RE: Windows Заблокирован - отправьте смс на номер с текстом...
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 00:42:17.813333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Вобщем думал может еще раз попробывать на том сайте подхватить. Подхватил, смс, но не такой как у тебя. Однако интересный. на противном VBA. Крутил вертел, один раз запустился при первом запуске, потом перестал. Может потому что из под пользователя.
Вобщем скормил я его анубису. Из интересных вещей создает вот такую ветку
HKLM\System\CurrentControlSet\Control\SafeBoot\\Network_ - её быть не должно
HKLM\System\CurrentControlSet\Control\SafeBoot\\Minimal_
Причем оригинальные ветки удаляет!!!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 08:26:44.933333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
=Dani= трудно сказать, кто из нас больший идиот. Возможно я и не знаю, возможно не понимаю. Бывает.
Но вот ты, как мне кажеться, далеко от меня не ушёл в таком случае. Тебя просили (цитата): "Если ума не хватает на данную прогу, то вполнем можно прокрутить HijackThis ( http://free.antivirus.com/hijackthis/ ). Достаточно будет проанализировать запускаемые сервисы. Конечно нужно кое-что знать и уметь. Если ума у самого не хватает, то сделай лог HijackThis и выложи, хоть сюда http://www.slil.ru/ , а здесь выложи ссылку. Кто-то опытней просмотрит."
Ума на Autorun у тебя не хватило. Бывает. Чего уж там стесняться. Но вот вторую прогу, HijackThis, ты тоже явно не можешь осилить. Даже создать лог и залить, для тебя становиться высшей матемакой. Сложнова-то.
Ltonid создане данных веток, именно в том виде, который ты указал, с заменой оригинальных, не приведёт к изменению загрузки в Безопасном режиме и в режиме командной строки с сетевыми сервисами. Ведь кроме самих веток, должны быть изменны и параметры. А данный трой просто удаляет возможность нормальной загрузки Безопасного режима. Он просто переводит загрузку на себя. Достаточно восстановить ветки HKLM\System\CurrentControlSet\Control\SafeBoot\Network (командная строка с поддержнкой сети) и HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal и установить на них права доступа "Чтение", как Безопасный режим восстановиться.
Под обычным пользователем данный трой не заразит систему. Обычному пользователю нет доступа к веткам реестр, в которые он лезет. А вообще, если так тебе интересно, то под виртуалькой запусти ProcessMonitor, и запусти установку данного троя. Ничего особого и оригинального там нет. Просто намешал создатель, всё что в голову пришло. Несколько уровней скрытия, и переименования случайным образом файлов. Установка возможна только под админскими правами. У меня даже Comodo, в админской учётке спокойно среагировал остановил его.
Наличие такого вируса говорит только о полной ламеристости пользователя.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 09:18:46.860000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Ltonid создане данных веток, именно в том виде, который ты указал, с заменой оригинальных, не приведёт к изменению загрузки в Безопасном режиме и в режиме командной строки с сетевыми сервисами.
Сорри я не доконца объяснил. Он не просто создает копию он сам подстраивает сервисы и все что та запускается. Сам выставляет права. Хитрая вещь. Однако она не та что у =Dani=, поэтому я просто предположил посмотреть.
Извини но твой совет был воспринят в штыки по двум причинам: 1) =Dani= - девушка 2) Эти проги работают из под той оси которая заражена, а у неё нету возможности их там запустить, кроме как я предположил загрузившись в командной строке.
Тут http://slil.ru/29488764 чистый safeboot от висты.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 12:14:51.076666
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Если он запускается - значит кто-то его запускает - либо сервис, либо сидит в автозагрузке - либо пропатчен какой-то системный файл. На изменение системных файлов антивирусы сразу бы вызверились, а этого нет, значит просто криптованый exe или dll или sys. Hijack + Autoruns.
А хамить даже хорошим девушкам не к лицу. Слушать надо когда говорят умные вещи.
насчет того что нельзя загрузиться - LexLiveCD поможет просканировать выше означенными программами реестр пользовательской винды…
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 12:19:51.123333
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
Весело тут у вас.
Я вот тоже сунулся на этот rutracker.ru. И наткнулся на редкую тварь.
Там натуральный руткит сидит. Еле изгнал беса.)))
Там у меня появилось в системе целых четыре файла вредоносных. И три ветки запуска.
1 Самый гадкий это сервис(само тело руткита). Имени постоянного нет. У меня он назывался opqbdfya и лежал тут c:\windows\system32\driver\opqbdfya.sys. Загружался как драйвер. Еле изгнал гада при помощи LiveCD и ERDCommandera.
2 Тоже не подарок. Сидел тут c:\windows\system32\syssec32.exe. Загружался отсюда HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
3 Про этот уже тут велся разговор ранее wwwznv32.exe. Сидел в автозапуске профиля пользователя. Запускался оттуда же.
