированно
При помощи Format C: с переустановкой Windows тоже гарантированно убивается, но это радикальный метод и требует много времени.

Антивирусный Live CD может помочь, а может и нет, всё зависит сможет ли данный антивирус в данный момент времени распознать Winlocker'а у и вылечить от него.

Без переустановки можно попробовать грузануться с ERD Commander и посмотреть, кусты автозагрузки реестра на предмет "криминала".

И ещё, на сколько Winlocker блокирует винду?

Вызов диспетчера задач Ctrl + Shift + Esc работает?
А то может и ERD не нужен, открыл диспетчер, посмотрел процессы, нашёл подозрительный, убил его, потом запустил msconfig, нашёл ссылку на процесс в автозагрузке убил её, нашёл файл на винте и удалил.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 23:35   [включить плавающее окно]   #11
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
WestGott
Дважды эх...
Давай ещё раз? Юзерский компьютер с винлокером, образов нету, формат-це крайне нежелателен.
Антивирусный Live CD не поможет ибо
Цитата (Alexandra) »
унлокеры от дяди Жени и Игоря Данилова не работают
по условию задачи.
Цитата (WestGott) »
И ещё, на сколько Winlocker блокирует винду?
Зависит от локера.
Цитата (WestGott) »
Вызов диспетчера задач Ctrl + Shift + Esc работает?
Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 25.05.2010, 23:37   [включить плавающее окно]   #12
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие

Цитата (Ariny) »
А советы уже даёшь, да ещё Alexandrе...
Ariny
Winlocker - это подвид вируса, в общем плане методы лечения вирусов похожи, вирусы я у нерадивых юзеров выкорчёвывал, так что считаю, что могу давать советы, в меру своих скромных познаний


Добавлено через 1 минуту

Цитата (Ariny) »
Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.
Ariny
А ERD Commander работает всегда, если в компе есть CD/DVD-привод и он исправен

Кстати а как насчёт комбинации клавиш Win + R?
Если работает, то набрав в появившемся окошке taskmgr и нажав Enter мы попадём в диспетчер задач, если Locker конечно даст его запустить.

Добавлено через 7 минут

Цитата (Ariny) »
унлокеры от дяди Жени и Игоря Данилова не работают
Ariny
Кстати Unlocker'ы могут и не работать, а в базах сигнатурки на исполняемый файл Locker'а могут и оказаться, так что я бы скан с антивирусных Live CD со счетов не сбрасывал бы.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 25.05.2010 в 23:48.
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 00:05   [включить плавающее окно]   #13
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
WestGott
не встретив винлока или хотя бы не почитав об их поведении, довольно нелепо рассуждать о чём либо тут.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 00:10   [включить плавающее окно]   #14
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
WestGott
Гениально!
Вот только не всегда так просто.
В январские каникулы целая эпидемия этой гадости была. Так, я покупал себе тачскин для коммуникатора, зашел в "комок", сидят девчонки, пытаются по мобилке СМС отправить и ругаются, что денег на счету недостаточно. Оказалось- Winlocker на полэкрана. Поскольку из-за этого и мне покупку сделать нельзя, пришлось помогать. Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).
А пару недель назад доца на ноутбук впоймала (точнее не она, а суслик ее). Сидит козленочек, глазками лупает: я только нажал..., а оно...
Женя Касперский экран разблокировал, но начались глюки. Эта сволочь заменила файл ctfmon.exe.
Так, что...
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 00:30   [включить плавающее окно]   #15
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (WestGott) »
Winlocker - это подвид вируса
Это не вирусы. Юзеры их сами устанавливают. Ты, действительно, почитай сначала о них что-нибудь.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 00:57   [включить плавающее окно]   #16
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Freeuse
Я против вирусов без "оружия" не хожу.
Cтандартный комплект, это флэшка со свежими базами на Веба и Каспера, с консольной версией Dr. Web, Live CD Касперского, ERD Commander, кроме того Boot CD с Ghost ну и загрузочный дистриб Windows. Всего этого, как правило хватает, чтобы извести любой вирус.

Цитата (Freeuse) »
Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).
Изумительно, а как же был запущен regedit, а также файловый менеджер или на крайняк консоль (cmd.exe)?

Цитата (Freeuse) »
В январские каникулы целая эпидемия этой гадости была.
На личных компьютерах у меня эпидемий не бывает, потому что организована продуманная антивирусная оборона, поэтому меня не беспокоят не Winlocker'ы не Kido не MS-Blast и прочия.

Цитата (Ariny) »
Это не вирусы. Юзеры их сами устанавливают.
Ariny
Чем это принципиально отличается от открытия почтового вложения с exe-файлом замаскированным под картинку?

Вирус - это общее название для всех вредоносных программ.
А уж тонкости классификации в виде локеры, черви, трояны, собственно вирусы (те которые запускные файлы поражают и коих сейчас мало), руткиты и прочие - всю эту разношёрстную публику в общем называют вирусами, так что тонкости классификации тут ни к чему.

Цитата (Ariny) »
Ты, действительно, почитай сначала о них что-нибудь.
Любая вредоносная программа - это программа.
И первое что она должна себе обеспечить - это загрузку и выполнение при старте системы, для этого все используют несколько механизмов, помещение исполняемого файла в автозагрузку, помещение ссылок в кусты реестра автозагрузки, подмена или внедрение в исполняемые файлы, которые загружаются системой автоматически.

И если Winlock'ер или вирус накрепко блокировал систему, что хоткеи не работают и другие приложения никак не запустить, то первое что можно попробовать в этом случае это в начале загрузки винды нажать F8 и попытаться загрузить винду в безопасном режиме, если в графическом безопасном тоже всё блокировано, то попробовать безопасный режим с командной строкой, ну а если и оттуда ничего нельзя сделать, то остаётся ERD Commander и из него уже копать. Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 26.05.2010 в 01:01.
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 01:03   [включить плавающее окно]   #17
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
WestGott
молодец. А если по делу?
Не разглагольствовать, а по делу. Но вот для этого надо знать что это и опыт борьбы иметь, а не теориями разбрасываться.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 01:13   [включить плавающее окно]   #18
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (WestGott) »
Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD
Когда унлокеры "от дяди Жени и Игоря Данилова" локера не знают - LiveCD от них же не помогли ни разу. Теоретически могут помочь, конечно, но на практике это потеря времени.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 01:13   [включить плавающее окно]   #19
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Keper
Есть два универсальных способа избавления от вирусов, это откат системы из чистого образа и переустановка системы, через Format C:.

Работа всех остальных методов зависят от конкретного экземпляра вредоносной программы.

Вы я тут погляжу все опытные, вот и поделитесь опытом.

У Вас есть конкретные претензии к использованию безопасного режима или ERD Commander?

Добавлено через 2 минуты

Цитата (Ariny) »
Когда унлокеры "от дяди Жени и Игоря Данилова" локера не знают - LiveCD от них же не помогли ни разу. Теоретически могут помочь, конечно, но на практике это потеря времени.
Ariny
Спасибо за ценное замечание!
В этом случае, остаётся выходить на след локера по автозагрузке, что может оказаться весьма не просто.

Помниться я как-то столкнулся с вирём, кажется он назывался VBS-killer так ссылка на загрузку его тела была не в стандартных кустах автозагрузки, а в каких-то дебрях. Благо фамилия виря была известна и при помощи интернета я нашёл куст со ссылкой на запуск зловреда.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 26.05.2010 в 01:20.
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 02:59   [включить плавающее окно]   #20
BSE
Мужской Абсолютный
 
Аватар для BSE
 
Регистрация: 08.04.2009
Адрес: Минск / Владивосток
Цитата (Ariny) »
Это не вирусы. Юзеры их сами устанавливают.
Прошлым летом спецом установил себе AdSubScribe, на Vist'у ещё - не завелась . Пришлось удалять, даже не полюбовавшись
__________________
Под косматой елью, в темном подземелье,
Где рождается родник, — меж корней живет старик.
BSE вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 07:06   [включить плавающее окно]   #21
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
http://www.esetnod32.ru/.support/winlock/
анлокер от НОДа
http://support.kaspersky.ru/viruses/deblocker
анлокер от Каспера
Работают просто замечательно. Не один клиентский или комп знакомых был ими разблочен.

Добавлено через 1 минуту

локеры они все знают. Их обновляют кажный день. росто иногда надо комбинировать с цифрами или вводить их не до конца. Перебор помогат в крайняк.
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 08:51   [включить плавающее окно]   #22
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Гы,подолью маслица в огонь.
Словил юзер свежачёк,ехе-шник виря Доктор прибил сразу,но последствия опупительные,запрещено:
1-запуск *.exe,*.com
2-диспетчер
3-реестр
4-гы,лупа
5-убит в 0 осёл
Титьки на весь экран с опупительной надписью типа это не вирь,а тулбар и спасибо за его установку.Ага.

Добавлено через 16 минут

Цитата (WestGott) »
А ERD Commander работает всегда, если в компе есть CD/DVD-привод и он исправен
Угу,только показывает не все кусты.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 09:18   [включить плавающее окно]   #23
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (WestGott) »
Работа всех остальных методов зависят от конкретного экземпляра вредоносной программы.
Здесь нельзя не согласиться.
Цитата (C@es@R) »
Работают просто замечательно. Не один клиентский или комп знакомых был ими разблочен.
Я тоже говорю, что работают и разблокировал достаточное количество. Особенно когда Евгений включился в игру.
Сейчас очень много Winlocker с двойной разблокировкой, т.е. ты вводишь комбинацию первый раз. Эта сволочь говорит "ОК" и просит подтверждения на следующую комбинацию. После того, как ввел следующую комбинацию вроде заставка снимается, но после перезагрузки часто выдаются ошибки о невозможности загрузить какую-либо программу, или вот в последний раз Word загружался в автомате без открытия окна с макросом в шаблоне normal.dot. Лечение дальнейшее - ручками править regedit и normal.
Ariny
Многие пользователи говорят, что ничего за запускали, а в инет заходили либо на mail.ru, либо в однокласники, и ничего не запускали и не разрешали.(или скрывают) Года два назад, такой вирус можно было получить доустановив "кодеки" на порноролик. Сейчас он может загрузиться вместе с зараженной страницей без запроса на исполнение. И многие после перезагрузки блокируют доступ к интернету. Так, что выход на сайты Данилова и Касперского только с другого компьютера.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 10:05   [включить плавающее окно]   #24
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
Как вариант откат системы из безопаски на предыдущий день. Тоже помогает.
Иногда дату в БИОСе помогает поменять иногда чистка руками. Но это все было пока норм анлокеры не появились. Сейчас надобность в рукошарении есть только если нет возможность с другой машины в инет залезть. Ну на работе то в инет можно с рабочих компов всегда залезть и сайты эти у меня тупо в закладках висят.
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 12:51   [включить плавающее окно]   #25
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Freeuse) »
Многие пользователи говорят, что ничего за запускали, а в инет заходили либо на mail.ru, либо в однокласники, и ничего не запускали и не разрешали.
И Вы им верите?
Цитата (Freeuse) »
Сейчас он может загрузиться вместе с зараженной страницей без запроса на исполнение.
Не встречалась ни разу. Зато встречалась с установкой локера через:
1. Сообщение об установке необходимого плагина. Может появляться и просто на странице, и в виде стандартной всплывающей полоски с предложением установки плагина.
2. Использование activex. В IE бывает достаточно нажать на ссылку в спам-письме.
3. Просмотр flash-видео, показывается правдоподобная картинка о необходимости загрузить flash-плеер распоследней версии.
4. Всплывающие баннеры и окна, кричащие, что Ваша система в опасности (что в системе обнаружен вирус, как вариант) и что нужно срочно загрузить вот_этот_антивирус (как вариант - нужно срочно проверить систему вот_этим_онлайн_антивирусом).

