RE: Windows Заблокирован - отправьте смс на номер с текстом...
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-05 22:02:34.080000
|
|
|
ncode
Сообщений: 13
Оценки: 0
Присоединился: 2009-07-12 16:15:29.083333
|
quote:
ORIGINAL: zzsnn
ncode, ты однако гений! Особенно в этой фразе "но я не из тех людей, которые читают 100500 топиков с мусором". Ещё гениальней фраза "Вот если человек просто читает все топики и решает проблему исключительно из тех советов, что дают на этом форуме, то он никогда не сможет найти более простой способ решения проблемы." Бесподобно! Такой самоуверенной школоты я давно здесь не видел! Порадовал. Честно порадовал.
Есть три способа решения любой проблемы:
1. Самому биться головой об стенку.
2. Заставить другого биться головой об стену и на основании его опыта решать проблему. Чаще всего это продолжение долбания стенки самостоятельно с того места, где другой чел не пробил.
3. Поинтересоваться результатами того, кто пробил стенку, и использовать сначала его опыт и методы. И толко если не пройдёт, использовать способы, описанные в пунктах 2 и 1.
Подумай, если конечно, у тебя есть чему думать, какой из описанных способов твой.
А вообще классно:
"Не надо никаких лайвСД и подобной требухой. Если у Вас SMS вирус с тремя картинками с бабами на розовом фоне, то знайте деактивируется вирус нажатием CTRL+ALT+SHIFT+F (уверен другие модификации можно отключить таким же способом), может только буквы другие"
А если картинка не с тремя бабами на розовом фоне, а допусти на голубом? Или не три бабы, а две? Или просто жопа? Тогда, что все кнопки перебирать?
Ну дезактивировал вирус, а удалить его как? Давить на кнопки? А на какие?
Школота! Научись сначала, хоть бы в туалете смывать, на унитазах разной модификации. А то будешь постоянно только одну кнопку искать, сверху. А она может быть и сбоку. А ты и не знал!
Ещё гениальней фраза "Вот если человек просто читает все топики и решает проблему исключительно из тех советов, что дают на этом форуме, то он никогда не сможет найти более простой способ решения проблемы." Бесподобно!
Вот зачем под обезьянку косите?
Вопрос:
Как зайти в командную строку в XP?
На форуме 1 говорят ПУСК - выполнить. Все орут да, да, да - решено!
А на форуме 2 говорят WIN+R
Все? Обезьянка Вас отпустила? Или дальше косить будете?
Во-первых, уважайте других, кто предлагает реальный способ и более простой.
Во-вторых, не надо пытаться втюхай свой метод (как Вы считаете наиболее правильный, потому что есть на 100% более легкий, но о нем пока никто не знает). Объясняю лично для ВАС ОСОБЕННО ОДАРЕННОГО. Вирус новый и Каспер с новыми базами и ЕСЕТ с новыми базами (обновляемые каждый день и лицензионные), не смогли убить локер. Типа считаете скаченный ЛайвСД будет иметь такие базы? Читайте внимательно.
Про 100500 сообщений, так оно и есть и не обижайтесь, но это трабла 99% форумов
Пример.
Конечно проще написать:
- Да ты хоть прочитай 15 страниц, что тут написано, или пользуйся поиском. Научись смывать в туалете (правда я не понял к чему это).
Или проще написать - нажми 4 клавиши:D
Хотя да, для Вас я понимаю проще показать, что Вы выше всех и ткнуть еще раз на 100 страниц форума, да же не пытаясь включить мозг и понять, что вирус новый и старые решения не проходят. Хотя да, для Вас первые мои строчки про вирус прочитать слабо и понять, что новые базы (за этот день, а так же анлокеры) не прокатили. Плевать, главное ткнуть в форум.
По поводу на картинке с жопами и синем фоне… Откройте глаза, вспонмине все буквы и сложите в предложения. Написал же, что анлокеры вероятно решаются таким же способом (для старых было только +I или J), но тут мы в последней инстанции на форуме, и других вариантов решения не воспринимаем, как грузится с СD (ах да, его скачать сначала надо, а тачка не дает! А ну можно за месяц диск подготовить, а базы-то старые… Думаем бемби - думаем. Тачка одна). И надо сейчас, а не через 2 часа, и уж тем более не завтра… Думаем бемби - думаем. Телефон, инет, поиски…
Читайте как работают SMS вирусы, мой Вам совет;)
У любого SMS вируса есть разблокиратор - его надо подобрать только. Или для Вас, как ГУРУ это америка?