4 Просто хвост. Подгружался при активном интернет соединении. Удалялся так же легко. При отсутствии интернет соединения не восстанавливался. Сидел тут c:\windows\system32\fc480ee5.exe (имя случайный символьно буквенный набор)
Стартовал тут HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Продробнее со скринами тут:
http://narod.ru/disk/23004040000/aaa.zip.html
http://www.fayloobmennik.net/79919
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 15:49:41.100000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
1.Вот и мой видимо всё или удаляет или маскирует
2. У меня в стандартной загрузке обычное окошко где-то 15х10 см, в безопасных режимах баннер растянут почти на весь рабочий стол. А в безопасном режиме с поддержкой командной строки он и после запуска проводника не активизируется, так что я могу пошуршать по реестру, но не думаю, что найду там, что-то серьёзное. Кстати на нём написано, что он устанавливается на 30 дней так что на следующей неделе по идеи должен отвалится, но мне почему-то не верится)))
Кстати я выполнила все те операции, что ты предлагал, и конечно же эффекта ни какого, классный вирус, и классно маскируется ничего не скажешь.
Желание пожать лапу его создателю усиливается с каждым днём, и в геометрической прогрессии [sm=ag.gif])))
3. ага, конечно сходи, сайт просто замечательный [sm=ag.gif]))) рада что многим он тоже нравится))) может наконец и моего зверя словишь, и тогда от души сможешь поглумишься на ним с особым цинизмом))) Хотя скорее всего он всё же проявляет себя только когда активен, так что в единственной рабочей системе лучше этого не делать.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 15:54:40.856666
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
ORIGINAL: lkesh
Весело тут у вас.
Я вот тоже сунулся на этот rutracker.ru. И наткнулся на редкую тварь.
Там натуральный руткит сидит. Еле изгнал беса.)))
Там у меня появилось в системе целых четыре файла вредоносных. И три ветки запуска.
1 Самый гадкий это сервис(само тело руткита). Имени постоянного нет. У меня он назывался opqbdfya и лежал тут c:\windows\system32\driver\opqbdfya.sys. Загружался как драйвер. Еле изгнал гада при помощи LiveCD и ERDCommandera.
2 Тоже не подарок. Сидел тут c:\windows\system32\syssec32.exe. Загружался отсюда HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
3 Про этот уже тут велся разговор ранее wwwznv32.exe. Сидел в автозапуске профиля пользователя. Запускался оттуда же.
4 Просто хвост. Подгружался при активном интернет соединении. Удалялся так же легко. При отсутствии интернет соединения не восстанавливался. Сидел тут c:\windows\system32\fc480ee5.exe (имя случайный символьно буквенный набор)
Стартовал тут HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Продробнее со скринами тут:
http://narod.ru/disk/23004040000/aaa.zip.html
http://www.fayloobmennik.net/79919
Если хочешь по полной насладиться сайтом rutracker.ru, то настоятельно советую выделить отдельную ОС, для экспериментов, на виртуалке ты всего кайфа не получишь и не ощутишь))) Сам видишь, что это специально подготовленный сайт, и его создатель не поленился продублировать торрентс ру даже в мелочах)))
Самое интересное начнётся когда ты попытаешься на него залогинится, как на обычный торрентс, ру. Как я машинально и пыталась сделать))) Там сразу начнётся переадресация, которая будет долго-долго длиться))) После которой я и стала присматриваться к сайту, пока не поняла, что это фальшивка))) и в течении той переадресации я думаю тебя и одарят полным спектром чудесных и сказочных подарков от rutracker.ru))) Такого зоопарка на моём ноуте, ещё никогда не было)))
E:\Users\Dani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8132SA0G\Applet4[1].htm
E:\Users\Dani\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sisxvy32.exe
E:\Users\Dani\AppData\Local\Temp\bNJK.exe
E:\Users\Dani\Desktop\fjhdyfhsn.bat
E:\Windows\System32\b3f831f0.exe
E:\Windows\System32\drivers\etc\hosts
E:\Users\Dani\Desktop\fjhdyfhsn.rar//fjhdyfhsn.bat
Некоторые аж в нескольких экземплярах в разных местах))) и всё это богатство в дополнении к баннеру, который видимо на том сайте предлагается как фирменно блюдо, для особо дорогих гостей [sm=ag.gif])))
(Диск указан Е: так как я его сканировала из нормально работающей системы)
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 16:18:02.446666
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
ORIGINAL: zzsnn
=Dani= трудно сказать, кто из нас больший идиот. Возможно я и не знаю, возможно не понимаю. Бывает.
Но вот ты, как мне кажеться, далеко от меня не ушёл в таком случае. Тебя просили (цитата): "Если ума не хватает на данную прогу, то вполнем можно прокрутить HijackThis ( http://free.antivirus.com/hijackthis/ ). Достаточно будет проанализировать запускаемые сервисы. Конечно нужно кое-что знать и уметь. Если ума у самого не хватает, то сделай лог HijackThis и выложи, хоть сюда http://www.slil.ru/ , а здесь выложи ссылку. Кто-то опытней просмотрит."
Ума на Autorun у тебя не хватило. Бывает. Чего уж там стесняться. Но вот вторую прогу, HijackThis, ты тоже явно не можешь осилить. Даже создать лог и залить, для тебя становиться высшей матемакой. Сложнова-то.
Без вопросов ты))) так как ты даже по стилю написанного, не можешь отличить девушку от парня))).