То есть, всегда надо на что-нибудь нажать.

Добавлено через 3 минуты

Цитата (Alexandra) »
это не вирь,а тулбар и спасибо за его установку
Вот-вот-вот!

Добавлено через 13 минут

Цитата (C@es@R) »
Перебор помогат в крайняк.
Умрёшь перебирать.
Часто помогает подождать сутки-другие. Так и делаю, когда не горит.
__________________
Veo voto.

Последний раз редактировалось Ariny; 26.05.2010 в 12:58.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 13:17   [включить плавающее окно]   #26
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (Ariny) »
(как вариант - нужно срочно проверить систему вот_этим_онлайн_антивирусом).
Наиболее часто.
Именно так на дочкином ноутбуке и появилась эта бяка.
При этом ей по рукам пару раз объяснял, что может быть, а вот с "сусликом" ее бесду провести не додумался.

Цитата (Ariny) »
И Вы им верите?
Я вообще очень доверчивый.
Цитата (Ariny) »
Не встречалась ни разу.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 14:34   [включить плавающее окно]   #27
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Alexandra) »
Словил юзер свежачёк,ехе-шник виря Доктор прибил сразу,но последствия опупительные,запрещено:
Alexandra
Ну раз доктор прибил exe-шник, значит "фамилия" локера известна.
От неё и нужно плясать, то есть попытаться найти в интернете, где и что нужно исправить в файлах системы или реестре, что бы всё было как до локера.

Конечно не факт, что это будет где-то написано, но прежде чем изобретать велосипед, проверка на предмет - а может кто уже изобрёл, будет не лишней.

Подобные ситуации с вирусами я решал, либо нахождением рецепта в интернете, либо подкидыванием чистого дистриба с виндой и установкой винды на существующую, без переформатирования диска C:.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 14:43   [включить плавающее окно]   #28
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Alexandra) »
запрещено:
1-запуск *.exe,*.com
А *.cmd?
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 14:57   [включить плавающее окно]   #29
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Ariny
За обработку cmd-файлов отвечает файл cmd.exe.
Если запуск файла cmd.exe блокирован, то файлы *.cmd работать не будут.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 15:02   [включить плавающее окно]   #30
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
WestGott
Чертовски логично.


Добавлено через 3 минуты

А с*.bat или *.pif как дела обстоят?
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 15:40   [включить плавающее окно]   #31
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Ariny) »
А с*.bat или *.pif как дела обстоят?
Ariny
bat в XP/2000 тоже cmd.exe обрабатывает.
А pif это ярлык для программ MS-DOS, если мне память не изменяет.
Во-первых pif-файл нужно как-то создать, а во-вторых не факт что если туда вместо программы MS-DOS забить ссыль на программу Windows, программа под Windows запустится.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 17:40   [включить плавающее окно]   #32
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (WestGott) »
Во-первых pif-файл нужно как-то создать, а во-вторых не факт что если туда вместо программы MS-DOS забить ссыль на программу Windows, программа под Windows запустится
Только что переименовала avz.exe в avz.pif и софтинка нормально запустилась.

Добавлено через 4 минуты

Как, наверное, уже понятно, ищу возможность запуска AVZ при
Цитата (Alexandra) »
запрещено:
1-запуск *.exe,*.com
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 18:28   [включить плавающее окно]   #33
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Цитата (WestGott) »
Ну раз доктор прибил exe-шник, значит "фамилия" локера известна.
Угу,тока зто не сам локер,а какая-то известная левота,плюсом к тулбарчику идёт уже после разгула,ntos.exe зовётся.
Гы,а вот avz и джека завести пока не удалось ни под каким соусом,завтра,один фиг,расковыряю.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2010, 20:33   [включить плавающее окно]   #34
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Ariny) »
Только что переименовала avz.exe в avz.pif и софтинка нормально запустилась.
Ariny
Интересное явление. Система понимает, что файл pif не pif, а exe и выполняет его.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 26.05.2010, 21:07   [включить плавающее окно]   #35
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Фигня какая-то. Windows не запустится, если изначально блокированы *.exe и *.com.
svchost.exe, explorer.exe - они ведь загружаются, а значить, что блокирование происходит уже на последней стадии загрузки оболочки. Можно попробовать поместить exe в автозагрузку (хотя она загружается тоже в последнюю очередь), или подменить один из загружаемых процессов обычным переименованием (например в rundll32.exe). А вдруг прокатит?
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.05.2010, 05:49   [включить плавающее окно]   #36
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Цитата (Freeuse) »
а значить, что блокирование происходит уже на последней стадии загрузки оболочки.
думаю,что все блоки сидят в групповых политиках реестра и на загрузку самой оси влиять не должны.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.05.2010, 21:36   [включить плавающее окно]   #37
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Freeuse) »
сидел он в System32, вычислил по дате создания
Не всегда дата отличается: недавно чистил от локера WinXP - он создал файлик usrinit.exe (кто помнит, как он правильно называется? ), дал ему ту же дату и время, как и у всех остальныех системных файлов (и прописал его в ветку WinLogOn)...

Цитата (WestGott) »
как же был запущен regedit, а также файловый менеджер или на крайняк консоль (cmd.exe)?
А очень часто ничего из этого и не запускается - приходится грузиться с оптического привода или подключать HDD к своему компьютеру...

Добавлено через 11 минут

Цитата (Alexandra) »
один фиг,расковыряю.
А попробуй-ка ты почитать топик на форуме моего провайдера - там уже давненько борьба с локерам обсуждается: http://forum.211.ru/index.php?showtopic=94229 конкретно со 185-го поста в топике...
__________________
С уважением,
Олег Р. Смирнов

Последний раз редактировалось Smirnoff; 27.05.2010 в 21:42.
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.05.2010, 07:07   [включить плавающее окно]   #38
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Начала читать с конца топа и опа...
Цитата
ventura
Просмотр профиля Вчера, 21:12 Сообщение #273


Ветеран


Группа: Абонент НСК
Сообщений: 1321
Регистрация: 24.2.2009
Пользователь №: 35666

Спасибок: 608



Новая разновидность гадости прилипла. Вирус забрал права администратора, отключил regedit, управление, диспетчер задач и т.д.
При попытке в безопасном режиме запустить avz, появляется порно банер или комп уходит в перезагрузку. Переименовал avz в 123.cmd появляется порно банер. Батник от Louie не помогает. Из под другой системы(стояло две хр) почистил в больной ОС папки темп, восстановление и т.д в итоге перестали загружаться обе оси. Пишет нажми ctr alt del типа mbr повреждена.
Это что получается, вирус прописался не только в реестре, но и в mbr. Думаю, что когда я начал вручную чистить больную ОС я повредил алгоритм запуска вируса и вместе с ним и загрузчик, точнее загрузчик повредил вирус, после того как я к нему применил ручное удаление.
Теперь собираюсь сносить обе ОС и форматировать винт. Говорят вирус живущий в загрузочной области нужно дополнительно почистить, что даже формат может не помочь. Правда ли это и как 100% очистить зараженную загрузочную область харда?
ps/ Антивирусы не нашли ничего, когда я их запускал с живой ОС.

Сообщение отредактировал ventura - Вчера, 21:14


Добавлено через 4 минуты

Про Boot-овую природу локера не думаю,уж не настолько тупы тараканодавители.

Добавлено через 6 минут

К стати батничек тоже не помог.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.05.2010, 18:45   [включить плавающее окно]   #39
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Вчера удалял локер. Exe никакие не запускались, но как ни странно, было можно запустить msconfig Снял галку с подозрительной службы с нечитаемым названием, выключил почти все в автозагрузке. Не перезагружаясь, пробовал подобрать код, на третьей попытке вылетел БСОД. Ресет, и о чудо - локер не запустился. Полная проверка AVPTool на три часа, в результате 80+ детектов с удалениями. Проверка Куритом - ничего не нашла. Все вроде бы чисто. Начитался о локерах, вот гадость то придумали клепать...
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.05.2010, 00:18   [включить плавающее окно]   #40
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Alexandra) »
с конца топа и опа...
Я бы с тем локером сам живьём разобрался - если бы не отдыхал сейчас в туретчине...


Добавлено через 59 секунд

Цитата (Alexandra) »
Про Boot-овую природу локера не думаю
Мне тоже кажется, что это ventura сам накосячил.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.05.2010, 10:51   [включить плавающее окно]   #41
Antinomy
Мужской Модератор
 
Аватар для Antinomy
 
Регистрация: 18.08.2004
Адрес: Владивосток
Решаем проблему о части незапуска.
Вариант №1 - прописать в реестр, скажем, HKLM=>Soft=>Micro=>WinNT=>Current=>Winlogon. Скажем, к эксплореру в нагрузку. Коли его грузит, то и это съест.

А второе - помню такой древний эксплойт для WinXP, как ломали права админа под юзером. Называем расширение scr - это скринсейвер. Точно запускается, как-то обходил блок на запуск Мозиллы, когда надо было за младший курс сдать тестирование какое-то.
И никакого DOS'а
Я полагаю, блокируется политиками, а не на уровне обработчиков расширений (помню товарища, который задал открывать все exe через софтину какую-то, весело было).

Добавлено через 1 минуту

Для реестра есть тулзы для подключения удалённого реестра с LiveCD. Очень понравилась InfraCD - слил новую версию, ибо старую запорол уже.
__________________
Core unstable, system malfunction
What fun is a computer if you don't push it for more than its rated!
Antinomy вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.05.2010, 11:01   [включить плавающее окно]   #42
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo

Мляяяяяя,винт на ноуте с "телом" сдох,не думаю что это козни локера,дохлые блоки в конце локации.


Добавлено через 2 минуты

Antinomy
Не грузит вообще ни чего,искать в кустах,подключив к др. тачке-бред.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.05.2010, 13:29   [включить плавающее окно]   #43
Antinomy
Мужской Модератор
 
Аватар для Antinomy
 
Регистрация: 18.08.2004
Адрес: Владивосток
Так Винда грузилась? До того, как винту похерело. Раз так, что можно подсунуть scr. Ну а там уже AVZ подсунуть в таком троянском виде.