А для школоты, как ты меня называешь, я решил проблему с форума наших братьев Казахов.
Так что прежде чем переходить на личности и пытаться выставить себя пупом земли - подумай, что есть пупки и побольше;)
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-06 07:11:39.163333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
ncode повторяю, что ты просто школота.
Нужно не выяснять как разблокировывается данный вирус, а пытаться разобраться как он работает. Тогда и не нужно будет искать каждый раз как его разблокировать. А просто, зная принцип работы данной гадости:
а) сможешь противостоять;
б) не зависимо от его модификации его удалять.
По поводу почему не работает каспер или NOD с данной херней и почему помогает, не всегда, но очень часто, LiveCD, можешь прочитать в топиках выше. Там разобран данный вирус (верней троян), и показаны методы его противостояния антивирям, установленным на компе. А вот против LiveCD методы защиты его уже срабатывают намного хуже.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-07 02:47:56.323333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Лично я целиком и полностью соглашусь с Zzsnn. То сочетание клавиш, которе подойдет для одной модификации вируса, будет совершенно бесполезно длч другого. Поэтому необходимо найти универсальный способ решения данной проблемы, а именно - как обнаружить и вычистить вирус. LiveCD помогает именно потому, что подобного рода троянцы работают по технологии стелс, скрываясь от антивируса. Вообще, не так уж и часто антивирь может найти более-менее грамотно написанный вирус, выполняющийся в момент проверки. Поэтому не так уж важно, что там в базах LiveCD. Это может быть даже не DrWeb LiveCD. А например ErdCommander. Пусть там даже нету антивируса, была бы возможность посмотреть и почистить реестр и в частности автозагрузку. Лично у меня был такой случай - вычищала подобную гадость вообще без антивируса под рукой, ручками почистила автозагрузку и пробема решилась. А регулярные проверки содержимого этой самой автозагрузки помогут быстро найти малварь, в случае чего.
Опять начнешь говорить, что мы, мол, уперлись в ЛайвСД и все? хорошо, тогда я цитирую твою фразу, блещущую гениальностью: "Написал же, что анлокеры вероятно решаются таким же способом (для старых было только +I или J)" А что если это не та вероятность? Действительно перебирать все сочетания клавиш, авось поможет какая?
"других вариантов решения не воспринимаем, как грузится с СD " - тебе предлагают самый действенный вариант решения проблемы, ты упрямо сопротивляешься.
"А ну можно за месяц диск подготовить" - ну не знаю как у тебя, лично у меня всегда валяются 2 drweb livecd, периодически обновляю их, кроме того, в запасе такая полезная вещь, как упоминавшийся уже ErdCommander. Ну и еще есть установочный диск с убунтой, и его тоже можно использовать в качестве лайвСД, хотя в данной ситуации он не много чем поможет… и это все при том, что уже несколько месяцев я не юзаю винду вообще. Вот так-то.
Короче, ты пытаешься разобраться со следствиями, когда нужно устранить причину. Поэтому наш многоуважаемый Zzsnn имеет полное право назвать тебя школотой, ncode
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-07 09:21:11.203333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
ORIGINAL: ncode
вероятно решаются таким же способом (для старых было только +I или J)
Вероятно если бы у бабушки был хер, она была бы дедушкой.
Эта комбинация клавиш всего лишь лазейка в одном из локеров, которую оставил для себя автор.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-09 09:39:36.400000
|
|
|
Орлок
Сообщений: 4
Оценки: 0
Присоединился: 2010-01-26 17:04:23.600000
|
а кто нить задавался вопросом, почему на всех сайтах-производителей антивирей есть раздел по разблокировке подобной хрени, но базы к антивирям упорно пропускают это "частье"…..
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-09 10:34:34.530000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
ORIGINAL: Орлок
а кто нить задавался вопросом, почему на всех сайтах-производителей антивирей есть раздел по разблокировке подобной хрени, но базы к антивирям упорно пропускают это "частье"…..