Думаешь очень круто выглядишь хамя и оскорбляя других?! Жаль тебя расстраивать, но хамство и высокомерие по отношению к другим показывает не только полное отсутствие хоть какого-либо присутствия воспитания, но и также полное отсутствие мозгов. Так как хамить и унижать других, только потому что, по твоему убогому и ущербному мнению кто-то, чего-то не знает, или не понимает может только полный дибил с глубоким комплексом не полноценности.
1.А когда научишься читать не только по слогам, но и целыми словами, не говоря уже о предложениях. То ты, наконец увидишь, что это топик специально посвящён именно смс вирусу. И ещё до меня ncode тебе «как особо одарённому» писал, что данный вирус является новым, и пока никто не знает как его деактивировать, кроме как, введя код для разблокировки, который каждый раз при загрузке меняется. И всё, что на данный момент могут предложить производители антивирусов для решения данной проблемы, так это помочь получить код разблокировки
http://support.kaspersky.ru/viruses/deblocker
и пока никакие самые новые базы не могут решить вопросом с удалением данного баннера, так как, пока кроме создателя этого вируса никто не знает, как его деактивировать, и как и где он в системе находиться и маскируется. Так как когда он активен он полностью блокирует проводник, а теперь и все клавши кроме CTRL+ALT+Del, и запустить что-либо в системе когда вирус активен, не возможно. А когда он деактивируется даже временно, то он видимо или маскируется за стандартными сервисами или процессами аномалию в работе которых пока определить не возможно, либо вообще никак себя не проявляет, и соответственно отловить его так же не возможно. И никакой ЛайвСД с устаревшими базами помочь здесь не сможет, так как тестировать ему нечего.
И конечно же во всех компаниях специализирующихся на производстве и разработке антивирусных программ работают исключительно полные дибилы, ещё большие чем ты, которые ничего не знают и не умеют. Которые, как и я не в состоянии заглянуть и проанализировать даже стандартные ветви реестра на которые ты так «мудро» обратил моё внимание))) а так же запускаемые службы и сервисы))) Которые, так же как и я не знают, что это за такая сказочная программа авторан))) и так же как и я, не умеют ею пользоваться включая самого руссиновича.)))
Особенно гениально было твоё предложение установить и запустить авторан или бесплатный вирус в полностью заблокированной ОС, да и ещё получить с них лог [sm=an.gif])))
Чем таким ты только питаешься, что из тебя извергаются столь "мудрые и черезвычайно умные" советы [sm=ag.gif]))))
2. Если ты такой умный, то поставь себе этот вирус, и потом в полностью заблокированной системе, с помощью аторана которым ты так виртуозно владеешь деактивируй его и выложи нам подробную информацию о том, как он деактивируется, как и где он прописывается и где обитает, и как его можно удалить из системы. А то все убогие спецы из вирусных лабораторий уже как минимум месяц не могут его отловить, проанализировать и найти способ борьбы с ним.
Что, не можешь?!
Тогда заткнись, и прикуси свой поганый язык, вместе со своими глупыми и убогими советами. Так как ты пока ничего ни умного не стоящего здесь не озвучил, по поводу решения проблемы деактивации и удаления данного баннера с ПК.
3. И сразу видно, что тебе просто нереально осилить информацию, о том, что создатель данного вируса прежде чем выпустить своего зверёныша на волю, не только его протестил на невидимость со стороны антивирусников, но и так же на уклонение и не видимость со стороны общеизвестных тестовых программ, таких как авторан…….. а хотя я же забыла, это только ты знаешь, про эту сказочную программу и умеешь ею пользоваться, больше никто!)))
quote:
ORIGINAL: namepunk
Если он запускается - значит кто-то его запускает - либо сервис, либо сидит в автозагрузке - либо пропатчен какой-то системный файл. На изменение системных файлов антивирусы сразу бы вызверились, а этого нет, значит просто криптованый exe или dll или sys. Hijack + Autoruns.
А хамить даже хорошим девушкам не к лицу. Слушать надо когда говорят умные вещи.
насчет того что нельзя загрузиться - LexLiveCD поможет просканировать выше означенными программами реестр пользовательской винды…
А значит хамить хорошей девушке это хорошо и правильно по твоему мнению?! [sm=bw.gif]
И кто тебе сказал, что я хорошая девушка?!))) [sm=ad.gif]
А когда говорят умные люди, то я всегда с удовольствием не только слушаю, но и сохраняю их советы.
Но советы от закомплексованных дибилов которые предлагают не только, запустить авторан или бесплатный антивирус в полностью заблокированной системе, да и ещё получить с них лог [sm=an.gif] [sm=bj.gif])))
…….я извини не буду))) и тебе не советую))) а то тоже станешь таким же «умным» [sm=ag.gif] )))) а оно тебе надо? [sm=ad.gif]
Правильно про таких как он, Серёгин говорит "Привет дибилам!" коротко, ясно и в точку)))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 16:47:17.220000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
=Dani=, советую поаккуратнее на поворотах.
А что касается вируса, который вы так расхваливаете, я уверен ничего нового в нем нет, вопрос времени пока он не попал к нам под детальный анализ. То что вы не можете с ним справится говорит лишь о вашем низком уровне знаний, увы.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 17:31:05.070000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
=Dani=, извини, но в действительность ты просто дура. Ты так прославляешь данный вирус, а даже не попыталась разобраться с его работой. В его создании нет ничего нового. Прочитай его разбор, сделанный Ltonid и lkesh. Для тебя, персонально, смотри выше посты и качай выложенные разборы. Очень хорошо сделано, и даже для блондинок должно быть понятно.