Или scr тоже фильтрует?
Я не говорил искать в кустах, я сказал - прописать тот же AVZ в реестр через удалённый реестр. Искать стоит только в типичных местах, но скорее всего авторы постараются их избежать.
__________________
Core unstable, system malfunction
What fun is a computer if you don't push it for more than its rated!
Antinomy вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.05.2010, 13:41   [включить плавающее окно]   #44
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Цитата (Antinomy) »
Ну а там уже AVZ подсунуть в таком троянском виде.
Ты-гений,правда,правда.
Подсунуть прям после ядра и до политик...
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 31.05.2010, 06:56   [включить плавающее окно]   #45
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
Цитата (Antinomy) »
Или scr тоже фильтрует?
вряд ли хакеры вернее вирусописатели гребаные додумались до этого. Запуск локера осуществляется между службами.
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.06.2010, 11:49   [включить плавающее окно]   #46
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Сегодня притащили системник. Со слов пользователя вчера щелкнул по крестику на закрытие всплывшего окошка, а через минуту появился банер:"Спасибо, что установили... Положите 300 рублей через терминал на номер +79612915563, в ответ получите кот разблокировки..."
Windows7.
После перезагрузки вместо рабочего стола - абсолютно черный экран, без мыши. Срабатывает только Ctrl+Alt+Del и выводит на экран смены пользователя, пароля, блокировки компьютера и завершения работы. Курсор мыши виден только в этом режиме. Последняя удачная конфигурация - эффект тотже.
В безопасном режиме.
Рабочий стол виден. На полэкрана банер с любвиобильными мальчиками с теми же реквизитами. Кнопка "Пуск" блокирована. С другого компьютера на сайте Касперского ввели номер телефона, получили шесть разных вариантов кода. Сработал последний:"я не пидор".
После перезагрузки всё нормально. Проверка на вирусы системного раздела Dr.Web CureIt! и Nod32 без проблем.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.06.2010, 12:13   [включить плавающее окно]   #47
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
Цитата (Freeuse) »
Сработал последний:"я не пидор".
можно было и так по баннеру с пидорами догадаться и ввести "я не пидор"
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.06.2010, 12:22   [включить плавающее окно]   #48
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Freeuse) »
Проверка на вирусы системного раздела Dr.Web CureIt! и Nod32 без проблем
Всё равно надо бы AVZ-кой подвериться...
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 02.06.2010, 12:41   [включить плавающее окно]   #49
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Ariny
Да хозяин на радостях уже схватил блок и ходу...
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.06.2010, 07:05   [включить плавающее окно]   #50
Antinomy
Мужской Модератор
 
Аватар для Antinomy
 
Регистрация: 18.08.2004
Адрес: Владивосток
Дальше мальчиков смотреть? не, более интересны случаи, когда кейгены не того...
__________________
Core unstable, system malfunction
What fun is a computer if you don't push it for more than its rated!
Antinomy вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.06.2010, 12:54   [включить плавающее окно]   #51
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Antinomy) »
более интересны случаи, когда кейгены не того...
Мосье знает толк в извращениях.
Часто бывает, что кейгены того, но система тоже уже "того".
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 15.06.2010, 12:57   [включить плавающее окно]   #52
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Отчитываюсь,принесли машинку с тем-же локером,а-ля спасибо,бла-бла-бла...
Грузанулась с ERD,посмотрела winlogon -чисто,полезла смотреть авторуны всех учёток,в ветке run торчала ntos.exe ссыль-прибили,а вот в ветке system сидело како,называло себя ява приложением и маскировалось под яваапдейт,вот такие дела.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.06.2010, 18:41   [включить плавающее окно]   #53
Xop
Мужской Новенький
 
Регистрация: 15.06.2010
Иногда помогают разблокировщики. Я пользуюсь разблокировщиком Касперского. если не нахожу кода, то приходится ручками потрудиться. Вот например, тут подробно написано, как их убирать: тыц
Xop вне форума  
Ответить с цитированием
Непрочитано 15.06.2010, 19:22   [включить плавающее окно]   #54
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Alexandra) »
в ветке system сидело како
Вот только-что закончилась эпопея: создало файлик userini.exe, запускало в количестве 4-х штук; кроме того создавало файлик в папке %temp%... А сидело в драйвере nfs.sys и в grpconv.exe (только не где положено, а в папке Wbem).
Такие дела...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.06.2010, 17:16   [включить плавающее окно]   #55
Xop
Мужской Новенький
 
Регистрация: 15.06.2010
Цитата (Smirnoff) »
Вот только-что закончилась эпопея: создало файлик userini.exe, запускало в количестве 4-х штук; кроме того создавало файлик в папке %temp%... А сидело в драйвере nfs.sys и в grpconv.exe (только не где положено, а в папке Wbem).
Такие дела...
и как ты справился?
Xop вне форума  
Ответить с цитированием
Непрочитано 21.06.2010, 07:07   [включить плавающее окно]   #56
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Xop) »
как ты справился?
Ну, как... Подключением HDD к своей машинке, ковырянием в проблемных ветках реестра, просмотром запущенных задач из ProcessExplorer-а...
Руками и головой, короче так как ни один из антивирусов эту фигню "не знал в лицо".
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.06.2010, 09:32   [включить плавающее окно]   #57
ineegma
Мужской Продвинутый
 
Аватар для ineegma
 
Регистрация: 03.09.2008
Адрес: Москва
В субботу у родителей чистил. Коды с сайтов не подошли, получилось с ERD, winlogon => обе userinit и explorer были модифицированы. Сам екзешник был в %temp%.

Пришло по почте от "одноклассника", NOD даже не пискнул..
ineegma вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 30.06.2010, 13:22   [включить плавающее окно]   #58
Pavlucha
Мужской Новенький
 
Регистрация: 30.06.2010
Адрес: Новосибирск
Ребята,ну вы прямо как дети,от этой заразы легко можно избавиться.Если поймали винлокер,добро пожаловать к нам:http://pchelpforum.ru.Создавайте тему,делайте всё как здесь написано,спецы ответят,вылечат.
Pavlucha вне форума  
Ответить с цитированием
Непрочитано 30.06.2010, 13:36   [включить плавающее окно]   #59
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (Pavlucha) »
пожаловать к нам:
реклама?
Если приспичит, лучше уж на вирусинфо.
Цитата
качаем ... утилитку UltraISO
пиратки практикуете?
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 30.06.2010, 16:21   [включить плавающее окно]   #60
Pavlucha
Мужской Новенький
 
Регистрация: 30.06.2010
Адрес: Новосибирск
Цитата (Keper) »
реклама?
Вы хоть наш форум читали?Зайдите в раздел безопасность и посмотрите сколько уничтожено вирусов и порнобанеров.
Pavlucha вне форума  
Ответить с цитированием
Непрочитано 30.06.2010, 18:45   [включить плавающее окно]   #61
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Pavlucha
а ответ на второй вопрос? И как же я интересно его придумал, если форум не смотрел.
И ещё к сведению - здесь скорее обсуждается проблема, а не помогают людям. Соответственно и людям здесь особо ваша помощь не нужна, как и реклама.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 30.06.2010, 19:25   [включить плавающее окно]   #62
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Pavlucha, полегче, пожалуйста, с навязчивым сервисом.
Я оставила ссылки на Ваш ресурс из соображений "а вдруг кому-то пригодиться", да. Но в данной теме сервис "обратитесь к нам, крутым специалистам" просто неуместен. Кстати, забыла Вам выдать замечание за дублирование тем/сообщений, виновата, исправлюсь.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 30.06.2010, 20:24   [включить плавающее окно]   #63
Pavlucha
Мужской Новенький
 
Регистрация: 30.06.2010
Адрес: Новосибирск
Тема называется Winlocker-ы и методы устранения.Я предложил способ.Ну да ладно.Вот моя история.это было год назад.
Как-то раз,я хотел посмотреть порно видео.Скачал плагин для флэш плеера,в результате вылез банер.В пользовательском соглашении вообще-то написано,что если не удалить плагин через час система заблокируется.Обошёл я его следующим способом:отвёл время назад на то,когда был установлен этот плагин.Благо часики были видны,правда только минуты.Перезагрузился,банер исчез.Затем удалил плагин,почистил реестр и всякие ненужные и временные файлы ещё раз перезагрузка и всё ОК.
Pavlucha вне форума  
Ответить с цитированием
Непрочитано 30.06.2010, 21:20   [включить плавающее окно]   #64
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Таким же образом можно порекомендовать приходящего мастера с тел. ххх-ххх-ххх. Он тоже придёт и всё сделает. А сам человек так ничему и не научится.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.07.2010, 15:48   [включить плавающее окно]   #65
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Pavlucha) »
отвёл время назад на то,когда был установлен этот плагин
Это тебе попался примитив под девизом "детская неожиданность"...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.07.2010, 23:25   [включить плавающее окно]   #66
Pavlucha
Мужской Новенький
 
Регистрация: 30.06.2010
Адрес: Новосибирск
Цитата (Smirnoff) »
Это тебе попался примитив под девизом "детская неожиданность"
согласен,есть такие которые и в безопасном режиме систему не дают запустить.

Последний раз редактировалось Pavlucha; 01.07.2010 в 23:39.
Pavlucha вне форума  
Ответить с цитированием
Непрочитано 02.07.2010, 08:35   [включить плавающее окно]   #67
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Pavlucha) »
и в безопасном режиме систему не дают запустить
Буквально вчера знакомый рассказал о новом прикольчике: порнобаннер заскринил Рабочий стол со своей картинкой поверх (выяснить это удалось по остановившимся часикам - часы на самой мамке продолжали нормально тикать)...
В Safe Mode тоже оно грузилось, Ctrl+Esc не блокировало, просто сразу гасило окно диспетчера задач.
Получилось загрузиться в режим командной строки и уже оттуда запустить explorer.exe; ну а дальше уже стандартно - regedit и антивирус...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.07.2010, 11:47   [включить плавающее окно]   #68
Voplexx
Мужской Заслуженный
 
Аватар для Voplexx
 
Регистрация: 27.04.2003
Цитата (Smirnoff) »
заскринил Рабочий стол со своей картинкой поверх
вчера видел такое, - баннер с номером 8353 и постоянно меняющимися кодами. ass1st.com - распространитель. Live CD - ..:\Program Files\Common Files\Microsoft Shared\mssoft.exe - удаляем, и всё
__________________
MSI GT780DXR i7-2670QM/16Gb DDR3/750Gb WD-7200rpm/120Gb OCZ Vertex 4 VTX4-25SAT3-128G/NVidia GTX570M 3GB DDR5/17.3" FHD/DVD-Multi/XAI
Voplexx вне форума  
Ответить с цитированием
Непрочитано 08.07.2010, 18:41   [включить плавающее окно]   #69
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Приятно, когда все нормально срабатывает. Только что позвонил старый друг. Отправьте СМС на № 5581 с текстом 35101116. Сайт Касперского выдал код 9972311.
После перезагрузки исчез. Пущай теперь гоняет комп на вирии.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 30.07.2010, 14:34   [включить плавающее окно]   #70
kalim90
Мужской Новенький
 
Регистрация: 07.02.2010
Адрес: Россия, Москва
Цитата (C@es@R) »
http://www.esetnod32.ru/.support/winlock/
анлокер от НОДа
http://support.kaspersky.ru/viruses/deblocker
анлокер от Каспера
Работают просто замечательно. Не один клиентский или комп знакомых был ими разблочен.