Ничего удивительного, у компании распространяющей сей "софт" есть бабло и они хорошо платят вирмейкерам за поддержку.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-09 20:55:00.603333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Да нет. Проблема в самой работе данной заразы. И в идиотизме самих пользователей. Дело в том, что данный вирь модифицирует одну ветку реестр, что вполне невинно, с точки зрения антивиря. Ведь модификация идёт от имени данного пользователя. А это, чаще всего, права админа. Ну а далельше идёт работа тела вируса. Он просто загружается. Пишеться данный вирус на любом языке и просто закрывает Рабочий стол собой (выдаёт картинку) и останавливает загрузку. Подобное можно написать на любом языке, даже можно батником покрутить. Код может быть какой угодно, и антивири с их логикой работы, просто пролетают. Они ищут, почти всегда, по участку кода, а тут, одинакового кода нет. Потому и в пролёте.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-09 22:38:39.150000
|
|
|
GazKerosin
Сообщений: 348
Оценки: 0
Присоединился: 2010-02-01 18:14:52.200000
|
А какую именно ветку, если не секрет?))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-09 22:43:30.016666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Прочитай данную тему сначала. Там, вначале, рассматривается простейшая модификация данного вируса. Это одни из первых вариантов данного вируса. Сейчас данный вирус уже модифицируют все кому не лень. Но основа остаётся та же. Изменяется только способы восстановления. А способ заражения и действия не изменяется. Вот прочитай и найдешь и ветку и способы сокрытия.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-10 14:01:58.220000
|
|
|
Whatov
Сообщений: 283
Оценки: 0
Присоединился: 2008-01-27 16:27:38.210000
|
quote:
ORIGINAL: Flint_ta
Ничего удивительного, у компании распространяющей сей "софт" есть бабло и они хорошо платят вирмейкерам за поддержку.
Антивирь…антивирь.. А на туй он нужен?
Если кто листал (читаь трудновато, но по локалям помогает) книгу Внут. устро-во Windows Соломона Русиновича, поймет Винда это по своему шедевр, все средства защиты есть в ней и никакого антивиря не надо (почти)… Да нельзя изменить ядро, слепить как надо, ну а на туй это большинству надо, не сервера ведь порнобанерами у всех заражаются… А для десктопа Винда сильна.. Забыли все заветы Криса…
Браузер запускать из под Пользователя (см мин. правами) и не правой клавишей "запустить от имени" а посредством runas… Это для ХР…. И тогда никакой скрипт не сработает, он просто не сможет скопировать тела виря никуда… Прав нет…. Вот и вся защита … Теперь о главном… Как я отымел порнобанер (еще телки на нем с силиконом, нет чтоб фото жены своей поставит, жадины)… У меня лежит в папке этот вирь с сопутствующими файлами , могу выложить на обменник кому надо…
Теперь прощай банер здравствуй порнуха… Как я делал, может и есть где но не нашел, поэтому не претендую…
При загрузке видим банер, с смс, перегружаем через f8 safe mode, видим опять….Перегружаем f8 выбираем администратора видим опять не помогает….
Перегружаем f8 выбираем с поддержкой командной строки…. Далее можно тупо запустить из строки explorer.exe, чет не попробывал, запустится должен чистым (есть вирь кому надо дэксперементируйте)…
Кстати запустив сокровище по имени explorer руссиновича из него оболочка запускается без виря….
У меня естьмь так… Есть totalcmd идем к нему запускаем… Ищем поиском файлы не старше стольки-то часов… Вирь будет среди них… У меня все это "добро" лежало Program Files/Common Files/Services (папка оси не удаляется, не пугаться чистим что в ней и все)….
А еще проще эти кони умельцы запускают свой банер из оболочки ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell дописывая имя виря (ну об этом говорилось, я к тому что путь до виря можно узнать быстро)… Интересно могли бы через Userinit что либо наклепать (родительский процесс explorera, по запуску которого завершается)… Но так как все равно требуется графика, загрузка с командной строки рулит…
Теперь че все время грузиться со строки? хрень какая-то….
А если сделать так.. Например создаем батник, дописываем его в ключ shell через запятую после explorera с примерно стаким телом:
TASKKILL /F /IM explorer.exe /T
start explorer.exe
Если вирь не проверяет (подтирает) соседние записи в ключе, если приоритет запуска по записям, если… много если, не селен я в программировании, к сожалению, есть вирь разбирайте….