Вирь работает через автозагрузку. И видно его через Autorun (смотри разбор).Накладывает на Рабочий стол скрин Рабочего стола и закрывает его. Это не ново, этим способом шутили ещё в Win98. Скрин любой программы, и меняшь ссылку на этой программы с рабочего стола на этот скрин. Со стороны интересно было наблюдать за действиями юзера. Это старо. Можно ещё заблокировать работу клавы и мыши, что можно сделать скриптом. Как видишь, ничего нового.
Способ автозагрузки тоже ничего нового не несёт. Этот способ осмотрен со всех сторон здесь уже неоднократно.
Так же и указано почему антивири не реагируют на данный способ заражения, и данный способ блокировки. Достаточно пройтись по постам.
Но увы, как правильно заметил Flint_ta, мозгов и знаний у тебя не хватает. Одни выражёвывания.
Спасибо Ltonid и lkesh за качественный разбор действия вируса.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 17:36:46.003333
|
|
|
Zevs91207
Сообщений: 1315
Оценки: 0
Присоединился: 2007-12-09 20:35:12.953333
|
С точки зрения программинга ничего особо сложно в нём нет, видоизменить несколько веток реестра и баннер заделать на весь экран,вот и всё,конечно он модифицируется,но суть остаётся то же, весьма оригинален,тот приём, о котором писал Lfonid ,я читал о нём в одной из газет,это был один из вариатов первоапрельских розыгрышей,не думал,что когда–нибудь его используют виросописатели:)
Не нужно переходить на личности,уважайте друг друга.
Что касается самого вируса этих модификаций возможно нет в базах, не берусь утверждать,ещё все зависит от того,какой у вас антивирус,но эвристикой всё ловится неплохо,я специально тестил kis2010 ,результат 100%,чтобы его скачать пришлось антивирус на время отрубить,ибо даже скачать было не так просто и система жива по сей день,ещё надо какой–никакой фаер иметь и прямые руки,любой вирь подобного рода зачищается при помощи ERD Commander разница может состоять лишь в простоте/сложности обнаружения.
Ещё в 167-ом посте
Я описывал доволно просто выход из ситуации,болезнь легче предупредить,чем лечить, а если уж подхватили, то ERD Commander и соответвующий инструментарий Вам в помощь Сканирование антивирями находящимися на борту liveCD , тут точно не поможет,лишь ручная правка реестра и очистка соответвующих папок
P.S. =Dani= Смягчите столь высокомерный тон.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-22 17:46:56.903333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
=Dani=, то, что вы девушка еще не дает вам права оскорблять других и хамить им. Я например тоже девушка и что с того? Это повод оскорблениями прикрывать свое незнание? Раз уж пришли на форум и просите помощи, будьте добры проявлять к другим уважение. Zzsnn, пожалуйста, прошу тебя, смягчи тон немного. К таким надо… спокойно и долго объяснять, по-другому мало того что не поймут, так еще и будут нервничать и обзываться.
Что еще непонятно с этим вирусом? Вроде его уже разобрали по полочкам. Вам нужен дизассемблированный листинг или что? Способ справиться? И при этом "на виртуалке совсем не то"? хорошо, вот прямо сейчас снесу слакварь, поставлю винду, подцеплю этот вирь, выковырну из системы и выложу вам полный отчет вплоть до того в какую сторону двигалась мышь. Тогда будете довольны, надеюсь?
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-23 10:54:36.196666
|
|
|
viprus
Сообщений: 1
Оценки: 0
Присоединился: 2010-07-21 12:32:42.106666
|
Прошу прощения за реплику, но по-моему имеет место недопонимание друг друга. Уважаемая =Dani= рассматривает LiveCD лишь как средство антивирусной проверки, тогда как глубокоуважаемый Zzsnn рассматривает возможность с помощью LiveCD (мне лично удобнее ERD Commander, который впрочем часто входит в состав LiveCD) добраться до содержимого диска и системного реестра, не запуская саму заблокированную систему, и произвести необходимые действия.
Ещё раз прошу прощения.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-23 11:36:54.566666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Блин вмешаюсь. Придется объяснить. Оффтоп получиться.
1) У =Dani= вирус полумесячной давности, который ТОЛЬКО у неё. Никто его уже не получит и не сможет анализировать т.к. его уже нету на том сайте.
2) Я и другие скачали с того сайта совершенно ИНЫЕ вирусы и проанализировали для пользы общества, указав что все они не оригинальны в плане устойчивости и их легко извести руками.
3) Были перечислены множественные способы лечения, которые по словам =Dani= не помогли. Но я до конца не уверен что было опробовано все. Основная причина в том что вирусы данного типа не могут скрываться от антивирей дольше недели, а тут почти месяц.
