в висте и семерке уже не работает. так что на пенсии будет над чем подумать ;)Цитата:
(пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll
Вид для печати
в висте и семерке уже не работает. так что на пенсии будет над чем подумать ;)Цитата:
(пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll
На висте и семерке про порнобаннеры никто не парится.
Речь об ХР онли.
Вопрос в другом: почему не реализовано? Таких решений кучная куча на поверхности лежит, а они всё по-старинке - как с гранатами под танки...
Кстати, в висте и семёрке достаточно свои резиденты на старте в плагины оформления рабочего стола сунуть, и получишь то же самое, только обращаться придётся через внешние процедуры, всего делов. ;)
Да я просто кое-где уже это говорил. ;)Цитата:
Где-то я уже это читал
Подцепил.Попробовал все ваши советы,но не помогло(не очень я в таких делах).Диск игнорировался,безопасный режим побоку.Только диалог,а потом тот же черный экран с баннером,куда заплатить.Удалось всунуть Хр производства неизвестного гения.Поставил на другой лог диск,удалил гадость и спас нужное.Но систему восстановить не удалось-теперь синий экран.
неужели даже копирование реестра из точки восстановления не помогло?
А это как?Я папки из-под второй винды выцарапывал,а старую увы никак-дяденька нужен.:ups:
да и поломал я там все...Да и получил я этот комп вместо зарплаты,путем выдергивания из локалки со всеми групповыми политиками,отключенными фаерволами и левым 1С(сразу выкинул).Ну и коней разных.ИМХО,пришло время.
если загрузиться с загрузочноег диска с WinPE, то можно получить доступ к папке system volume information.
В ней ищешь папку с датой ранее чем заражение, копируешь из папки Snapshot файлы начинающиеся с _REGISTRY в %windir%\system32\config
Потом переименовываешь их в соответствии с последним словом после последнего знака _ в имени
_REGISTRY ..._SYSTEM в system
_REGISTRY ..._SAM в sam и т.д.
потом перезагружаешься и имеешь состояние до заражения.
Я так поднял пару трупов на той неделе без переустановки.
Странно. Регулярно в образовательных целях просматриваем самые отвратительные порносайты и ничего не "прилипает" )))
2DogEater-попробую и" Да пребудет со мной сила!"Но я не с загрузочного диска,вторую систему установил и снее в этот "чернобыль" лазаю.
2CARTOON-промазал мышью вместо "блокировать" в "разрешить".
Напрасно. Следует иметь такой загрузочный диск всегда в запасе.Цитата:
Сообщение от user053
Фишка в том,что зараза не пропускала эти диски от др веба и проч.А левак проскочил и установился.Да и сейчас не проходит,хотя екзешник удалил,чисто папку его.
ну не знаю, может меня бояться? :)
Попытаюсь эту операцию сделать путем замены папок.Надо значит подменить файлы?Хотя чисто спортивный интерес-мне выгоднее ось переустановить для очищения.
Учитывая наследство - да. Но раз есть возможность - надо потренироваться на будущее. Что бы спасать, если что, свежепереустановленную ось.Цитата:
Сообщение от user053
Именно так,раз такая возможность предоставилась.
В итоге-не вышло дышло:не пускает меня комп в систем вольюм,отказано в допуске.Но всю информацию вытащил.
А состояние системы:экран приветствия,потом чистый голубой с указателем мыши.Хр про Сп3 было.Видно лишнего наудалял.
Это после загрузке с Live cd с виндой?Цитата:
Сообщение от user053
Сд вообще не лезет(лошара я в этом).Из под второй установленной не открыть ни в старой системе(диск С) ни в новой(диск Ф).Так и пишет:"отказано в доступе Тебе л..."
Во второй системе открываем Мой компьютер - свойства папки, и убираем галочку "Использовать простой общий доступ к файлам". Затем правой кнопкой на диск Ф (который не пущает) - Безопасность. И там надо себя любимого обьявить к этому диску хозяином..Цитата:
Сообщение от user053
А папочка оказалась пуста...Как зараза и обещала:cry:
Но есть уже новый диск и впереди новая жизнь.