Фича в том что убиваем оболочку, со всеми хвостами на запуске и запускаем прицельно одну оболочку, реализаций много… Пусть дольше запуск, зато банер топим.. А так браузер с малыми правами рулит, это лучше..
И пускай эти кони и далее бабло платят, думаю в накладе они никогда не будут…
end Begin
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-11 11:34:09.993333
|
|
|
Pashinlifer
Сообщений: 181
Оценки: 0
Присоединился: 2010-06-28 19:07:48.746666
|
Все гениальное просто - если у вас появился банерок с просьбой отправки смс, позвоните по 8-800-100-73-37 (Звонок по России бесплатный) и опишите свою проблему. Это организация, которая предоставляет короткие номера, они дадут вам код разблокировки, а номер мошенников будет заблокирован.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-11 16:49:56.323333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
ORIGINAL: Pashinlifer
Все гениальное просто - если у вас появился банерок с просьбой отправки смс, позвоните по 8-800-100-73-37 (Звонок по России бесплатный) и опишите свою проблему. Это организация, которая предоставляет короткие номера, они дадут вам код разблокировки, а номер мошенников будет заблокирован.
О да. конечно. Прямо бегом кинутся блокировать. Получат от мошенников энное количество $ и ничего не поменяется.
Тем более что ручками вычистить - проще, быстрее и надежнее. Больше шансов добиться результата.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-12 21:29:28.113333
|
|
|
Pashinlifer
Сообщений: 181
Оценки: 0
Присоединился: 2010-06-28 19:07:48.746666
|
Не говори ерунду, блокируют эти номера в течение нескольких часов. Нравится руками работать - пожалуйста, себя обезопасил, а этот номер будет продолжать работать.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 10:28:57.476666
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
я пробовал всяко!давал знакомым коды с cureit.у соседки был порно банер с другом конфликером-снял ее винт на своем ПК прогнал антивирем KIS 2010-по сей день все отлично.правда каспер не помог с обществом скрытых гомиков которым платить надо через терминал а на чеке дадут код.скрыт гомиков снял переводом системн время .Когда некоторое не помогает да и винда глюченая то тащу всю инфу на свой ПК(у меня 3 винта -смстемы с 3 разными антивирями)там проверяю.На зараженом все format .Ставлю вмнду тащу назад что было и все-мне кажется это надежный способ.если я не прав скажите!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 10:38:09.676666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
На зараженом все format
Это крайняя мера. За все время пользования компьютером (точно более 8 лет) я для себя переустанавливал windows не более 10 раз!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 11:25:15.640000
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
да я людам(нужным и важным) так делал для подстраховки шоб не облажаться.для себя и друзей- я как вы все хочется попробовать токо на мой пк вирусы не идут мож из-за вай фая
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 14:00:59.996666
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
еще один вопросик троян с скрыт гомиками-пойманый при подлюченом инете я снял -но теперь не хочет идти в инет ни с АДСЛ не с мегафон -модем и где мне теперь ковырять.Ответьте если можно . а то вдруг сам додумаюсь
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 14:53:05.900000
|
|
|
Zevs91207
Сообщений: 1315
Оценки: 0
Присоединился: 2007-12-09 20:35:12.953333
|
quote:
ORIGINAL: marefan
еще один вопросик троян с скрыт гомиками-пойманый при подлюченом инете я снял -но теперь не хочет идти в инет ни с АДСЛ не с мегафон -модем и где мне теперь ковырять.Ответьте если можно . а то вдруг сам додумаюсь
//Offtop
Ещё раз и на русском повторите,пожалуйста
End.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 17:00:11.226666
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
сосед в интернете поймал вирус все блокирует пишет :вы вступили в общество скрытых гомосексуалистов ,вы добровольно установили этот модуль и др итог : в терминале надо положить денег на билайновски номер на чеке -что даст автомат будет код .я этот вирус убрал и теперь не выйти в иртернет
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 18:25:58.623333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Как именно не выйти, почему. Что пишет, когда пишет. Уверен ли ты, что убрал вирус полностью. Проверял ли настройки сети и файл hosts. Если проверял то пробовал ли пинговать тот же гугл по доменному имени и по айпи адресу (74.125.87.106).
