|
Болтовня Разговоры на любые темы (думайте, о чем пишите) |
20.05.2013, 18:53
|
#1
|
ПроЭктировщик
Регистрация: 05.08.2006
Сообщений: 183
Написано 107 полезных сообщений (для 410 пользователей)
|
Словил баннер
Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..
|
(Offline)
|
|
20.05.2013, 19:05
|
#2
|
Дэвелопер
Регистрация: 13.02.2010
Сообщений: 1,645
Написано 620 полезных сообщений (для 2,419 пользователей)
|
Ответ: Словил баннер
Если это рабочий номер хозяина вируса, то создай несколько объявлений на авито и укажи там этот номер ^_^
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо den за это полезное сообщение:
|
|
20.05.2013, 19:25
|
#3
|
Мерцающий
Регистрация: 18.04.2006
Сообщений: 5,838
Написано 1,519 полезных сообщений (для 3,030 пользователей)
|
Ответ: Словил баннер
Сообщение от MadMedic
Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..
|
Ну, да... Обычно они еще могут заражать собой Explorer.exe, но, думаю, в Семерке это не такое простое дело...
|
(Offline)
|
|
20.05.2013, 19:41
|
#4
|
Злобный Админ
Регистрация: 04.09.2005
Сообщений: 5,926
Написано 3,415 полезных сообщений (для 9,330 пользователей)
|
Ответ: Словил баннер
Если сидеть под админом да с выключенным UAC то всё что угодно.
__________________
|
(Offline)
|
|
20.05.2013, 23:38
|
#5
|
Ференька
Регистрация: 26.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,741
Написано 5,461 полезных сообщений (для 15,675 пользователей)
|
Ответ: Словил баннер
Сообщение от MadMedic
Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение...
|
...а UAC ты естественно выключил сразу после установки Винды
Грузись теперь в safe mode и вилкой чисти, других способов пока особо не придумали.
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**
* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена
|
(Offline)
|
|
21.05.2013, 00:36
|
#6
|
Элита
Регистрация: 21.01.2010
Адрес: Россия, Рязанская область, г.Михайлов
Сообщений: 2,067
Написано 1,185 полезных сообщений (для 2,828 пользователей)
|
Ответ: Словил баннер
Безопасный режим с поддержкой командной строки тебя спасёт. ТАм запустишь explorer (ну или если по православному - прям из cmd и почистишь все лишнии файлы). Сноси/чисти папку Temp в пользователе своём, проверяй Program Files и ProgramData на наличие подозретильных папок (с именами VTrusah, Mazilla, Opira и т.д.) и сноси всё лишнее. В реестре надо поправить ключ запуска explorer.exe, точно не помню где находится, но при наличии интернета нагуглить не трудно.
__________________
Main PC:
Intel Core i5 4260U 1.44 GHz + LPDDR3 1x4096 1600 MHz + Intel HD Graphics 5000.
Asus Ёжик T101-MT:
Intel Atom N-570 1.66 Ghz + DDR2 2x1024 800 Mhz + Intel GMA 3150 128 Mb DDR2
Скачать Doom 2D: Remake v0.3.8a
|
(Offline)
|
|
21.05.2013, 05:02
|
#7
|
Гигант индустрии
Регистрация: 13.09.2008
Сообщений: 2,893
Написано 1,185 полезных сообщений (для 3,298 пользователей)
|
Ответ: Словил баннер
Практически все баннеры можно убить через диспетчер, главное настойчиво долбить по трем святым клавишам и пытаться успеть убить процесс прежде чем закроется диспетчер.
Есть еще один вариант. Если на компе имеется второй пользователь, то можно "сменить пользователя", зайти под другим пользователем и через диспетчер убить процесс.
|
(Offline)
|
|
21.05.2013, 05:51
|
#8
|
ТЫ ЧООО?
Регистрация: 26.02.2007
Сообщений: 3,369
Написано 2,020 полезных сообщений (для 7,192 пользователей)
|
Ответ: Словил баннер
Не гарантирую что нижеприведённый сайт тоже не лохотрон :D
http://virusclose.ru/key/number/9170195098
Возможно подойдут коды:
1. 936406
2. 847832
3. 963442
4. 808384
5. 846871
6. 830325
__________________
Вертекс в глаз или в пиксель раз?
|
(Offline)
|
|
21.05.2013, 13:23
|
#9
|
Мерцающий
Регистрация: 18.04.2006
Сообщений: 5,838
Написано 1,519 полезных сообщений (для 3,030 пользователей)
|
Ответ: Словил баннер
Сообщение от SBJoker
Если сидеть под админом да с выключенным UAC то всё что угодно.
|
Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.
|
(Offline)
|
|
21.05.2013, 13:30
|
#10
|
Гигант индустрии
Регистрация: 13.09.2008
Сообщений: 2,893
Написано 1,185 полезных сообщений (для 3,298 пользователей)
|
Ответ: Словил баннер
Сообщение от ingko
Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.
|
Что бы заразить системный процесс надо обойти uac..
|
(Offline)
|
|
21.05.2013, 14:38
|
#11
|
быдло
Регистрация: 05.08.2007
Сообщений: 1,435
Написано 614 полезных сообщений (для 1,489 пользователей)
|
Ответ: Словил баннер
а я на днях поймал гдето троян. Сидел себе никого не трогал. запустил IE9 зашел на почту. зыкрываю эксплорер. тут бац - выскакивает сообщение типа изменения в msconfig - "Перегрузить?". ну я быстренько нажал отмена, открыл конфиг увидел в автозапуске какойто непонятный файл в Roming. зашел удалил его. и всё ок. UAC включен
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
21.05.2013, 15:30
|
#12
|
Разработчик
Регистрация: 27.06.2009
Адрес: Рязань-Москва
Сообщений: 471
Написано 401 полезных сообщений (для 1,072 пользователей)
|
Ответ: Словил баннер
На правах холиварчика:
Виндопроблемы-виндопроблемушки
|
(Offline)
|
|
21.05.2013, 21:10
|
#13
|
Мерцающий
Регистрация: 18.04.2006
Сообщений: 5,838
Написано 1,519 полезных сообщений (для 3,030 пользователей)
|
Ответ: Словил баннер
Сообщение от Nex
Что бы заразить системный процесс надо обойти uac..
|
Не обязательно совсем
|
(Offline)
|
|
22.05.2013, 04:58
|
#14
|
|
Ответ: Словил баннер
Сообщение от ingko
Не обязательно совсем
|
расскажи нам как ты ломал пентагон и почту гейтца
|
|
|
22.05.2013, 11:43
|
#15
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Ответ: Словил баннер
Быть может ingko намекает на уязвимости вроде переполнения буфера, позволяющие выполнить некий шелл-код? Да - UAC обходить не надо (например известнейший kido активно юзал уязвимость в доверенном процессе svchost), но:
1) формально это не заражение
2) такие ошибки долго не живут и исправляются обновлениями ОС
Так что, присоединюсь к ДядеДиме
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 20:20.
|