Спасибо!
Чтобы удалить баннер, предлагающий отправить смс с текстом на определенный номер для разблокировки компьютера, введите в соответствующие поля номер телефона (например, 5121 или 3381) и текст смс, который блокеры-вымогатели просят на него отправить.
Новая фишка.
Вылез баннер с требованием оплатить через терминал на счет билайна 9636256877 260 с чем то рублей и на чеке будет код для ввода.
Кто-нить сталкивался?
У знакомого такая фишка вылезла - толи он чета недопонял, толи одно из двух - удивлялся что там просили 0 (ноль) рублей оплатить :) Мож и не прочитал нормально.. я в эту надпись не вникал.. Касперский заразу пропустил :( - лечились CureIt, AVZ и ручками.Цитата:
Сообщение от Gelo
Ок, распишем по-порядку.
Этот баннер - программа. Так?
Так.
Она у нас появляется на старте.
Значит, грузится вместе с системой.
Значит, надо её найти - где она прописана на загрузку, и отчикать эту команду на загрузку, а сам файл программы мы найдём как только найдём запрос на его загрузку - в нём будет указано его имя? хотя можно и не искать - он же уже не будет грузиться, верно?
Итак.
Всё дальнейшее относится к Windows XP всех модификаций и Windows 2000.
Windows7 и Windows Vista имеют немножко другую организацию автозагрузки, их мы коснёмся позднее, если кому понадобится.
Ну, оставим в покое тот сложный и долгий способ, который я описывал ранее:
... это для гурманов.Цитата:
Сообщение от FilippOk
Это когда совсем аллес, и ничего сделать не получается совсем.
Но есть и более простые пути.
Мест, откуда эта гадость грузится, не так и много. Я их щас перечислю.
Вся проблема не в том, чтобы найти, откуда оно грузится, а в том, чтобы добраться до этого места, откуда оно грузится, потому что у нас в лучшем случае, пол-экрана закрыто членами и попами.
1. Гадость может грузиться тупо ярлыком из меню Пуск->Все программы->Автозагрузка. Проверяется просто, удаляется легко. Понятно, что если там есть что-то, чего мы никогда не видели - не грех оттуда и убрать. И перезагрузиться не забыть.
Не забываем, что есть такое понятие - "подмена ярлыка", когда, допустим, в Автозагрузке висит себе мирно "Быстрый запуск Microsoft Office" (этот ярлык устанавливается туда по умолчанию при установке Офиса), только вот вовсе не обязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" - вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.
Имеем ввиду.
2. Гадость может грузиться из RUN-разделов реестра.
Эти разделы в реестре находятся по адресам:
Общий автозапуск:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе в систему каждый раз и в любом случае.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра.
Автозапуск конкретного юзера:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе текущего пользователя в систему.
Ну, и по аналогии,
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Есть ещё местечки:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices - программы, которые загружаются при старте системы ДО входа пользователей в Windows.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система, но ДО оболочки winlogon. Зато - для всех юзеров.
То есть, чтобы автоматом запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (Пуск->выполнить, regedit), переходим в раздел
HKCU/Software/Microsoft/Windows/CurrentVersion/Run и добавляем следующий ключ: NOTEPAD.EXE со значением "C:\WINDOWS\System32\notepad.exe" - и будем наблюдать его каждую загрузку.
Отсюда и проистекает наш Универсальный способ 2.
0. Если баннер не закрывает кнопку "Пуск", идём в "Пуск"->"Выполнить".
1. В появившейся строке вбиваем: msconfig, жмём Enter.
2. Появится окошко "настройка системы". Если оно перекрыто баннером, его надо вытащить из-под баннера так, чтобы было видно хотя бы его часть.
3. Переключаемся на вкладку "Автозагрузка".
4. Там много чего будет, но нас интересует длинная кнопка "отключить всё" под списочком. если удалось её нажать - пол-дела сделано. Нажимаем её, потом нажимаем "Ок", и перезагружаемся.
5. Если гадость стартует из RUN-разделов реестра, она не запустится.
6. После перезагрузки системы высветится окошко-запрос о том, что параметры загрузки системы были изменены, и что, мол, ай-яй-яй.