?
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 18:29:41
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Попробуй в командной строке написать route print -f.
Почистить файл hosts.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-17 20:44:16.620000
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
Спасибо все пробовал кроме пинга и командной строки .остальное не смогу сосед забрал комп
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 07:41:39.633333
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
Я внимательно прочитала всё, что здесь описано выше и могу поделится собственным опытом как счастливый обладатель того самого «sms вируса баннера с тремя голыми бабами»))))
Ну во-первых, не с голыми, а топлесс))
Во-вторых, сам он не отвалится и не мечтайте, он у меня уже недели 3-4 весит и прекрасно себя чувствует))) Так, как на компе не одна ОС, я не стала пока форматировать тот раздел, из чистого любопытства к данному зверю))) Дико интересно где он прячется :)
Итак:
- то сказочное сочетание клавиш, что здесь указано CTRL+ALT+SHIFT+F, ему до одного места, но если вместо SHIFT использовать Del, то он действительно деактивируется, но лишь до первой перезагрузки. И ничего из Виндоус запустить невозможно, так как проводник полностью заблокирован, можно лишь вбить код разблокировки, ну и конечно сочетание клавиш CTRL+ALT+Del или CTRL+ALT+Del+F для временной деактивации. В безопасном и других режимах тоже самое. Ни в autorun, ни в msconfig он не отображается, видимо он действительно прописан где-то в реестре, так как никакие антивирусники и спец программы для его удаления выложенные как у касперыча, так и у веба, его не определяют. У касперыча есть даже специальная ветка про него, с обещанием его деактивации
http://support.kaspersky.ru/viruses/deblocker
, но в моём случае, и после введения запрашиваемой информации получаешь лишь следующее сообщение:
«Для данного сочетания Hомер телефона-Текст смс пока нет алгоритма разблокировки. Пожалуйста, оставьте заполненным только поле Номер телефона и повторите попытку еще раз.
Если вы получаете то же сообщение об ошибке, пожалуйста, сообщите об этом нашим специалистам, отправив Запрос в Техническую поддержку Лаборатории Касперского»
И я полностью согласна с Саймоном, что после устранения проблемы необходима полная переустановка ОС , и если её образа нет в запасе, то тогда полная дефрагментация диска и новая установка ОС. Так , как то, что вирус деактивирован, совсем не означает, что его больше на ПК нет, и что, ваша ОС девственно чиста, вам никто кроме его создателя не скажет. Так, как только он знает, что он там мог погрызть пока находился на вашем ПК, или какие скрытые подарки или сюрпризы он вам оставил на память, а я уверена на 200%, что он обязательно, после себя что-нибудь да и оставил .
Да кстати, я его подцепила не на порно сайте, это точно, я там не бываю))) Если не ошибаюсь, то меня осчастливил этим сокровищем сайт rutrecker.ru, когда я по ошибке вместо «org» в адресную строку вбила «ru»
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 08:55:55.226666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Скачал я оттуда вирус. Анализирую:
На сайте реклама, ведущая на порносайт. На порносайте видео при щелчке на которое (ну или без щелчка) скачивается файл для WMP. Внутри видимо это сплоит. Скачивает vbs скрипт и file.exe (сам вирус). Скрипт запускает вирус и самоудаляется.
Теперь про вирус.
Сам вирус типичный бот.
1) Упакован старым UPX, написан на С-шном языке. На данный момент палиться нодом и комодо.
2) В автозагрузку пишется по пути Software\Microsoft\CurrentVersion\Run под именем Swap Checker и файл swapper.exe
3) Сам файл копируется в папку Windows.
4) В реестре создает собственную ветку Software\MS Sertified app туда будут попадать данные для вируса.
5) Вносит какие то изменения в ветку HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current, правда не знаю зачем))
6) Отстукивается по адресу _http://cern-a.com/2x/v.php + параметры. Как только отстучался высылается зашифрованный файл с инструкциями с именем unist.v сохраняется в папку Windows\Temp. Затем его содержимое копируется в uninst.c, uninst.v удаляется.
7) Следует расшифровка uninst.c В моем случае там никаких команд не было поэтому вирус просто продолжал стучаться на адрес за инструкциями.