4) Путаница вышла потому что =Dani= отвечая на советы и вопросы мешала все в одном посте. Это не упрек а просто недостаток графического отображения))
5) А наезды и прочее это все нервы и не понимание почему оно не работает)))
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-23 13:25:18.180000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Решил попробовать написать маленькую тулзу х.з. что из этого выйдет ) но смысл в следующем:
Если есть доступ к дискам зараженной системы можно закинуть ее в папку Автозагрузка, после перезапуска тулза ищет активное окно с которым работает пользователь (это будет окно блокировщика), получает ID потока которому принадлежит окно, по ID потока получает ID процесса, далее по ID процесса получает имя процесса и записывает его в файл C:\\Deblocker_Log.txt. Далее завершает процесс и поток блокировщика (в этот момент должен будет прозвучать сигнал бипером ~ 4 c). Далее создает новый рабочий стол и запускает в нем процесс Explorer.exe. Если все эти телодвижения сработают можно будет продолжить лечить зараженную систему, тем более имя засранца должно будет известно в C:\\Deblocker_Log.txt
Если на зараженной системе не отключен автозапуск с дисков, то можно попробовать загрузиться автоматически. Короче тулзу я серьезно не тестил, у кого будет желание могут поиграться ) http://www.sharemania.ru/0177958
Сорец:
.686
.model flat, stdcall ;
option casemap :none
assume fs:nothing
assume gs:nothing
assume ds:nothing
include \MASM32\INCLUDE\ntdll.inc
include \MASM32\INCLUDE\kernel32.inc
include \MASM32\INCLUDE\user32.inc
include \MASM32\INCLUDE\advapi32.inc
include \MASM32\INCLUDE\psapi.inc
include \MASM32\INCLUDE\windows.inc
includelib \MASM32\LIB\ntdll.lib
includelib \MASM32\LIB\kernel32.lib
includelib \MASM32\LIB\user32.lib
includelib \MASM32\LIB\advapi32.lib
includelib \MASM32\LIB\psapi.lib
.data
Company db "Created by Flint", 0
File db "C:\\Deblocker_Log.txt", 0
;-----------------------------------------------------------------
my_desk_name db "Flint Desktop", 0
mess1 db "Сообщение", 0
mess2 db "Включить дефолтный рабочий стол", 0
prog db "Explorer.EXE", 0
Open db "Open", 0
INFO db 4 dup (?)
PROCESS_INF db 48h dup (?)
slash db "\", 0
.data?
Bufferxxx dd ?
hwnd1 db HANDLE dup (?)
tid db HANDLE dup (?)
HThread db HANDLE dup (?)
pid db HANDLE dup (?)
hProc db HANDLE dup (?)
ThreadInformation db 7 * 4 dup (?)
ProcessInformation db 6 * 4 dup (?)
PEB db 4 dup (?)
prochitali db 4 dup (?)
LP_buff db 4 dup (?)
LP_ProcessParameters db 4 dup (?)
hFile db HANDLE dup (?)
lpFilename db MAX_PATH dup (?)
;------------------------------------------------------------------
NEW_DesktopHandle dd ?
Default_DesktopHandle dd ?
xxx dd ?
sys_fold db 260 dup (?)
buff db 260 dup (?)
.code
start:
call closewin
call switch
push 0
call ExitProcess
;------------------------------------------------------------------
closewin proc
push 10000
Call Sleep
Call GetForegroundWindow
mov dword ptr ds:[hwnd1], eax
push offset tid
push dword ptr ds:[hwnd1]
Call GetWindowThreadProcessId
mov dword ptr ds:[tid], eax
push dword ptr ds:[tid]
push 0
push THREAD_ALL_ACCESS
CAll OpenThread
mov dword ptr ds:[HThread], eax
push dword ptr ds:[HThread]
Call SuspendThread
PUSH 0
PUSH 7 * 4
PUSH offset ThreadInformation
PUSH 0
PUSH dword ptr ds:[HThread]
CALL ZwQueryInformationThread
mov eax, dword ptr ds:[ThreadInformation + 8h]
mov dword ptr ds:[pid], eax
push dword ptr ds:[pid]
push 0
push PROCESS_ALL_ACCESS
CAll OpenProcess
mov dword ptr ds:[hProc], eax
PUSH 0
PUSH 6 * 4
PUSH offset ProcessInformation
PUSH 0;PROCESS_BASIC_INFORMATION
PUSH dword ptr ds:[hProc]
CALL ZwQueryInformationProcess
mov eax, dword ptr ds:[ProcessInformation + 4]
mov dword ptr ds:[PEB], eax
push 40h
push 3000h
push 1000h
push 0
Call VirtualAlloc
mov dword ptr ds:[LP_buff], eax
push offset prochitali
push 1000h
push dword ptr ds:[LP_buff]
push dword ptr ds:[PEB]
push dword ptr ds:[hProc]
call ReadProcessMemory
mov eax, dword ptr ds:[LP_buff]
mov eax, dword ptr ds:[eax + 8h]
push MAX_PATH
push offset lpFilename
push eax
push dword ptr ds:[hProc]
Call GetModuleFileNameExA
PUSH 0
PUSH FILE_ATTRIBUTE_NORMAL
PUSH CREATE_ALWAYS
PUSH 0
PUSH FILE_SHARE_READ or FILE_SHARE_WRITE
PUSH GENERIC_READ or GENERIC_WRITE
push offset File
call CreateFileA
mov dword ptr ds:[hFile], eax
push offset lpFilename
Call lstrlenA
PUSH 0
push offset prochitali
push eax
push offset lpFilename