Добавлено через 1 минуту

локеры они все знают. Их обновляют кажный день. росто иногда надо комбинировать с цифрами или вводить их не до конца. Перебор помогат в крайняк.
+ полезные ссылочки почитать:

http://www.kaspersky.ru/support/kis2...?qid=208637578 - Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010

http://support.kaspersky.ru/faq?qid=208637133 - Способы борьбы с программами-вымогателями класса Trojan-Ransom
kalim90 вне форума  
Ответить с цитированием
Непрочитано 16.01.2011, 18:13   [включить плавающее окно]   #71
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Антивирус:
Avira Personal http://free-av.de/ обновлять через каждые 2 часа:
Открываете Управление -> Планировщик. Там у Вас две задачи по умолчанию - сканирование и обновление. Правой кнопкой мыши на заданиях -> Добавить новую задачу -> Название задачи: "Обновление 00" -> далее в типе задания выбрать вариант "Задача обновления" -> Ежедневно, 00:00 час., ставим галочку "Повторно запустить задачу..." -> Готово.
Потом повторяем ту же процедуру, только меняем Название задачи: "Обновление 02" и ставим время 02:00. И так хоть до бесконечности. Мне хватает через два часа.
проверять ВСЕ, проверять раз в сутки, возможность остановки сканера "отключить"

или Avira Security Suite ключик на 3 месяца тут https://license.avira.com/ru/promoti...erSalutationId

хотябы раз в неделю качать и проверять курицей http://www.freedrweb.com/download+cureit/

Антишпион:
Spybot - Search & Destroy http://www.safer-networking.org/ru/spybotsd/index.html или Malwarebytes' Anti-Malware http://www.malwarebytes.org/ есессно с лекарством, качать на рутрекере
но пока еще не понял кто круче приносят и с тем и с другим

Файрвол (если Avira Security Suite, то стороннего файрвола не надо):
Comodo http://www.comodo.com/home/internet-...y/firewall.php
или старенький Agnitum http://www.agnitum.ru/support/kb/art...0290&lang=ru#1

Против автозагрузок с флешек и дисков: http://ali-k777.narod.ru/autoruncleaner.html

ну и самое главное AnVir Task Manager http://www.anvir.net/
следит за рестром в особенности за автозагрузкой!

Удачи вам и безвирусной работы!
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 19.01.2011, 13:57   [включить плавающее окно]   #72
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Вот только-что типа "выловил" очередной winlock-ер.
В кавычках - ибо жил он лишь до нажатия Reset (корректно выключить - не пускал мышу и не отрабатывал с клавиатуры, пытался просто "заснуть"; кнопку Power тоже не отрабатывал), при этом истерически трясся своим экранчиком, циклически меняя номера билайновых телефонов для "пополнения счёта" (Ага, прям щаз разбежался! ).
А всё почему так просто и ненапряжно получилось: у меня Dr.Web-у велено "запрещать модификацию важных объектов Windows" - ну он и запрещает...

P.S. "Охвостья" локера в виде файликов 0.xxxxxxxxx.exe из папки %TEMP% отправил в лабораторию Данилова на препарирование.
__________________
С уважением,
Олег Р. Смирнов

Последний раз редактировалось Smirnoff; 19.01.2011 в 14:04.
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 19.01.2011, 15:38   [включить плавающее окно]   #73
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Smirnoff) »
Вот только-что типа "выловил" очередной winlock-ер.
На своём компьютере? Это где ж ты шастал, интересно...


А если без юмора, то примерно такое тоже было после того, как племянник на моём системнике посидел немножко. Только номера телефонов не менялись, экранчик с единственным номером как бы пульсировал.

Добавлено через 2 минуты

PS Ах, да, у меня тоже Dr.Web, и "запрещать модификацию" тоже включено.
__________________
Veo voto.

Последний раз редактировалось Ariny; 19.01.2011 в 15:42.
Ariny вне форума  
Ответить с цитированием
Непрочитано 19.01.2011, 18:30   [включить плавающее окно]   #74
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Ariny) »
где ж ты шастал
А вот сюда полез: http://dune-hd.com/
Прочитал на русских сайтах обзор Dune HD Max, и стало интересно - что там за слоты для каких-таких карт расширения?..
BTW: Залез туда тольк-что ещё раз - уже всё стало слегка иначе, теперь в Автозагрузку пытается прописаться igfxtray.exe (угу; при том, что у меня на всех моих компах видеокарты от ATI/AMD )...

Добавлено через 2 минуты

Цитата (Ariny) »
номера телефонов не менялись, экранчик с единственным номером как бы пульсировал
Да у меня тоже всего-лишь пара номеров менялась на таком-же "пульсирующем" экране с воплями про "гей-порно"...

Добавлено через 31 минуту

Ну вот, теперь Dr.Web уже знает этот локер и обозвал его Trojan.Winlock.2741...

Добавлено через 32 минуты

P.S. А с http://dune-hd.com/ это безобразие тоже уже убрали...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.01.2011, 05:26   [включить плавающее окно]   #75
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
а я юзаю Avira Security Suite + Anvir Task manager (сам в автозагрузке и висит в памяти всегда), если что-то залазит и/или меняет в автозагрузке - он сразу все показывает

полезно, когда полезные программки пытаются впихнуть в автозагрузку свои Update-теры, BHO-шки и т.п.

Добавлено через 1 минуту

Цитата (Smirnoff) »
P.S. А с http://dune-hd.com/ это безобразие тоже уже убрали...
дайте какую-нить ссылку, где обитают эти винлокеры
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.01.2011, 07:52   [включить плавающее окно]   #76
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (siBEERian) »
дайте какую-нить ссылку, где обитают эти винлокеры
Да где-ж я тебе её возьму? Сам вчера нашёл чисто случайно...
BTW: А Avast эту фубяку пока не знает - только-что привезли комплектный комп: именно этот локер с Avast в придачу...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.01.2011, 16:20   [включить плавающее окно]   #77
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Как я действую

Я очень часто борюсь с ВинЛокерами. Вот вкратце моя методика:
Имея в руках свой ноутбук, подключенный к Интернет, на сайтах Касперского и ДрВеба выясняю код и пытаюсь снять лок. Если лок удается снять, то отключаю комп от сети, захожу в Безопасный режим, лечу систему CureIt, любым файловым менеджером убиваю все в папках:
\Windows\TEMP; Папках TEMP и TEMPORARY internet Files всех Юзеров, файлы временные и временные интернета в папке SystemProfile (в папке Windows в одной из подпапок лежит, не помню точно в какой). Смотрю, не сидит ли гадость в \Windows\, \Windows\System32\,\Windows\System32\Drivers\, \Program files\, \Program files\common files\, \Documents and settings\, Documents and settings\All Users\ - убиваю там все "свежие" файлы. Запускаю редактор реестра и смотрю разделы: HKLM\Software\Microsoft\WindowsNT\Current version\Winlogon\, HKLM\Software\Microsoft\Windows\Current version\RUN, HKCU\Software\Microsoft\Windows\Current version\RUN на предмет подозрительных файлов. Убиваю все подозрительное, каждый раз обновляя F5 реестр, выписывая имена этих файлов. Сканирую реестр и делаю поиск этих файлов, уничтожаю оригиналы и ссылки на них. Если что-то не удаляется в реестре или после удаления и нажатия F5 тут же появляется снова, неизменно прибегаю к помощи LiveCD (а точнее Hiren's boot CD т.к. он мне больше нравится). Затем, уже из обычного режима проверяю настройки Брандмауэра и восстанавливаю их, если они повреждены. Любым файловым менеджером делаю поиск файлов со свежими датами в системных папках и в вышеуказанных папках, в том числе, для временных файлов. Только после этого возвращаю на комп Интернет, полностью переустанавливаю антивирусную программу (после удаления старой, физически стирая папки а лучше - другую!). Вообще, часто все вышеуказанные действия, которые возможно сделать с загрузочного CD, делаю именно с него (так быстрее и точнее). С него же и действую, если код разблокировки отсутствует или не подходит. Пара слов о том, КАК возникают у пользователей WinLockи. На мой взгляд, тут с одной стороны - ослабленная защита систем пользователей, а с другой - зараженные сайты (их админы поленились или не сумели правильно защитить свои "тылы"). Ведь заметьте: обычно пользователи получают ВинЛок, путешествуя по результатам поиска нужной им информации, открывая все подряд! 90% юзеров ничего не скачивают, не устанавливают, а получают ВинЛок, стартующий из временных файлов Интернета

Последний раз редактировалось Glucker; 21.01.2011 в 16:36.
Glucker вне форума  
Ответить с цитированием
Непрочитано 21.01.2011, 20:05   [включить плавающее окно]   #78
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Glucker) »
Вот вкратце моя методика
Дитё.
Но упо-орный...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.01.2011, 20:27   [включить плавающее окно]   #79
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Цитата (Smirnoff) »
Дитё.
Но упо-орный...
Вообще-то, для меня разблокировка винлокеров - неплохая подработка. Искреннее СПАСИБО тем, кто их делает!! Но Вы кажется не согласны с написанным мной выше)) Или есть "волшебная палочка", о которой я не знаю? Я лишь описал общий подход. Были случаи, когда приходилось копать глубже. Но мне всегда удавалось избавить юзеров от Винлокеров. Может быть, кто-то прочитает и это ему поможет... Практика показала, что удаление винлокеров "руками" почти всегда эффективно. А советы типа "Формат Ц и не парься!!!" - вряд ли нужны.
Мне интересно Ваше мнение о том, ОТКУДА они появляются на компьютерах пользователей.
Спасибо!