8) Открывает произвольный UDP порт для бекдора.
9) Следуя из данных из секций .rdata и .resours основныя направленность бота кликать по рекламе.
З.Ы. отчет анубиса
З.Ы.Ы. походу сисек так и не будет. =Dani= если будет возможность залей свою версию.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 13:18:48.083333
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
Если я его поймаю, то конечно залью, нет проблем))))
Но на данный момент, как я уже писала, его ни касперыч ни веб, не их специальные проги для его удаления его не определяют. Сейчас скачаю нод 32 и попробую его заловить, а заодно и проверю те места его нахождения, что ты указал.
Насколько я понимаю, в него должен быть уже встроен код разблокировки, так как у меня например иннет от билайн, и он автоматом не грузится. И что-либо запустить являясь счастливым обладателем данного зверя, не деактивируя его хотя бы на время не возможно.)))
Кстати, а чем или как, ты тестил и определял, как и куда он себя копирует и что нового создаёт на ПК?
Вот на мои можешь полюбоваться)))):
http://img31.imageshack.us/img31/7343/p1010140t.jpg
всё пошла ловить его нодом, позже по результатам отпишусь :)
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 13:55:35.350000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
http://img31.imageshack.us/img31/7343/p1010140t.jpg
Попробуйте следующие коды разблокировки:
[ol]35351118787515[/ol]
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 14:45:11.243333
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
Ну вообщем результат тот же, нод тоже его не ловит вопреки твоим уверениям)))
http://img153.imageshack.us/img153/8229/nodw.jpg
данной записи нет ни в одной из веток реестра:
2) В автозагрузку пишется по пути Software\Microsoft\CurrentVersion\Run под именем Swap Checker и файл swapper.exe )
Вносит какие то изменения в ветку HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current,
- здесь только REG_SZ (по умолчанию)
так что ты или другой вирус скачал, или другую его модификацию
а вообще, это шедевр))) и рука не поднимается, вот так взять и форматнуть диск прежде чем не поняв где он прячется )))
искренно хочется пожать лапу его создателю, и снять перед ним шляпу))) если конечно забыть, что это конкретное вымогательство, и я очень сомневаюсь, что стоимость смс для получения кода разблокировки обойдётся всего в 25 руб, если его вообще вышлют, и он действительно разблокирует баннер, вряд ли кто-то будет парится из-за такой мелочи)))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 14:55:53.773333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну давай так. Запуститься в безопасном можно только тремя путями:
1) Ветка Winlogon (userinit или dll) - обоих палит autoruns
2) Драйвер.
3) Модификация системного файла.
Так что выбор не большой. Ищи там.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 14:58:17.840000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
ORIGINAL: Flint_ta
Попробуйте следующие коды разблокировки:
[ol]35351118787515[/ol]
не работают, пишет "не верный код!" :)
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 15:30:00.890000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
=Dani=, а вы как на зараженной системе ищете с LIVE CD ?
Я сейчас с rutrecker.ru тоже один файл подцепил к сожалению он отказывается работать на виртуалке,
проверяет версию биоса в HKLM\HARDWARE\DESCRIPTION\System\SystemBiosVersion, если там есть слово VBOX.
Я его немного подкрутил, но похоже он работает не в полную силу, баннера я не наблюдаю (
В c:\documents and settings\flint_lab\Главное меню\Программы\Автозагрузка появился файл wwwznv32.exe он невидим из проводника Windows. Проверь как нибудь у себе наличие исполняемых файлов в этой директории.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 16:30:36.800000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
Ну как я уже писала, у меня не одна ось на ноуте.