там есть галка "больше не показывать это сообщение".
7. Остаётся запустить msconfig ещё раз и выяснить во вкладке "Автозагрузка", что из того, что там перечислено, нам известно и нужно, а что можно и не включать обратно, расставляя там галки.
==========================================================
Универсальный способ 3.
Если гадость стартует вместе с шеллом, то msconfig не поможет.
Для этого нужно:
0. Открыть "Пуск"->"Выполнить", запустить оттуда regedit
1. Пойти в
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon
Там есть два параметра:
Shell, он должен быть равен "Explorer.exe", и никак иначе, и
Userinit, который должен быть равен "C:\WINDOWS\system32\userinit.exe," - именно так, с запятой!
Наша задача - проследить чтобы эти две переменные имели именно такие значения.
2. Заодно навестим
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
В правой части окна НЕ ДОЛЖНО БЫТЬ строчек типа
"load"
"run"
Вернее, load там будет всегда, но значение его ДОЛЖНО БЫТЬ пустым.
если есть - удаляем.
Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.
Например, чтобы запустить Internet Explorer ДО входа пользователя в систему и Блокнот ПОСЛЕ входа пользователя в систему, достаточно прописать в
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
параметр load со значением "iexplore.exe"
и
параметр run со значением "notepad.exe"
3. Навестим вышеперечисленные разделы, убедимся, что там чисто.
4. Кроме того, гадость может запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные - Назначенные задания".
...либо просто открыть папку C:\ WINDOWS\Tasks, в которой можно бессовестно всё грохнуть.
Нда. Забираюсь-таки в дебри потихоньку.
Хватит на сегодня.
Так что про то, как склеиваются исполняемые файлы, я сегодня рассказывать не буду.
Потому что запросто можно запустить свой модуль одновременно со, скажем, Adobe Speed launcher, который ставится автоматически вместе с Adobe Acrobat...
Парюсь.Цитата:
Сообщение от FilippOk
Уф, осуществлял поиск о новом документальном фильме ВВс СССР, по ссылке попал на сайт, предупреждение поисковика о неблагонадежности сайта проигнорировал по глупости и сразу черный экран с попрашайничеством. Сразу перезагрузился, проблем нет, проверил антивирусом, все нормально тьфу-тьфу.
У меня такой "черный экран" вылез, когда я "Шушпанцер_ру" листал:)
Привет очередной голубой экран смерти. Только что поймал из поиска. Перезагрузился и все. Шантаж не прошел. :)
Где посмотреть, чтобы зараза не прописалась.
Эээ.... Ты как-то так описал, что не очень понятно. Если комп после перезагрузки соглашается на работу, то просто антивирусником прогони. Если не грузится, то образ диска антивиря с сайта у них качаешь и с него прямо грузишься. Я так понял :)
Давеча коллега делился, что с режима командной строки нашёл левый exe в системной папке и чикнул. После этого уже штатно запускался.
Live CD с тотал коммандером, поиск всех файлов изменённых со времени появления баннера, наказание виновных руками. всё.
Live CD + Uvs + замена юзеринит, эксплорер и таскменеджер с аналогичной системы
это чтоб не вызвать непреодолимое желание найти автора и закопать, что весьма вероятно в случае "неистребимой гадости" :)Цитата:
Сообщение от FilippOk
А вопрос теоретический: если два баннера...выполнятся будет первый загрузившийся или оба и подвесят систему?
Баннеры бывают разные:)
1) экран в синих тонах, белым написано что-то про гей порно и оплату через терминал
Тупо и не смешно. Прописывается вместо шелла. Запустить диспетчер задач или командную строку не дает. Убивается через безопасный режим с поддержкой командной строки. После загрузки в командной строке вводим regedit и используем 3-й универсальный способ. Усе.