Последний раз редактировалось Glucker; 21.01.2011 в 20:34.
Glucker вне форума  
Ответить с цитированием
Непрочитано 21.01.2011, 20:48   [включить плавающее окно]   #80
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Glucker
Сколько обычно говоришь за такую очистку?
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.01.2011, 20:55   [включить плавающее окно]   #81
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Цитата (garniv) »
Glucker
Сколько обычно говоришь за такую очистку?
3000руб. если с выездом по Москве. Если на территории бизнес-центров, где я работаю, или если мне привезут, то 1500руб.
Glucker вне форума  
Ответить с цитированием
Непрочитано 21.01.2011, 23:09   [включить плавающее окно]   #82
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
оО жуть)
Хотя, времени и сил на чистку уходит тоже порядочно - если все делать "как для себя".
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.01.2011, 23:34   [включить плавающее окно]   #83
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Цитата (garniv) »
оО жуть)
Хотя, времени и сил на чистку уходит тоже порядочно - если все делать "как для себя".
Я делаю всегда "как для себя") Впрочем, скажу что мало кто не согласен с такими суммами. Бывает, люди сами пытаются вылечиться, когда очень нужен компьютер (зачастую успешно, но как правило не до конца, т.е. просто снимают блокер). Или просто делают "формат Ц", ставят систему с какой-нить случайно оказавшейся под рукой кривоватой "сборки", кое-какой антивирус и наивно думают, что теперь все будет у них без проблем. И те и другие - мои будущие клиенты))
Glucker вне форума  
Ответить с цитированием
Непрочитано 22.01.2011, 04:19   [включить плавающее окно]   #84
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Smirnoff) »
Дитё.
Но упо-орный...
+1
зачем подбирать код к винлоку? нужно сразу грузиться с LiveCD или с флешки и убирать все ненужное а уж потом сисинтерналовские утилиты, Зайцев, курица, хайджек и т.п. кому что больше нравится
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.01.2011, 09:37   [включить плавающее окно]   #85
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Цитата (siBEERian) »
+1
зачем подбирать код к винлоку? нужно сразу грузиться с LiveCD или с флешки и убирать все ненужное а уж потом сисинтерналовские утилиты, Зайцев, курица, хайджек и т.п. кому что больше нравится
Бывает, использование LiveCD или аналог флешки типа "LiveUSB" невозможно без адаптации, которую дольше делать, нежели просто ввести код разблокировки. Часто я его не ищу, сразу действую через Live.., но были несколько случаев, когда тотальная чистка с Live.. сходу не помогала (файлы, как вsяснилось позже, маскировались под старые по дате).
Glucker вне форума  
Ответить с цитированием
Непрочитано 22.01.2011, 15:20   [включить плавающее окно]   #86
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
3k рублёв?,да я б уже на бентли каталась.Ага.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.01.2011, 15:49   [включить плавающее окно]   #87
Glucker
Мужской Новенький
 
Регистрация: 21.01.2011
Цитата (Alexandra) »
3k рублёв?,да я б уже на бентли каталась.Ага.
)) В неделю 5-6 таких случаев подработки, увы, на Бентли - никак не хватает((
Glucker вне форума  
Ответить с цитированием
Непрочитано 22.01.2011, 23:45   [включить плавающее окно]   #88
v21
Мужской Начинающий
 
Регистрация: 08.03.2010
Цитата (siBEERian) »
Против автозагрузок с флешек и дисков: http://ali-k777.narod.ru/autoruncleaner.html
Против автозагрузок - нужно просто в ОС отключить автозапуск.
И дополнительные утилиты ненужны.

Цитата (Smirnoff) »
... у меня Dr.Web-у велено "запрещать модификацию важных объектов Windows" - ну он и запрещает...
...
Вы наверно привыкли работать под админом и не хотите работать под ограниченной учеткой.
Ведь в таком случае нет доступа к системным папкам - и дополнительные
запреты вряд ли нужны.

Последний раз редактировалось v21; 22.01.2011 в 23:52.
v21 вне форума  
Ответить с цитированием
Непрочитано 23.01.2011, 01:10   [включить плавающее окно]   #89
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (v21) »
привыкли работать под админом и не хотите работать под ограниченной учеткой
думаю и 90% простых пользователей работают так.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 01:18   [включить плавающее окно]   #90
abraxas
Женский Недосягаемый
 
Аватар для abraxas
 
Регистрация: 10.11.2003
Адрес: EU
Цитата (v21) »
не хотите работать под ограниченной учеткой
Под ограниченной учеткой можно так по сети ползать или книжки читать, работать под ней невозможно.
abraxas вне форума  
Ответить с цитированием
Непрочитано 23.01.2011, 06:02   [включить плавающее окно]   #91
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Glucker) »
Бывает, использование LiveCD или аналог флешки типа "LiveUSB" невозможно без адаптации, которую дольше делать
какой еще адаптации? сделал раз и юзай скока влезет

Добавлено через 5 минут

Цитата (abraxas) »
Под ограниченной учеткой можно так по сети ползать или книжки читать, работать под ней невозможно.
+1
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 12:56   [включить плавающее окно]   #92
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (abraxas) »
Под ограниченной учеткой можно так по сети ползать или книжки читать, работать под ней невозможно.
на самом деле можно и нужно. Да, менее удобно, но вполне реально.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 15:42   [включить плавающее окно]   #93
abraxas
Женский Недосягаемый
 
Аватар для abraxas
 
Регистрация: 10.11.2003
Адрес: EU
Цитата (Keper) »
на самом деле можно и нужно. Да, менее удобно, но вполне реально.
Готовый лозунг для пользователей
abraxas вне форума  
Ответить с цитированием
Непрочитано 23.01.2011, 16:22   [включить плавающее окно]   #94
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Keper) »
на самом деле можно и нужно. Да, менее удобно, но вполне реально.
мдя, я себя то заставить не могу, не то что пользователей! но с единственным исключением, я винлокеры не ловлю
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 16:52   [включить плавающее окно]   #95
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Keper
душка,теперь лозунг-как ето навялить всем.Ага.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 17:13   [включить плавающее окно]   #96
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Дайте мне власть и будут под ними сидеть все. Вот вам другой лозунг .

Сам, кстати, вполне успешно на работе сижу под юзером. Второй домашний ПК тоже под юзером.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.01.2011, 23:00   [включить плавающее окно]   #97
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Хм...
По жизни сижу под админом, самому себе урезать полномочия, мне как-то психологически некомфортно.
С винлокерами проблем не имею.
Если уж так приспичит сходить на какой-нибудь варезный сайт, то делаю это исключительно из виртуальной машины, у которой минимум связей по сети с внешним миром.
Но как-то мне ещё ни разу не удалось поймать винлокера, наверное я не те сайты посещаю.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 24.01.2011, 07:26   [включить плавающее окно]   #98
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
народ же ищет где нахаляву скачать новый фильм и не знают что такое трекеры,
ищет кряк на мелкософтОфис, и не знает что есть ОпенОфис, ищут ключ для каспера, а есть Авира, АВГ и Аваст, ищут кряк на Винрар, незная что есть 7zip и т.д. и т.п.
ну и есессно многие ищут порно... и нарываются на порнобаннер и ведь 70-80% поймавших отправляют смски!
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 08:30   [включить плавающее окно]   #99
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Glucker) »
Или есть "волшебная палочка", о которой я не знаю?
Раз ты всё-равно лазишь по реестру - там имеются и пути к локеру и названия его файлов - зачем всё "оголтело" чистить?..
Далее: даже если ты мотаешься по клиентам со своим ноутбуком - к нему тоже можно подключить клиентский HDD через переходник и не тратить время на попытки вылечить вирус из-под самОй заражённой системы.
__________________
С уважением,
Олег Р. Смирнов

Последний раз редактировалось Smirnoff; 24.01.2011 в 08:33.
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 15:12   [включить плавающее окно]   #100
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (siBEERian) »
ведь 70-80% поймавших отправляют смски!
Слищком громко сказано. 70-80% начинают звонить друзьям-знакомым и объяснять, что ничего не далал, выключил вечером как обычно, а утром....вот такая вот фигня...
При этом из оставшихся 20-30% половина отправить не могут, так как
Цитата
недостаточно средств на счету
. Т.е. остается 10-15% отправляющих с присказкой "ёлы палы"... Но тем, кто пишет эти бяки и столько вполне достаточно. Месяца три тому назад показывали как задержали такую группу "хакеров". При этом проскочило о среднемесячном доходе в 5-6 млн $ за полгода.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 15:27   [включить плавающее окно]   #101
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Keper) »
Сам, кстати, вполне успешно на работе сижу под юзером.
Мне кажется достаточно пОшлым себя самого ограничивать; я могу и под "гостем" сидеть - но мне-то это зачем?!.
А над домашними юзерами так издеваться...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 16:16   [включить плавающее окно]   #102
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
Цитата (siBEERian) »
мдя, я себя то заставить не могу, не то что пользователей! но с единственным исключением, я винлокеры не ловлю
та же фигня. с момента появления дома не словил ни одного. на работе пару раз бывало - надо иногда хаки поискать. Но решение проблемы - 2 минуты делов. Я лично не вижу смысла кабалить себя ДР ВЕБОМ. Кстати дома у меня антивируса на стаце а тем более секрьюрити или файера вообще не стоит. Интернет юзаю аки лось. Проверяю раз в неделю портаблями. Чета за 1.5 года юзания вин7 так ни одного вируса и не увидел серфить надо в инете уметь тогда и не страшен вам никто будет.
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 20:07   [включить плавающее окно]   #103
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (C@es@R) »
Кстати дома у меня антивируса на стаце а тем более секрьюрити или файера вообще не стоит.
Цитата (C@es@R) »
серфить надо в инете уметь тогда и не страшен вам никто будет.
не подскажешь свой IP? А то лом высчитывать...
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 20:46   [включить плавающее окно]   #104
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (Smirnoff) »
Мне кажется достаточно пОшлым себя самого ограничивать;
а мне кажется, это как раз подход из раздела "тру".
Цитата (Smirnoff) »
А над домашними юзерами так издеваться...
вроде не жаловались
Максимум проблем - это зажатые клавиши на клавиатуре книгами или спящей кошкой.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.01.2011, 20:58   [включить плавающее окно]   #105
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (C@es@R) »
не вижу смысла кабалить себя ДР ВЕБОМ
А я не себя "кабалю", я юзерские HDD им лечу, вотЪ.