Пробовала и из других ОС сканировать диск на наличие вирусов и всякой малвари, и из самой заражённой системы, так как баннер временно деактивируется сочетанием клавишь CTRL+ALT+Del+F, до очередной перезагрузки, и с помощью различных LIVE CD, и в результате всё бесполезно, баннер как был, так и остается, и походу никуда пропадать не собирается)))
Так что, наличие данного баненера в одной из ОС, для меня не является проблемой. Не сношу систему исключительно из любопытства к данному зверю))) Больно он интересный:
1. Уже прошло 3-4 недели как я его словила, а он не отвалился, и отваливаться не собирается насколько я вижу)))
2. И во всех режимах загрузки тоже самое)))
3. Полностью блокирует проводник, и пока его не деактивируешь CTRL+ALT+Del+F ничего в системе запустить нельзя))))
4. Не ловится и не определяется никакими прогами ориентированные на его обнаружение и удаление, по крайней мере, выложенные в свободном скачивание на сайтах касперского и веба. И руссиновским автораном так же)))
5. И судя по тому, что все ведущие анивири с самыми новыми базами его не видят, замаскировался он очень тщательно))) И пока его никто отловить не может, а уже прошло как минимум 3-4 недели))) Ещё раз снимаю шляпу перед его создателем))))
В этой директории c:\documents and settings\flint_lab\Главное меню\Программы\Автозагрузка появился файл wwwznv32.exe. кроме boot.ini ничего нет [sm=ag.gif]
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 16:37:19.696666
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
в HKLM\HARDWARE\DESCRIPTION\System\SystemBiosVersion, слово VBOX я не вижу:
http://img686.imageshack.us/img686/2121/regju.jpg
но судя по тому, что там написано, вроде всё правильно [sm=bw.gif]
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 16:44:38.093333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Я уже написан что загрузиться в безопасном режиме не так просто.
Смотри следующие ключи:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ VmApplet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions - здесь среди dll может прятаться.
Попробуй загрузиться в режиме командной строки и посмори запустиься ли вирус. Если нет, то его можно будет обезвредить.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 17:01:31.406666
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
загрузится в безопасном режиме очень просто, и отключаетя он там с помощью CTRL+ALT+Del+F проще и быстрее, чем в обычном ))))
остальные твои рекомендации я проверю.[sm=ad.gif]
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 17:02:53.640000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: =Dani=
загрузится в безопасном режиме очень просто, и отключаетя он там с помощью CTRL+ALT+Del+F проще и быстрее, чем в обычном ))))
остальные твои рекомендации я проверю.[sm=ad.gif]
Я говорил про вирус!! Ему сложно загрузиться в безопасном, мест меньше куда прописаться. Два поста назад я их все перечислил. У тебя виста?
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 18:13:25.560000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
Словила его в висте 32 бит))) а так у меня много разных ос)))
Между тем, чем дальше, тем интереснее)))
Значит так:
В режиме поддержки командной строки он вообще не появляется.
Во всех других режимах, включая основной он больше на сочетание клавиш CTRL+ALT+Del+F он больше не реагирует, видимо его создатель тоже читает данный топик)))) если конечно в этом жара не виновата)))
Дальше, заметила что текст смс при каждой загрузке меняется, но номер 8353 остаётся неизменный)))
Вообщем, я пока отключусь пусть ноут охладится, если будут интересные идеи по поводу борьбы с баннером пишите как здесь, так и в пм, опробуем)))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 18:59:44.850000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Начнем с того, что в режиме командной строки он и не должен появляться. Это всё-таки не графический режим. То, что он появляется в Безопасном режиме говорит, что в строке Software\Microsoft\CurrentVersion\Run и в \Главное меню\Программы\Автозагрузка он тоже не прописан. Не видя его работу трудно сказать где он приписан. Если он полностью заменяет собой обои Рабочего стола, то искать его нужно по пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit и HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell . Что у тебя тут написано?
Если же просто веситься на фоне Рабочего стола, то можно выловить через Autoruns . Ничего особо сложного. Если ума не хватает на данную прогу, то вполнем можно прокрутить HijackThis ( http://free.antivirus.com/hijackthis/ ). Достаточно будет проанализировать запускаемые сервисы. Конечно нужно кое-что знать и уметь. Если ума у самого не хватает, то сделай лог HijackThis и выложи, хоть сюда http://www.slil.ru/ , а здесь выложи ссылку. Кто-то опытней просмотрит.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 21:49:11.036666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Класс. Я так и думал. А кто хоть раз запускал режим командной строки? Я вот запустил и офигел. Нажал трехкнопочную комбинацию и увидел диспечер задач. Вобщем все у нас там графическое)))
Вообщем идеи сразу две:
1) В режиме командной строки вызываем любой альтернативный файловый менеджер. Через него смотрим все что нам надо. Думаю с плагинами не должно быть напрягов. Все таки из под системы многое по другому видется нежели с LideCD
2) В автозагрузку кидаем такой батник:
tasklist /SVC > C:\1.txt
ping localhost -n 10
tasklist /SVC > C:\2.txt
ping localhost -n 10
tasklist /SVC > C:\3.txt
ping localhost -n 10
Вобщем пингами добиться чтобы собралась инфа о вирусе
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 22:04:15.170000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
ORIGINAL: zzsnn
Начнем с того, что в режиме командной строки он и не должен появляться. Это всё-таки не графический режим. То, что он появляется в Безопасном режиме говорит, что в строке Software\Microsoft\CurrentVersion\Run и в \Главное меню\Программы\Автозагрузка он тоже не прописан. Не видя его работу трудно сказать где он приписан. Если он полностью заменяет собой обои Рабочего стола, то искать его нужно по пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit и HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell . Что у тебя тут написано?