2) экран в синих тонах, белым написано про детскую порнографию и оплату через терминал, либо картинка с двумя девушками и "пришлите смс"
Немного умнее, прописывается в реестре HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon (параметр userinit) рядом с userinit.exe, модифицирует winlogon.exe, раз в две секунды проверяет параметр userinit, если его исправили, опять дописывает себя. Лечится через liveCd правкой реестра и заменой winlogon.exe (самый быстрый способ). По хорошему, потом надо прогнать полную антивирусную проверку (тем же cureit`ом например)
3) картинка с одним или двумя парнями, надпись про гей порно и пришлите смс.
Встречались две вариации: попроще (аналогично п.2) и поумнее. Вторая вариация, кроме изменения winlogon.exe, меняет ключ реестра HKCR/exefile/shell/open/command/ (там должен быть один параметр (Default), значение - "%1" %*, именно так, с кавычками. Лечится так же, через livecd, правкой реестра и заменой winlogon.exe.
з.ы. HKCR/exefile/shell/open/command/ Этот параметр отвечает за то, как запускать exe файлы. Если его удалить, то система будет спрашивать, какой программой открывать файлы типа .exe. Забавная будет шутка:). Вылечить можно так: пуск->выполнить->command.com В появившемся окне вводим %system32%\regedit.exe. Запускается редактор реестра. Далее - дело техники=)
4) картинка с одной девушкой и надпись пришлите смс.
Подобное было на до упора загаженном ноуте, прописалось в реестре в трех местах (автозапуск, userinit и exefile), создало 4 службы с рандомными парами "название-описание", залезло в beep.sys и добавило тело вируса во все экзешники в %systemroot% (Филиппок, Вы подобное хотели сотворить:)? "все уже украдено до нас":)). Лечилось долго и упорно, но в итоге мы победили серость:). Подобная тварь встречалась мне всего один раз, допускаю, что это не один баннер, а целый букет различных вирусов.
Большинство порнобаннеров сводится к вышеописанным: меняются надписи, картинка и оформление, но суть остается.
З.Ы. все вышеперечисленные способы справедливы для 32-х разрядной хр
Я просто перезагрузился, все работало. Антивирус нашел одну одну бяку какую-то. Проблема была в том, что не мог зайти на сайт Др. Веба, точнее на некоторые его страницы, на др. антивирусные сайты заходил без проблем. CureIt'ом прогнал, ничего не нашел, запустил свой зверинец - киллеры и пр. Кидо ничего не нашел, на что-то ругался Збот, с каждым запуском. Когда загрузился снова проблема исчезла. :dontknow:
Как-то будучи нубом лазил по интернету и подхватил такой баннер в эксплорер. Тогда мне было 16 лет, а в интернете через мой комп шарились предки. Тут то я и струхнул чуток, увидят - вопросы будут. Проблему решил банальной установкой оперы. А через некоторое и на эксплорере испарился.
дык под пользователем сидеть надо, но эту истину, думаю, никогда народу донести не удастся :-(Цитата:
Сообщение от FilippOk
Опера не панацея, поверь.Цитата:
Сообщение от NHL
Возможно, но после этого случая я больше не рисковал проверять. Качаю софт только с официальных или проверенных сайтов.Цитата:
Сообщение от RomanSR
Дело не в софте. Ты можешь искать название фильма (ну забыл, а сейчас вдруг понадобилось) и при переходе по любой ссылке получить "экран" - просто работать с поисковиком, пример недавнее вирусное состояние сайта Уголок неба, т.е. не обязательно что-то качать или смотреть порносайты и подобное. Отчасти проблема решается нормальным антивирусом и файерволлом, и все это надо регулярно обновлять. И да, ходить нужно из под пользователя, а не с правами администратора.
А какой по вашему антивирус нормальный? У меня например стоит касперский, в принципе устраивает. Кто то называет лучшим DrWeb, кто то НОД любит. Лично я уверен, что не стоит ни при каких условиях ставить Avast. Сколько людей, столько и мнений будет. Кстати касперский блокирует подобные опасные сайты и ссылки. А фаервол Outpost у меня стоял - снес к чертовой матери, лажа. Может другой посоветуете, или KIS подойдет?Цитата:
Сообщение от RomanSR
Вот перечисленные антивирусы - Др. Веб и Касперский - я покупал и относительно регулярно получал что-то, что заставляло меня сносить все и переустанавливать систему. :) Это мой опыт. Может сейчас лучше стали делать.