push dword ptr ds:[hFile]
call WriteFile
push dword ptr ds:[hFile]
Call CloseHandle
push MEM_RELEASE
push 0
push dword ptr ds:[LP_buff]
call VirtualFree
push 0
PUSH dword ptr ds:[HThread]
Call TerminateThread
PUSH dword ptr ds:[HThread]
Call CloseHandle
push 0
push dword ptr ds:[hProc]
Call TerminateProcess
push dword ptr ds:[hProc]
Call CloseHandle
push 1000h
push 1000h
Call Beep
ret
closewin endp
;------------------------------------------------------------------
switch proc
push offset PROCESS_INF
call GetStartupInfoA
call GetProcessWindowStation
push 0
push 260
push offset buff
push 2
push eax
call GetUserObjectInformation
push offset slash
push offset buff
Call lstrcatA
push offset my_desk_name
push offset buff
Call lstrcatA
mov eax, offset PROCESS_INF
mov ecx, offset buff
mov dword ptr ds:[eax + 8], ecx
call GetCurrentThreadId
push eax
call GetThreadDesktop
mov dword ptr ds:[Default_DesktopHandle], eax
invoke CreateDesktopA, ADDR my_desk_name, 0, 0, 0, GENERIC_ALL, 0
mov dword ptr ds:[NEW_DesktopHandle], eax
push dword ptr ds:[NEW_DesktopHandle]
call SwitchDesktop
push dword ptr ds:[NEW_DesktopHandle]
call SetThreadDesktop
push 260
push offset sys_fold
Call GetWindowsDirectoryA
push offset slash
push offset sys_fold
Call lstrcatA
push offset prog
push offset sys_fold
Call lstrcatA
push offset INFO
push offset PROCESS_INF
push 0
push 0
push NORMAL_PRIORITY_CLASS
push 0
push 0
push 0
push 0
push offset sys_fold
Call CreateProcessA
push 0
push offset mess1
push offset mess2
push 0
call MessageBoxA
push dword ptr ds:[Default_DesktopHandle]
call SwitchDesktop
push dword ptr ds:[NEW_DesktopHandle]
Call CloseDesktop
ret
switch endp
end start
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-24 08:28:03.110000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ни хотел никуда больше писать .Здесь прям в тему будет.
Вышел новый AutoRuns 10.02 и главным добавлением стало анализ оффлайн системы т.е. теперь можно сканировать систему не загружаясь в неё. Думаю многое оценят полезность этого нововведения.
Чтобы воспользоваться опцией выберите File-Analyze Offline System. Указать папку с виндой и профиль пользователя которого необходимо сканировать.
З.Ы. при попытке сканировать активную систему через эту опцию программа справедливо говорит что не может найти (подгрузить) файл system.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-24 11:41:54.973333
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
2 Ltonid
Не удержусь от флуда.
Спасибо за информацию.
Наконец то легче станет жить. А то все ERD Commander.
Я попробовал оффлайн систему – работает!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-07-24 11:49:40.266666
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
Эх не удержусь. Скажу.
Буквально. Вчера. Зашел в гости к другу пивка испить. Сидим пьем. Вдруг из другиной из спальни выбегает дочка. И трещит насчет неправильного поведения интернета. Захожу смотрю – та же малварь пытается запустится. А конкретно этот PDf файл. Я же себя сразу грудь колесом эту малварь пустил. И что бы вы думали? Как по наезженной тропинке.
Я глянул кэш браузера. Там был нехрена не торентс.ру. там был какойто музыкораспределительный сайт. Похоже эту малварь распространяет какой то рекламодатетель(заметил еще там какая то викторина с синим окном(как и до этого)).
А еще я пытался искать первоисточник. Каждый может проверить. Там ключевые слова «syssec32.exe» и «wwwznv32.exe». (остальные безымянные, их два и более)
Что меня поразило они все на сайте вирусинфо, и касперском(что одно и тоже) обсуждаются.
И возраст всех не далее 17 июля сего года.
А еще я попробовал отдать на анализ файл который инфицирует malware!http://diamonddoctor!malware!ru:8080/Notes4.pdf!malware
Похоже на реламодателя.
А это домен зарегистрирован 14 июля 2010 года.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-02 10:10:13.966666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
В продолжение темы программ для возвращения возможности работы с компом, представляю свою. Назвал WARRIOR)))
Суть программы в следующем.
Она берет некоторые ключи автозапуска и в случае некоторых восстанавливает, а в некоторых убирает параметры в реестре. Но это не все. Чтобы вирус не восстановил свой автозапуск (а это почти всегда), она изменяет права на данные ветки реестра запрещая их редактирование. Т.е. если вирус запускался из этой ветки то после перезагрузки он не запуститься.