Добавлено через 2 минуты

Цитата (Freeuse) »
не подскажешь свой IP?
Вот тебе мой: 193.238.128.5
Как надоест - не забудь тут отписаться...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.01.2011, 15:02   [включить плавающее окно]   #106
C@es@R
Мужской Запрещенный
 
Аватар для C@es@R
 
Регистрация: 25.11.2008
Адрес: Иркутск
Цитата (Freeuse) »
не подскажешь свой IP? А то лом высчитывать...
не высчитаешь. Некоторые ловильшики левых аккаунтов в онлайн играх справедливо полагают что я живу в Иркутске и что я неправомерно имею несколько учеток (только немногие знают те кто знает не придирается). для них во всем Иркутском районе айпи у всех одинаковый. мы все под одним айпи сидим если честно. глухомань батенька.
C@es@R вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.01.2011, 22:22   [включить плавающее окно]   #107
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (C@es@R) »
мы все под одним айпи сидим если честно
И с одним MAC...
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.01.2011, 22:53   [включить плавающее окно]   #108
abraxas
Женский Недосягаемый
 
Аватар для abraxas
 
Регистрация: 10.11.2003
Адрес: EU
Цитата (Freeuse) »
И с одним MAC...
abraxas вне форума  
Ответить с цитированием
Непрочитано 05.02.2011, 09:28   [включить плавающее окно]   #109
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
как как защищает параметры shell и userinit в реестре?
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.02.2011, 09:56   [включить плавающее окно]   #110
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
siBEERian
Я - Dr.Web'овской опцией "Запрещать модификацию важных объектов Windows"
Миниатюры
Нажмите на изображение для увеличения
Название: dw_sett.PNG
Просмотров: 456
Размер:	39.6 Кб
ID:	31988  
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.02.2011, 04:05   [включить плавающее окно]   #111
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (garniv) »
siBEERian
Я - Dr.Web'овской опцией "Запрещать модификацию важных объектов Windows"
есть какие-нить аналогичные фриварные средства? или ДрВеб впереди планеты всей?
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.02.2011, 06:50   [включить плавающее окно]   #112
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Работа в учетке с ограниченными правами?
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.02.2011, 11:47   [включить плавающее окно]   #113
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (garniv) »
Работа в учетке с ограниченными правами?
дешёвый, простой и самый эффективный способ
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.02.2011, 10:44   [включить плавающее окно]   #114
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Тут дошли слухи о внедрении в WinLock-р диструктивной функции,зависит от таймера,в 4-ре дня не отэсэмэсился - кирдык Win-де,уже 2-х восстанавливала заново,признак-ни один из ERD-шников не видит винта с виндой.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.02.2011, 11:15   [включить плавающее окно]   #115
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Alexandra) »
Тут дошли слухи о внедрении в WinLock-р диструктивной функции,зависит от таймера,в 4-ре дня не отэсэмэсился - кирдык Win-де,уже 2-х восстанавливала заново,признак-ни один из ERD-шников не видит винта с виндой.
что-то интересное, ФС рушится или где?
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.02.2011, 13:11   [включить плавающее окно]   #116
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Да, Alexandra, что конкретнее происходит и как решаешь проблему?
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.02.2011, 13:22   [включить плавающее окно]   #117
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Заясняю, если лох ушастый в течении 4-х дней не отэсэмэсился, то от Винды остаётся только папка,но пустая совсем,а не вру, ещё папка System тож такая-же, доки не жрёт,пока....Ага.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.02.2011, 13:34   [включить плавающее окно]   #118
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Понятно. Значит ещё одна причина рекомендовать платить за услуги спеца.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2011, 19:15   [включить плавающее окно]   #119
Fishkin
Мужской Недосягаемый
 
Аватар для Fishkin
 
Регистрация: 25.08.2004
Адрес: Мандрыковка
Знакомый позвонил (заядлый шахматист, но компьютерщик - не спец), стоит у него Аваст, обновляется... А "после обновления ФайрФокса на экран вылезло окно"
Я сходил к Касперскому, Данилову, ввод телефона и кода ответа не дает, из представленных окон ничего похожего нет...
что можно посоветовать?
Миниатюры
Нажмите на изображение для увеличения
Название: e73f844b2755.jpg
Просмотров: 508
Размер:	31.7 Кб
ID:	32394  
__________________
Уши есть у тех, у кого есть мозги. У кого мозгов нет - есть только рот.
Fishkin вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2011, 21:19   [включить плавающее окно]   #120
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Fishkin
У тебя ERD Commander имеется?
В первую очередь попробовать грузануться с него, подрубиться к реестру ОС,
и проверить пару ключей в ветке:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Это ключи с именами:

"Userinit"
"Shell"

Нормальные значения этих ключей такие:
Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe,

Некоторые Winlocker'ы прописывают себя в эти ключи, так что, если значения отличаются от приведённых мной выше, значит это есть ссылка либо на винлокер, либо на ещё какой-нибудь вирь, который наряду с винлокером живёт в системе.

Ещё можно попробовать использовать эти ключи в своих целях, отредактировав их таким образом, чтобы запустить "Command line shell" (c:\WINDOWS\system32\cmd.exe), а из "Command line shell" попробовать запустить сканер AVZ, чтобы он просканировал и выдал чего в ключах реестра не так.

Скан с антивирусного Live CD лучше не запускать, пока не сделаешь образа раздела на котором стоит ОС.

И ещё, если удасться вычислить файл с локером, его нужно бы сохранить, чтобы потом можно было отправить на анализ в лабораторию Касперского и в лабораторию Доктор Веба.

Кстати, у ERD5.0 есть нюанс, загрузиться не получиться если SATA работает в AHCI-режиме, то есть перед использованием ERD'а нужно в BIOS Setup переключить SATA в режим совместимости, кроме того, если на машине 4 Гб памяти или больше, то необходимо в BIOS Setup включить опцию ограничения количества оперативной памяти.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 17.03.2011 в 21:55.
WestGott вне форума  
Ответить с цитированием
Непрочитано 17.03.2011, 23:14   [включить плавающее окно]   #121
Fishkin
Мужской Недосягаемый
 
Аватар для Fishkin
 
Регистрация: 25.08.2004
Адрес: Мандрыковка
WestGott спасибо, инструкции довольно подробные и если-бы я лично занимался, то думаю, осилил бы... а вот неспециалисту как это передать... буду думать, как попроще ему это воплотить.
Пару раз помогал знакомым с винлокерами в режиме: скажи номер и текст смс, ввожу на сайте Касперского, передаю им ответный код... тогда это работало, а тут надо подумать, как помочь товарищу...
спасибо
__________________
Уши есть у тех, у кого есть мозги. У кого мозгов нет - есть только рот.
Fishkin вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 18.03.2011, 00:26   [включить плавающее окно]   #122
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Fishkin) »
а вот неспециалисту как это передать...
Fishkin
О! А вот тут проблема, не думаю, что у твоего знакомого будет диск с ERD Commander, да и в BIOS Setup неспециалисту IMHO лучше не лазить.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 13.04.2011, 20:33   [включить плавающее окно]   #123
hunta
Мужской Новенький
 
Регистрация: 13.04.2011
словил локера "детская порнография и т.д."

Удалил руками, потому что антивиры не чухали (даже тут же скачаный cureit). Удалил при помощи диска Alkid live cd.
Данный вирус подменяет своим файлом стандартный Userinit.exe.


Вот тут подробности: что удалял и откуда http://imho-karma.blogspot.com/2011/04/hosieexe_13.html

Вкратце: удалил 3 файла, переименовал 1 файл...
В реестр я думаю можно не лазить.

Последний раз редактировалось hunta; 13.04.2011 в 20:36. Причина: Добавление
hunta вне форума  
Ответить с цитированием
Непрочитано 13.04.2011, 22:45   [включить плавающее окно]   #124
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (hunta) »
В реестр я думаю можно не лазить.
Можно запустить AVZ - это достаточно просто
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.04.2011, 21:15   [включить плавающее окно]   #125
Бизя
Женский Общительный
 
Регистрация: 14.09.2007
Цитата (garniv) »
Можно запустить AVZ - это достаточно просто
а он есть на загрузочнике каком-нибудь? просто аварийный диск от компании этой я знаю. а есть загрузочник самого avz? недавно лечились у знакомого от подобной шняги. но там нашли код на сайте вендора, повезло. хотелось бы иметь аварийник на такие случаи.
Бизя вне форума  
Ответить с цитированием
Непрочитано 19.04.2011, 16:29   [включить плавающее окно]   #126
Alexandra
Женский Недосягаемый
Автор темы
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Цитата (hunta) »
В реестр я думаю можно не лазить.
Конечно,подумаеш раздулся маненько,ну по медленнее машинка грузится будет,но ведь работает-ты Хирой.
Ага.
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.04.2011, 21:49   [включить плавающее окно]   #127
Butcher
Мужской Умудрённый
 
Аватар для Butcher
 
Регистрация: 23.12.2003
Адрес: Москва
hunta
Сегодня удалял такую хрень.
Действия просты, как обычно, но нужно иметь при себе userinit.exe и taskmgr.exe
Итак
1 - грузимся с загрузочного СД или флешки
2 - в windows\system32 находим userinit.exe и taskmgr.exe и запоминаем как выглядит иконка этих файлов
3 - удаляем оба, потом в windows\system32\DllCash тоже удаляем
4 - поиском на системном диске ищем *.ехе и удаляем все, что имеет иконку как у удаленных userinit.exe и taskmgr.exe(они у меня имели фон бежевого цвета и было их аж 14 шт, естественно с бредовым названием, в папке с оперой, с хромом, в папке allusers, так же попали в папку с виндой, во временных темпах всех, а самое интересное, что нашел и в папке с распакованным драйвером ATI)
5 - подставляем заготовленные userinit.exe и taskmgr.exe в windows\system32 и windows\system32\DllCash соответственно и перезагружаемся.
6 - получаем черный экран, жмем ctrl+alt+del, новая задача - regedit в ветке HLM\Software\Microsoft\Windows NT\Current Version\Winlogon меняем ту чушь что в shell на explorer.exe. Ниже исправляем всю строчку userinit на c:\windows\system32\userinit.exe(желательно все что после userinit.exe написано удалить нах вручную с системы). Так же смотрим внимательно, не прописан ли какой лишний и непонятный аплет в этой ветке, при наличии такого удаляем.
7 - Перезагружаемся и радуемся жизни.

Этот локер тупо подменяет или изменяет userinit.exe и taskmgr.exe.
__________________
Чтобы было чисто всюду,
Как пожрал, помой посуду.

Последний раз редактировалось Butcher; 27.04.2011 в 00:20.
Butcher вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.04.2011, 22:21   [включить плавающее окно]   #128
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (Butcher) »
удаляем все, что имеет иконку как у удаленных userinit.exe и tackmgr.exe
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.04.2011, 22:41   [включить плавающее окно]   #129
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
taskmgr.exe
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 00:19   [включить плавающее окно]   #130
Butcher
Мужской Умудрённый
 
Аватар для Butcher
 
Регистрация: 23.12.2003
Адрес: Москва
garniv
исправил, что-то я совсем тупо опечатался, а потом копипастил))

Freeuse
что смешного? ты посмотри на эти файлы, они с реальными картинками на файло ничего общего не имеют...
либо рябь, либо монотонный фон...
__________________
Чтобы было чисто всюду,
Как пожрал, помой посуду.

Последний раз редактировалось Butcher; 27.04.2011 в 00:21.
Butcher вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 00:50   [включить плавающее окно]   #131
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (Butcher) »
ты посмотри на эти файлы,
Спасибо, не хочется...
А насчёт иконок, так это всего лишь отображение типа файла (либо найденного в файле изображения) и в зависимости от сборки загрузочного диска изображение может меняться. Совсем не факт, что удаленные вами файлы
Цитата (Butcher) »
аж 14 шт, естественно с бредовым названием, в папке с оперой, с хромом, в папке allusers, так же попали в папку с виндой, во временных темпах всех, а самое интересное, что нашел и в папке с распакованным драйвером ATI)
были вирусом. Под "бредовыми названиями" файлов могут быть и временные файлы с посещаемых страниц и системные файлы. Трудно представить, что Winlocker будет создавать что-то в папке с драйвером ATI. В таком случае это уже больше похоже на файловый вирус, а Winlocker более всё-таки скриптовый. По-моему. Именно поэтому ваш подход к борьбе с блокировщиком и вызвал у меня улыбку. Но в любом случае, уже хорошо, что вы его сняли.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 07:44   [включить плавающее окно]   #132
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Butcher) »
Этот локер тупо подменяет или изменяет userinit.exe и taskmgr.exe.
Не бьётся вот с этим:
Цитата (Butcher) »
в ветке HLM\Software\Microsoft\Windows NT\Current Version\Winlogon меняем ту чушь что в shell на explorer.exe. Ниже исправляем всю строчку userinit на c:\windows\system32\userinit.exe(желательно все что после userinit.exe написано удалить нах вручную с системы).
Если действительно был заменён файл userinit.exe - зачем было локеру ещё и ветку в реестре курочить?..