Если же просто веситься на фоне Рабочего стола, то можно выловить через Autoruns . Ничего особо сложного. Если ума не хватает на данную прогу, то вполнем можно прокрутить HijackThis ( http://free.antivirus.com/hijackthis/ ). Достаточно будет проанализировать запускаемые сервисы. Конечно нужно кое-что знать и уметь. Если ума у самого не хватает, то сделай лог HijackThis и выложи, хоть сюда http://www.slil.ru/ , а здесь выложи ссылку. Кто-то опытней просмотрит.
А что, касаемо авторана, то очень удивительно, что такой «гений» как ты, не знает такую всем давно элементарщину, как то, что уже давно все грамотно написанные вирусы уклоняются от авторана, даже если его переименовать перед запуском. И если бы он так просто палился автораном, то его бы давно уже все анивири ловили бы, и удаляли на раз. Но для такого «гения инженерной мысли» как ты, это очень сложный логический ряд как я вижу.)))) Так что засунь свои убогие и примитивные советы в то место, на анализ конечной точки место назначения коих, я искренно надеюсь твоего ума всё же хватит, хотя по ходу вряд ли)))) Конечно же, для этого нужно, хоть чего-то знать и уметь.))) Но если всё же, своего ума на это не хватит, что скорее так и окажется, и конечный пункт правильного место нахождения твоих советов, окажется для тебя не досягаемо трудной задачей. То попроси кого-нибудь более знающего и опытного. И тогда, он поможет тебе проанализировать, как проще и быстрее, активировать все запускаемые сервисы необходимые для выполнения данного и совсем не сложного, я бы даже уточнила, весьма примитивного действа))) или, я тебе могу так же выложить подробную ссылку с картинками, как тебе справится с этим самому, и без посторонней помощи))) надеюсь хоть по картинкам, ты сможешь понять, где истинное место расположение твоих убогих, хамских, и безграмотных советов)))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-21 22:14:23.970000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
ORIGINAL: Ltonid
Класс. Я так и думал. А кто хоть раз запускал режим командной строки? Я вот запустил и офигел. Нажал трехкнопочную комбинацию и увидел диспечер задач. Вобщем все у нас там графическое)))
Вообщем идеи сразу две:
1) В режиме командной строки вызываем любой альтернативный файловый менеджер. Через него смотрим все что нам надо. Думаю с плагинами не должно быть напрягов. Все таки из под системы многое по другому видется нежели с LideCD
2) В автозагрузку кидаем такой батник:
tasklist /SVC > C:\1.txt
ping localhost -n 10
tasklist /SVC > C:\2.txt
ping localhost -n 10
tasklist /SVC > C:\3.txt
ping localhost -n 10
Вобщем пингами добиться чтобы собралась инфа о вирусе
Самое интересное он только в этом режиме и не появляется, и после вызова проводника, во всех других висит с наглой рожей))) И что особенно меня удивило, что он перестал реагировать на CTRL+ALT+Del+F, b деактивировать его подобным образом уже не удаётся, видимо пока я была в онлайн, он обновился.)))
Самое прикольное, если окажется, что автор вируса действительно читает этот топик [sm=ag.gif])))
Все твои предложения я завтра опробую, и тогда по результатам отпишусь, а сегодня я уже устала [sm=ah.gif], слишком жарко [sm=ac.gif]
|
|
|
|
|
|