Смотреть надо.
ПС Комодо + Авира. Сейчас полностью устраивает. + разные программы. У нас ниже есть отдельная тема. Гадость ловил, но до переустановки и отключения всего и вся не доходило. Вылазил в интернет и находил решение.
ППС Но я не утверждаю, что это панацея. :) Если у тебя Касперский все отлавливает, то используй его.
я использую встроенный файрвол виндовс и антивирус опять же от майкрософт. на рассказы, какой виндовс дырявый давно уже отвечаю тоько улыбкой. так как человек, который не может настроить достачно простой интерфейс виндового, не спасется более сложными сторонними продуктами.
Суть в чём , комрады , ни антивирус , ни файрвол вас не спасут от клика мышой по всплывшей менюшке с предложением типа чё-нить обновить , зачастую чисто машинально жмакаешь особо не вникая в сущьность надеясь на те же сторожа и в результате банер с предложением кинуть бабла и разлочить комп , первый раз дочка прибежала с повисшем банером чуть не в слезах , я прикололся , типа нехрен лазать куда не надо , но она слезно уверяла что с "контакта" вылезло , не долго думая форматнул и перставил все про все , но вот когда меня "поимели" на своей машине пришлось задуматься , особенно когда все зависло , благо была ещё система в машине резервная на другом диске, с неё и рыл инет в поисках решениЯ. Спасло тока загрузка с диска win 7 pe_VS и чистка реестра , потом уже антивирусником "добитие", "гугленые " коды раскодировки - пустой номер , не тратьте время , ...да ХР лечил , что б было невопросно.
А особенно бесит, когда открываешь сайт, и всплывает куча левых ссылок в отдельном окне. И пытаясь их убрать, машинально закрываешь нужную страницу...Цитата:
Сообщение от ironman
А сейчас даже кликать не нужно, оно автоматом пытается загрузиться со страницы, в том числе под видом разл. обновлений адоба, яв, асек и прочего. Спасает только фаерволл и пр. заморочки.
Стандартная связка W7 x64 встроенный файрвол + Microsoft Security Essentials + Mozilla Firefox.
Небольшое лирическое отступление. Обязательно в Mozilla Firefox установите дополнения Инструменты -> Настройки ->Основные Настроить Дополнения .... Необходимо устанавливить дополнения Adblock Plus и WOT. И всё.
P.S. Microsoft Security Essentials обновляется регулярно.
AdBlock Plus стоит. А что есть WOT?Цитата:
Сообщение от =SF=Andre
WOT защищает вас, когда вы пользуетесь Интернетом и совершаете покупки в Интернет-магазинах.Цитата:
Сообщение от Zorge
Принцип достаточно прост, собирается информация о сайтах с пользователей со всего мира и по их оценке можно судить о том ресурсе, что Вы посещаете. Так скажем светофор. Вы понимаете, где Вы находитесь. При получении предупреждения о вирусной атаки или попытке получения Ваших паролей, Вы уходите с данного сайта.
Более подробно: http://www.mywot.com/
Спасибо, поставил, неплохие утилиты.Цитата:
Сообщение от =SF=Andre
На здоровье. :) Я увидел в предыдущих сообщениях, что Вас замучила назойливая реклама и банеры. Решил, что нужно посоветовать то, чем я пользуюсь. Дополнение AdBlock Plus хорошо останавливает рекламу, банеры и многое ненужное. Потом когда к нему привыкните, можете поэкспериментировать, зайдите на те сайты, что до установки AdBlock Plus забивали рекламой и отключите его. Тут же посыпется всё, что хотите, Вас завалят рекламой. Кстати ещё рекомендую установить (но не обязательно) Flagfox. Вы увидите, что многие из сайтов на Русском языке, размещены на других хостингах, возможно Вас обманывают. И дополнение Flagfox сообщит, что это берег слоновой кости. Ничего страшного в этом нет, но предупреждён, значит спасён. Вы будете знать, что этот ресурс позиционирует себя, достаточно странно.Цитата:
Сообщение от NHL
P.S. Примерно так.