Добавлено через 1 минуту

P.S. Скорее всего, достаточно было загрузиться с любого Live-CD и подправить реестр.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 10:56   [включить плавающее окно]   #133
Butcher
Мужской Умудрённый
 
Аватар для Butcher
 
Регистрация: 23.12.2003
Адрес: Москва
Smirnoff
Если есть желание, я те пришлю эти файлики, я их для коллекции сохранил.
__________________
Чтобы было чисто всюду,
Как пожрал, помой посуду.
Butcher вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 11:31   [включить плавающее окно]   #134
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Butcher) »
эти файлики, я их для коллекции сохранил
Ты лучше скачай свежий Dr.Web CureIt и проверь им...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 11:54   [включить плавающее окно]   #135
Fishkin
Мужской Недосягаемый
 
Аватар для Fishkin
 
Регистрация: 25.08.2004
Адрес: Мандрыковка
На выходных случился у кума винлокер , речи о детской порнографии не было, якобы Служба безопасности Майкрософта просекла и требует смс-очку... на Билайн или МТС или платежную сеть КИВИ...
Экран черный, текст белый с красным. Тикает счетчик... Ничем не сворачивается и только режим Full-screen, даже при загрузке в безопасном режиме.
С рядом лежащего бука я воспользовался помощью с форума сайта Касперского, а именно:
скачать, нарезать и загрузиться с Win7PE_uVS.iso, далее запустить саму прогу uVS, сбросить ключи винлогона в начальное состояние и дополнительно прибить показавшиеся явно подозрительные файлы (из найденных прогой uVS).
В сети образы Win7PE_uVS.iso попадались только на ресурсах, предсотавляющих довольно медленную скорость (40-60кб/сек без голд-аккаунта) и закачка растянулась на час примерно...
Сама uVS весит метра 2,5... Поэтому я загрузился с какого-то самосборного DVD (типа ZverDVD-XPsp3), там образ WinPE уже есть как правило..
Для начала прошелся AVZ, включил авто-исправление системных дырок, прибил пару "чего-то", может быть скринсейверов ...
а потом уже uVS, завершил начатое и избавились от Винлокера.
Смотрю, что же в системе стоит? Др.Вэб с завершенным ключом и Аутпост с таким же.. Не знаю как Аутпост, а со стороны Вэба, при завершении ключа переставать работать - это западло! Я понимаю политику антивируса, когда по завершении ключа ему не дают новых баз сигнатур и не обновляют модули. Но полученное в оплаченный срок должно продолжать работать!
Поэтому кум получил (уже pirates) ESS v.4 и надеюсь, это поможет не попадать болеше в такие ситуации... ну хоть какое то время
__________________
Уши есть у тех, у кого есть мозги. У кого мозгов нет - есть только рот.
Fishkin вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 14:12   [включить плавающее окно]   #136
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (Fishkin) »
Но полученное в оплаченный срок должно продолжать работать!
Расскажи это еще другим антивирусным компаниям, Касперскому например
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 15:14   [включить плавающее окно]   #137
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Fishkin) »
Др.Вэб с завершенным ключом и Аутпост с таким же.. Не знаю как Аутпост, а со стороны Вэба, при завершении ключа переставать работать - это западло!
Возможно, когда ключ ещё был рабочим, владелец не сказал ему "блокировать изменения важных объектов Windows", а со старыми базами Dr.Web мог свежий локер и не узнать...
Далее: а разве не "западло" работать, когда тебя уже уволили и зарплату не платят?
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 16:54   [включить плавающее окно]   #138
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
а почему все грешат на АВ? АВ не могут определить данную гадость как угрозу, лишь предупредить о том, что ресурс опасный и с него может загрузиться бяка. Блокеры не имеют ничего подозрительного и юзер, в первую очередь, сам разрешает загрузку (кому-то интересно поюзать сканер одежды, или где находится его подруга), игнорируя предупреждения АВ. А уж потом блокер меняет реестр для своего запуска и блокировки средств его отключения.
Однажды мне удалось со смехом удалить блокиратор: деблокер от каспера не помог (не потому что бесполезен, потому что автор блокера не оставил варианты буквенного ввода, только цифры). Так я его "замучил", что он просто завис))) И после этого удалось запустить диспетчер, получить имя повисшего блокера, найти тело, все изменённые ветки реестра. Для пущей убедительности проверил найденное тело и каспером и курятиной и АВЗ. Никто из них ничего не нашёл, потому что тело было простым флеш-файлом.
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 18:39   [включить плавающее окно]   #139
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (C@pral) »
простым флеш-файлом
оО а это что такое?..
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 18:43   [включить плавающее окно]   #140
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
Цитата (garniv) »
это что такое?..
.swf
попадались и просто .avi, имя обычно состоит из кучи цифр.
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 18:51   [включить плавающее окно]   #141
Fishkin
Мужской Недосягаемый
 
Аватар для Fishkin
 
Регистрация: 25.08.2004
Адрес: Мандрыковка
Цитата (Smirnoff) »
Далее: а разве не "западло" работать, когда тебя уже уволили и зарплату не платят?
преставим: мы купили ручную мясорубку. она наша. производитель удовлетворен деньгами. (антивирус наш (и работает) , произодитель получил деньги и удовлетворен) дальше произодитель предлагает за дополнительную плату нам мясо. мы соглашаемся, платим, регулярно получаем мясо и т.д. и вот мы перестаем платить производителю за мясо... и вместе с некупленным мясом вдруг отказывается работать наша мясорубка! она тупо лежит и грусно хнычет: купите у "лаборатории Д." мяска, и тогда мы поработаем.... чужое мясо она ессссно не мелет..
фигня какая-то!
Почему покупая Винду и забив на дальнейшие обновления и вообще любое общение с Майкрософтом, мы все таки имеем на машине рабочий продукт, не требующий постоянных вбросов денег. так же получается и , например, с NOD32 (или ESS)... и много еще каким ПО.
можно сказать так: за полученные деньги не кормите меня базами, новыми модулями и пр. , но извольте обеспечить постоянную работу с эвристическим анализатором и с базами сигнатур, полученных в оплаченный период! это - нормально.
__________________
Уши есть у тех, у кого есть мозги. У кого мозгов нет - есть только рот.
Fishkin вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 19:17   [включить плавающее окно]   #142
Butcher
Мужской Умудрённый
 
Аватар для Butcher
 
Регистрация: 23.12.2003
Адрес: Москва
Smirnoff
свежий CureIt курит в сторонке, ничего он не нашел....
__________________
Чтобы было чисто всюду,
Как пожрал, помой посуду.
Butcher вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.04.2011, 20:01   [включить плавающее окно]   #143
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Fishkin
дав потому что антивирус с базами месячной давности уже практически бесполезен.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.04.2011, 08:44   [включить плавающее окно]   #144
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Fishkin) »
за полученные деньги не кормите меня базами, новыми модулями и пр. , но извольте обеспечить постоянную работу с эвристическим анализатором и с базами сигнатур, полученных в оплаченный период! это - нормально.
И что - у тебя есть хоть один пример такой работы коммерческого a/v?..

BTW: Ты, кстати, покупаешь не сам антивирус а лишь его работу на определённый срок - зато со всеми обновлениями не только a/v баз (мяско ) но и с обновлением механической части мясорубки (ножи там, более производительный шнек, более удобная ручка для кручения etc ).
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.04.2011, 11:43   [включить плавающее окно]   #145
Fishkin
Мужской Недосягаемый
 
Аватар для Fishkin
 
Регистрация: 25.08.2004
Адрес: Мандрыковка
Цитата (Smirnoff) »
И что - у тебя есть хоть один пример такой работы коммерческого a/v?
Но ведь ESET Smart Security продолжает ловить мышей даже когда ключик кончился.
Да, можно попасть на "свеженькое", но практика показывает (в моем кругу деятельности и знакомых), что возможность попадания на вирусы с некоторым возрастом, если вообще не реликвии
__________________
Уши есть у тех, у кого есть мозги. У кого мозгов нет - есть только рот.
Fishkin вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.04.2011, 00:00   [включить плавающее окно]   #146
Freeuse
Мужской Заслуженный
 
Аватар для Freeuse
 
Регистрация: 08.02.2010
Адрес: Ростов-на-Дону
Цитата (Smirnoff) »
И что - у тебя есть хоть один пример такой работы коммерческого a/v?..
Практически любой антивирус должен (да и продолжает) работать и после окончания срока действия лицензионного ключа. Прекращается лишь его поддержка, о чем программа постоянно напоминает.
Цитата (Smirnoff) »
Ты, кстати, покупаешь не сам антивирус а лишь его работу на определённый срок
Совершенно верно. Саму антивирусную программу можно абсолютно бесплатно скачать и установить на свой компьютер даже не устанавливая лицензионный ключ не нарушая лицензионного соглашения. Заплатив за лицензию я получаю право на определенный срок получать обновления как самой программы, так и баз/сигнатур. Еще раз: По окончании срока действия лицензионного ключа прекращается поддержка продукта, но никак не работоспособность антивируса. Он продолжает работать с теми базами, которые шли с программным модулем и были получены в период действия ключа.
Fishkin
Если ваш антивирус был выключен или заблокирован, то полагаю, что это либо были действия самого пользователя, либо действия пропущеного вируса, неизвестного DrWEB.
Freeuse вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.04.2011, 09:18   [включить плавающее окно]   #147
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Fishkin) »
ESET Smart Security продолжает ловить мышей даже когда ключик кончился.
Да ну?
По личным впечатлениям - он даже лицензионный и с действующим ключом не больно-то "ловит"...


Добавлено через 3 минуты

Цитата (Freeuse) »
продолжает работать с теми базами, которые шли с программным модулем и были получены в период действия ключа.
В том и беда, что и вирусы новые появляются, и дыры в винде и в самом a/v обнаруживаются - так что толку от необновляемого антивируса куда меньше нуля: юзер думает, что у него антивирус есть и "ничего не боится" (а стОило бы ).
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.05.2011, 14:28   [включить плавающее окно]   #148
Левко
Мужской Начинающий
 
Регистрация: 14.08.2007
Адрес: Украина
прошу помощи.
проблема по блокировке виндовса
детально описал в соседней теме здесь Троян more.exe-ак избавиться??. Сообщение №8.
__________________
Учится никогда не поздно!
Левко вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.05.2011, 16:09   [включить плавающее окно]   #149
hunta
Мужской Новенький
 
Регистрация: 13.04.2011
По этому поводу (вирусы в реестр лезут постоянно) пробую щас всякие софтины, которые следят за таким вторжением. Кто чего могет подсказать?
Пока попробовал 2IP StartGuard. получается этакий игнал, что вирусня залезла на комп и лезет в реестр... Но сами понимаете, вирус то уже на компе.
hunta вне форума  
Ответить с цитированием
Непрочитано 16.05.2011, 16:34   [включить плавающее окно]   #150
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Как вариант - забыть о работе под учеткой администратора, а пользователю с ограниченными правами - запретить(не давать) доступ к потенциально уязвимым местам.