Принцип запуска остается тем же. Доставить программу в папку автозапуска конкретного пользователя.
http://slil.ru/29523491
http://ifolder.ru/18739987
Архив содержит.
backup.bat - делает Backup изменяемых веток реестра. Перво наперно необходимо поместить его в автозагрузку, перезагрузиться. Ну или запустить его, если проводите тестирование. Береженного бог бережет. Все таки ветки весьма критические.
reestr.exe - основная программа. Создает бекапы изменяемых веток рядом. Записи о вирусе будут находиться там.
unreestr.exe - для восстановления ситуации обратно. Если использовать после вируса, то он вернется))
ПРЕДУПРЕЖДЕНИЯ
Программа хоть и прошла клинические испытания, но может нанести вред (хоть и поправимый).
Призываю владельцев Win7 делать бэкап и возвращать права ручками и не юзать unreestr, потому что в силу идиотизма того кто расставлял права на ветки возможно частичное не возращение прав и не известные последствия.
Исходники выдаю по требованию в ПМ.
З.Ы. написана на ассемблере, весь вывод в консоль, если хотите почитать, то запускать из командной строки.
Замечания только в ПМ, не надо тут обсуждать.
З.Ы.Ы. если кто может перезалить на более долгосрочные сервисы только приветствуется.
З.Ы.Ы.Ы. если кто испытает на вирусах отпишите в ПМ
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-02 18:20:55.493333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А идея неплохая. Попробую. На вирусе не гарантирую проверку. Их эпидемия уже прошла.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-14 08:27:40
|
|
|
gg_mRcO
Сообщений: 57
Оценки: 0
Присоединился: 2010-08-10 08:54:40.230000
|
Мона и так везет тем у кого есть востановление системы!!! Просто востановите систему до того как вы скачали 18+ платные файлыи т.д
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-14 08:49:42.343333
|
|
|
Zevs91207
Сообщений: 1315
Оценки: 0
Присоединился: 2007-12-09 20:35:12.953333
|
quote:
Мона и так везет тем у кого есть востановление системы!!! Просто востановите систему до того как вы скачали 18+ платные файлыи т.д
Очень оригинальный,а главное,свежий совет,тогда уж проще и удобнее бэкап сделать
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-15 19:59:47.866666
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
Я вот с виртуалки 3 дня гонялся за трояном по 18+сайтам и все же поймал чудо с билайновским номером.3 раза запускал его что б по кодам глянуть-разблокер каспера выдал кодов стоко их просто читать долго -а вводить палец устанет.А от вирус инфо -2 варианта и один точный всегда.И еще после посылки СМС и ввода кода принесли ноут с 7-кой там не пускало ни в один поисковик-куреит нашел пару вроде sms send в реестре было чисто ,но на месте не было hosts -скопировал его со свего ноута при вставить попросил замену наверно старый хостс ушел в невидимые и все стало ОК
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 07:07:03.150000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Файл hosts - тяжёлое наследие старых времён, когда интернет был маленьким, влияет только на адреса, которые ты набираешь и используешь в броузере. Проще, он влияет на твою работу в инете, но никак не на загрузку. Отсутсуие его никак не влияет на работоспособность оси. На данный момент. Так, что проблему ты решил, как-то походя, случайно, сам не поняв как.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 12:52:20.176666
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
ну вот обломал ,а я уж начал-было пальцы гнуть типо какой я умный
пожалуста объясни мне что я случайно сделал лишнего или чего не сделал что надо.Когда ноут принесли банера там уже не было и все работало нормально только не мог заити ни в яндекс ни в гугл,не в рамблер.А что делал я ?я тоько -проверил реестр,прогнал куреитом и вставил хост и все.Получается вирусы не давали открыть яндекс и остальные раз ты говоришь хост не при чем
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 13:29:29.903333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: marefan
ну вот обломал ,а я уж начал-было пальцы гнуть типо какой я умный
пожалуста объясни мне что я случайно сделал лишнего или чего не сделал что надо.Когда ноут принесли банера там уже не было и все работало нормально только не мог заити ни в яндекс ни в гугл,не в рамблер.А что делал я ?я тоько -проверил реестр,прогнал куреитом и вставил хост и все.Получается вирусы не давали открыть яндекс и остальные раз ты говоришь хост не при чем
Он имел ввиду что ты не целенаправлено и без явного знания тыкался во все места системы, и заменил хост вместо того чтобы просто затереть в нем лишние строчки. и уж темболее ты не знал что с его помощью можно блочить и блочат в 99% случаях. А то что он был скрыт и ты его не сделал видимым повергает в ужас.
Такие действия в случае сложного вируса угробят систему в лучшем случае, в худшем машину.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 14:00:24.023333
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
один говорит хост не влияет другой наоборот.Я знаю как выглядит хост и знаю что он может блочить и подтирал строки не раз.знаю как сделать его видимым просто первый раз увидел такое-что он невидим и понял это когда просило замену-много читал про хосты в инете и не видел что бы было неьзя его заменять-думал раз скачать можно т и менять тож.Постораюсь больше не писать чтоб не пугать и не повергать вас в ужас .к тому же в дверь звонят наверно принесли ноут придется выкупать его!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 19:11:18.220000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ты неправильно указал что у тебя произошло.
Цитирую:
"Когда ноут принесли банера там уже не было и все работало нормально только не мог заити ни в яндекс ни в гугл,не в рамблер."
Тут же обсуждается тема блокировки Windows. Данный вирус не работает через файл hosts.