Последний раз редактировалось garniv; 16.05.2011 в 16:38.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.05.2011, 18:57   [включить плавающее окно]   #151
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
пробуй анвир таск менеджер anvir.net
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 11:52   [включить плавающее окно]   #152
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
Всем привет!
Второй раз сталкиваюсь с хитрым блокиратором. как обычно нахожу тело, по его имени нахожу связи в реестре, чищу, исправляю последствия в реестре. Вроде бы всё, раньше помогало в 100% случаев, но не сейчас. После рестарта, блокиратор появляется вновь (он из свежих, со статьёй о педофилии). Т.е. тело блокиратора генерируется откуда-то. Нашёл все куки мозилы, все файлы, созданные в тоже время, удалил. Гружусь, снова он здесь. Закралось подозрение, что источник на ЖД появился намного раньше и активировался по истечении какого-то времени. Или... или я недочистил где-то что-то. Т.к. это второй случай (с первым решил только переустановкой Ос), то хочу получить советы и помощь в решении траблы.

Добавлено через 3 минуты



Добавлено через 5 минут

Ещё новость! "Генератор" блокиратора определённо есть. На скрине номер телефона уже другой, до чистки был иной.

Последний раз редактировалось C@pral; 26.05.2011 в 11:55.
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 12:24   [включить плавающее окно]   #153
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (C@pral) »
раньше помогало в 100% случаев, но не сейчас.
Позавчера такой выносил, ты проверь даты создания у файлов taskmgr.exe и userinit.exe - возможно, они окажутся не такими уж "правильными"...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 13:19   [включить плавающее окно]   #154
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
Smirnoff
так и есть, нашёл 2 userinit.exe, оба убрал и заменил на 1 из LiveCD.
Далее, не помню чем правил, но точно помню, что уже сталкивался с этим: появляется учётка и при её выборе сразу происходит выход из неё.
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 13:23   [включить плавающее окно]   #155
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (C@pral) »
появляется учётка и при её выборе сразу происходит выход из неё
Проверь, что в реестре правильно указан путь к userinit.exe; я сегодня час убил (ещё один локер девчонки поймали, что им!) на то, чтобы наконец сообразить: в реестре было написано "C:\Windows\system32\userinit.exe", а я-то ставил в C:\WINXP...

Добавлено через 1 минуту

На всякий случай: это
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 13:28   [включить плавающее окно]   #156
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
Smirnoff
с этим я сразу расправился, т.е. там как положено

Добавлено через 20 минут

Решил проблему. Userinit похоже был не совсем правильный (из RUSliveRAM), скопировал с рабочей винды. Кст, параметр Shell тоже был похерен, в нём был путь к заразе, вместо explorer.exe/
Вот в помощь:
Edit these values and type the correct path of shell :

Shell = explorer.exe
Userinit=X:\windows\system32\userinit.exe

NOTE: These files may also be deleted by spywares. You may need to extract them using Windows CD.

Steps for rectifying this problem:

Log on to a networked computer.
Run Regedit.exe
Point your cursor to HKEY_LOCAL_MACHINE
Select File > Connect Remote Registry
Type computer name (infected computer)
Navigate to the following location in registry of destination or infected computer


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Edit these two values in right pane:

Shell
Userinit

Change these two values to
Shell=explorer.exe
Userinit = x:\windows\system32\userinit.exe

Exit from Registry
Restart Infected computer.
You should be able to log on to computer.


Добавлено через 22 минуты

Smirnoff
спасибо за помощь!
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.05.2011, 15:04   [включить плавающее окно]   #157
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (C@pral) »
Userinit похоже был не совсем правильный
Он был не "похоже" а как раз именно неправильный; я эти два файлика (ещё taskmgr.exe) вообще сразу заменил из "чистой" винды.

Цитата (C@pral) »
параметр Shell тоже был похерен, в нём был путь к заразе
Это вообще суперстандартно...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.05.2011, 06:24   [включить плавающее окно]   #158
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
гружусь с лайфсд, чищу темпы, кукисы, реестр и сразу заменяю системные файлы
  1. cmd.exe
  2. ctfmon.exe
  3. explorer.exe
  4. hosts
  5. ntoskrnl.exe
  6. regedit.exe
  7. regedt32.exe
  8. services.exe
  9. sfc.dll
  10. sfc.exe
  11. sfc_os.dll
  12. sfcfiles.dll
  13. shutdown.exe
  14. spoolsv.exe
  15. svchost.exe
  16. TASKMAN.EXE
  17. taskmgr.exe
  18. userinit.exe
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.05.2011, 19:28   [включить плавающее окно]   #159
C@pral
Мужской Умудрённый
 
Аватар для C@pral
 
Регистрация: 25.10.2006
Адрес: Самара
siBEERian
серьёзная подготовка
надо тоже состряпать подобное
C@pral вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.05.2011, 22:37   [включить плавающее окно]   #160
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (C@pral) »
надо тоже состряпать подобное
Зачем? Он так перестраховывается лишь потому, что является апологетом Касперских продуктов; Dr.Web все эти файлы сам лечит...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.05.2011, 05:43   [включить плавающее окно]   #161
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Smirnoff) »
Он так перестраховывается лишь потому, что является апологетом Касперских продуктов
мы уже исправились теперь я касперского не лублу... Avira forever!!!
Цитата (Smirnoff) »
Dr.Web все эти файлы сам лечит...
ага, рассказывайте мне сказки, да побольше... Cureit тоже юзаю для профилактики
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.05.2011, 07:17   [включить плавающее окно]   #162
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (siBEERian) »
да побольше...
Ладно, не все. Но многие...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 31.05.2011, 12:09   [включить плавающее окно]   #163
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
для юзверей Касперыча http://forum.kaspersky.com/index.php...&#entry1541826

P/S? для хумора http://habrahabr.ru/company/kaspersky/blog/119959/

Добавлено через 3 минуты

как заражаются вконтакте http://habrahabr.ru/blogs/infosecurity/120233/
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.07.2011, 16:14   [включить плавающее окно]   #164
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Вот уже многократно воспользовался свежим LiveCD для удаления именно этих локеров: "AntiWinLocker 3.1 LiveCD", который распространяется бесплатно на оф. сайте разработчика: http://www.antiwinlocker.ru

Очень прост в использовании, испробован в автоматическом режиме на самых свежих разновидностях локеров - все убрал за две минуты, рекомендую. Потом остаётся только просканить систему антивирусами.

Раньше использовал ERD + набор антивирей, но то был гемор и отнимало много времени.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 03.07.2011 в 17:10.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 05:45   [включить плавающее окно]   #165
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
ща заценим...

Добавлено через 10 минут

Раньше использовал ERD + набор антивирей, но то был гемор и отнимало много времени.
я юзаю WinPE: просомотр пару тройку веток в реестре + втупую замена системных файлов - 10-15 минут разве много?
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 07:00   [включить плавающее окно]   #166
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Ну порой затягивается не на 10-15, да и с этим образом проще - ткнул и забыл, лишь иногда может пригодиться ручной режим.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 07:06   [включить плавающее окно]   #167
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
скачал, нарезал, жду комп с локером )))
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 08:16   [включить плавающее окно]   #168
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (siBEERian) »
жду комп с локером
Вот ведь какая незадача: ну не тащут мне компы с локерами клиенты, которым я установил Dr.Web - я же всем ставлю запрет на "модификацию важных объектов Windows"...

Добавлено через 1 минуту

воспользовался свежим LiveCD для удаления именно этих локеров: "AntiWinLocker 3.1 LiveCD"
Вообще говоря, он просто слегка автоматизирует то, что я уже умею делать своими руками.
Но свои руки - они всегда при мне и потому - надёжнее.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 08:46   [включить плавающее окно]   #169
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Smirnoff) »
Вообще говоря, он просто слегка автоматизирует то, что я уже умею делать своими руками.
у меня щас "мальчик" работатет, в компах ни бум-бум, но усидчивый! учится по маленьку, для него самое то будет!

P/S/ все еще жду комп с винолкером ))))
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2011, 18:20   [включить плавающее окно]   #170
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Да понятное дело, что руками тоже самое можно, просто вот сижу я на работе и утопаю в бумагах и приносят мне бук с баннером и отвлекают, а тут я не отвлекаясь ткнул в два клика и бук отдал. Те же деньги, но за меньшее время.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.07.2011, 06:17   [включить плавающее окно]   #171
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Те же деньги, но за меньшее время.
Логично, одобрям.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.08.2011, 12:08   [включить плавающее окно]   #172
hunta
Мужской Новенький
 
Регистрация: 13.04.2011
Ппочитал комменты на свой корявый пост. Поржал. Спасибо народ за хороший настрой!
hunta вне форума  
Ответить с цитированием
Непрочитано 29.08.2011, 18:27   [включить плавающее окно]   #173
Юрий В
Мужской Интересующийся
 
Регистрация: 08.05.2010
Адрес: Москва
О блокировке Windows

Только что на моем компьютере появился блокирующий его работу банер, владелец которого потребовал уплатить ему за разблокирование 500 рублей, переслав их по телефону 8-(910)-722-91-43. Не знает ли кто код разблокирования этого банера?..
Юрий В вне форума  
Ответить с цитированием
Непрочитано 29.08.2011, 18:33   [включить плавающее окно]   #174
kyba
Мужской Бывалый
 
Аватар для kyba
 
Регистрация: 28.07.2009
Адрес: Рязань
Бесплатный рзблокировщик Dr. Web
Удаление баннера с рабочего стола, разблокировка Windows Касперский
__________________
Jedem das Seine
kyba вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.08.2011, 18:34   [включить плавающее окно]   #175
Lexx77
Мужской Заслуженный
 
Аватар для Lexx77
 
Регистрация: 20.02.2011
Адрес: Ишим, Тюм. обл.
Юрий В попробуй http://support.kaspersky.ru/viruses/...?qid=208641245
__________________
Александр
Lexx77 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.08.2011, 18:35   [включить плавающее окно]   #176
kyba
Мужской Бывалый
 
Аватар для kyba
 
Регистрация: 28.07.2009
Адрес: Рязань
Anti - WinLocker (AWL version 1.0.1.7) - бесплатная утилита удаления Trojan.Winlock
__________________
Jedem das Seine
kyba вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.08.2011, 19:25   [включить плавающее окно]   #177
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Юрий В
Какая OS ?
garniv вне форума  
Конфигурация ПК
Ответить с цитированием