Вот отсюда и не понимание.
У тебя был простейший вирус, который изменял строчки в файле hosts, и блокировал доступ в инет. Это совсем другое. Для твоего случай ты поступил правильно. Хотя, судя по всему, пошёл методом "научного тыка", но попал в точку. Теперь стоит тебе ещё почитать в инете что такое файл host и почему он всё ещё существует, и как им пользуются вирусы. И понять это всё. Тогда вообще будет замечательно. Учись, думай, зарабатывай авторитет. И тогда начнёшь этим зарабатывать деньги.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 21:27:46.030000
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
да чёт я и забыл сказать на яндекс и другие не заходилло .а вот онлайн тв debilizator,tv показывало и на сайте в контакте вход был остальное не проверял.
и по теме форума;поймал виртуалкой заблокировало все 3 порнокартинки синий фон отправить 120 р. на счет 004305214720 через терминал (оплата услуг или электр. комерция или един. кнопка оплаты)на сайтах разблокерах пусто .загрузил в безопасный режим в реестре нашел HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon(ниже стандартного Userinit что то похожее на Usrnst- имя параметра точно не запомнил) C:WINDOWSsystem32zccflj.exe -глянул по дате создания сходится с появлением вируса удалил этот параметр перезагрзился пока вроде нет.Это я мож опять методом тыка но волнует другое если б он был не на виртулке отличались бы его поведение и методы его убрать?
извините если надоедаю.но уж дюже все интересно!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 21:30:19.863333
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
с
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-16 22:14:51.663333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Это я мож опять методом тыка но волнует другое если б он был не на виртулке отличались бы его поведение и методы его убрать?
Ну это уже не метод тыка. В данном конкретном случае скорей всего не отличалось бы.
З.Ы. если ещё сохранилась копия вируса, плиз испытай прогу из 260 поста.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-17 06:57:09.313333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Твои действия по удалению порнобанера были далеко не "научным тыком". Вполне квалифицированными и осознаными. Где ты тут видишь попытки опробовать всё, что знаешь и не знаешь. А на виртуалке… Для данного порнобаннера, по тому как он сконструирован, всё равно что виртуалка, что нормальная ось.
Если не сложно выполни просьбу Ltonid.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-17 07:47:30.643333
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
Спасибо -как приеду домой седня уехжать попробую попробовать WARRIOR я как увидел сразу скачал
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-20 10:22:30.620000
|
|
|
marefan
Сообщений: 47
Оценки: 0
Присоединился: 2010-07-16 17:37:45.883333
|
Отчёт;тот вирус от Pornohub 3 порнокартинки синий фон отправить 120 р. на счет 004305214720 не сохранился,пробова найти на сайте не смог -облазил все неприличные сайты 2 дня долбил -ничего ,есть сайт там просят помочь-я прикинул каждые 20 минут ловят этот вирус-во прёт людям!я поймал токо trojan.winlock.2194 -на нем пробовал WARRIOR .заразил свой ПК вот он пишет иди к терминалу а на чеке будет код.Заггрузился с лайв Сд,-доставил в автозапуск програму(и даже пробовал там ее запускать) -банер стоит мож че не так делал.Но убираю все с реестра и др мест запускаю WARRIORа на рабочем без банера ПК(хотя мож и не надо было -без банера он и сам стартанул-бы с автозагрузки)запускаю вирус-банер стоит-перезагружаюсь-при загрузке раб стола на секунду вылетает окошко как командной строки не разглядеть-но банер не загружается.пробую еще раз так же банера нет.токо вот лоханулся не глянул где он после этого нагадил -сразу отбэкапился для другог опыта.
Я думаю если на чистую машину заранее в автозагрузку положить то тогда поймал вирус -ребутнулся -и ОК
trojan.winlock.2194 гадит в разных местах если кому интересно напишу
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-20 10:29:02.200000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Я думаю если на чистую машину заранее в автозагрузку положить то тогда поймал вирус -ребутнулся -и ОК
В этом ты прав. Однако результат странный)) Можешь дать в ПМ сам вирус.
И такой вопрос: ты после установки в автозагрузку сколько раз перзагружался? Надо два. первый раз он вносит ,второй раз уже не должен вирус загрузиться.
Огромное спасибо за испытание.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-08-20 20:22:53.733333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
Кто сможет объяснить почему ветка Run не стартует если не запустился explorer.exe???
Для многих программ их этой ветки нужен запущенный explorer. Верней рабочий стол и некотрые API, которые с ним запускаются.
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-09-05 23:40:13.230000
|
|
|
sashayek
Сообщений: 226
Оценки: 0
Присоединился: 2010-08-02 22:55:24.976666
|
Может кто подскажет где можно достать такой вирус желательо с инструкцией и без самоактивации!!!
|
|
|
|
|
RE: Windows Заблокирован - отправьте смс на номер с текстом... - 2010-09-06 06:48:13.546666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Напиши сам. Там ничего сложного, я видел написанные на VB. Скриптами. А так дать….. Ну ты подумай кто даст такую гадость и заявит об этом на весь форум. Ты таких идиотов знаешь?
Хотя…. Возможно я уже знаю такого идиота…. Догадайся кто?
|
|
|
|
|
|
