избавиться от взлома на windows
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
избавиться от взлома на windows - 2009-05-14 20:05:55.476666
|
|
|
Bukatov
Сообщений: 66
Оценки: 0
Присоединился: 2007-07-19 21:26:33.103333
|
Здрасте, срочно нужна ваша помощь, дали ссылку (касперский как раз выключил) перешел по ней - тут появилась заставка сторонней программы, типа твой комп блокирован мол пошли смс и введи код, тогда разблокируеш. видно что самопальная хрень. перезагрузил комп - открылся рабочий стол думал все ок, потом видимо та хрень опять подгрузилась и опять синяя заставка с предложением отослать смс. почти никак не выйти из нее.
я минут 5 жал ctrl+alt+del и еще shift - залипание, чудом в итоге скрылась заставка но панели задач нету. зашел в интернет и в оперу - вот щас вам пишу.
в автозагрузку не смог зайти - посмотреть там может какой ярлык, на всякий случай.
помогите избавиться от этой заразы.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-14 20:25:57.143333
|
|
|
v_black
Сообщений: 259
Оценки: 0
Присоединился: 2009-02-24 10:17:03.783333
|
почитай тут
http://forum.xakep.ru/m_1497707/tm.htm
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-14 21:25:49.340000
|
|
|
Bukatov
Сообщений: 66
Оценки: 0
Присоединился: 2007-07-19 21:26:33.103333
|
спасибо!!
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-14 21:29:36.580000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Придеться все сначала.
Ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon значение параметра userinit "C:\WINDOWS\system32\userinit.exe" (должно быть). Согласно этому ключу загржаеться командная оболочка (по научному shell), в качестве которй в Windows, традиционно выступает Explorer (это то что мы называем Рабочим столом).
Но тут если одно если! Если в конце C:\WINDOWS\system32\userinit.exe, через запятую прописать программу или файл то она запуститься сразу после запуска Рабочего стола ( а можно вообще заменить эту строчку на свою). Желающие могут попробовать запустить так, например любой файловый менеджер, напрмер TotalCommander. При этом необходимо описать или полный путь (согласно правилам реестра), или просто указать файл, если он в папке C:\WINDOWS\system32\.
Этот способ запуска троянов и вирусов не нов. Самое интересное что антивири практически не будут реагировть на подобные изменения. Они допустимы, а среагировть они потом на запуск файла-блокиратора часто не успевают (например Аваст точно пролетит, да и Касперский тоже пролетает, про Вэб не скажу). Кроме того это файл особо ничего не делает. Просто запустил еще одну оболочку командную и перекинул на себя управление соотвестенно выведя себя на передний план. В Линуксе такой фокус не пройдет, там можно еще один терминал запустить и шлепнуть превыдущий,а вот в Windows - элементарно.
Как защиттить себя от этого я могу рассказать отдельно потом. Но сейчас как лечить.
Сначала необходимо зайти на ось. Тут поможет лучше всего любой диск с осью типа Windows, который позволяет зарузиться с CD. Наверное лучше как наиболее заточенный под это ERDCommander. Его можно скачать в виде образа в инете свободно, размер около 150 Мб. Спокойно можно просмотреть отуда и что береться с помощью специальных утилит и спокойно все исправить. Но здесь дело вкуса.
Так вот загрузились с CD. Необходима иметь на диске утилиты, позволяющие редактировать реестр оси, которая на диске. На ERDCommander это тот же regedit, а на других что угодно может быть. Зашли в реестр. Пошли по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Смотрим параметр userinit ( должен бытьC:\WINDOWS\system32\userinit.exe !). Внимательно смотрим, что стоит еще в этой строчке после запятой (или чем заменен параметр). Запоминаем, или записываем какой файл и его путь. Удаляем все в данном параметре, что осталось после запятой. Должно остаться только C:\WINDOWS\system32\userinit.exe (или другой диск, не C:).
Теперь идем и ищем тот файл по тому пути который только что запомнили или записали. Удаляем его.
Теперь идем по всем папкам типа Temp . Они обычно в папке Windows, на диске C:, поищите где еще у вас могут быть. Чистим эти папки. САми папки оставляем, а файлы из них удаляем. (правда потом возможно некоторые проги придеться переставить, но это не самое страшное, по сравнению с тем что у вас было).
Вот теперь можно сделать перезагрузку и загрузиться в обычной вашей Windows. Должно получиться.
Теперь надеюсь, должно быть понятно всем!!!
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-14 23:24:08.486666
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
А вот поподробней как защититься от этого можно? А то у нас в общаге "порнушников" оказывается дофига развелось уже 8 раз за месяц с такой проблемой подходят. Я отвыечаю, что нефиг лазить где попало, но хочется и еще че-нить умное сказать.
Заранее спасибо.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-14 23:57:47.426666
|
|
|
Bukatov
Сообщений: 66
Оценки: 0
Присоединился: 2007-07-19 21:26:33.103333
|
z0mbyak, ты че? а перед твоим постом про что писали? :@
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 00:12:03.350000
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Про то, нам попалась такая зараза, которую через реестр хрен найдешь! да и так тож чет не видно…способы известные мне (в том числе откат изменений реестра) не катят!!! Я блин не знаю че и думать уже! Либо эта тварь перезаписывает какой-то ранее существующий файл, либо я не вкурсе последних событий…
quote:
Как защиттить себя от этого я могу рассказать отдельно потом. кстати а написано про способ удаления, а не защиты…
___________________________________________________________________________
Не зли других и сам не злись! Мы гости в этом бренном мире…
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 06:57:35.380000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Способ защиты. Самое вкусное. Хочеться узнать, а я не сказал сразу. А сами подумать не хотите. Ладно. Рассакажу как можно проще.
1. Самое простое - не работать под админиской учеткой. Но этот совет понятное дело многим не по вкусу.
2. Совет вытекает из первого. Необходимо просто запретить запись в реестре в некоторые кусты. В частности в этот ключ. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Открываем его в редакторе реестра Пуск-Выполнить-regedit. Идем до ключа выбранонго - правой кнопкой по нему-Разрешения-Выбираем пользователей (можно всех вплоть до System) и оставляем галочку только на "Чтение". Все. Запись в данный ключ невозможно, и его изменение.
Кстати еще целую кучу ключей тоже можно так же закрыть. Перечисление их достсточно большое, могу часть перечислить и объяснить почему. При этом множество троянов будут идти лесом. Но это если будут пожелания.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 11:14:49.030000
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Конечно будут! Желательно подробней… Кстати а вот такой ньанс…как я написал, эта зараза не изменяет реестр, что тогда и как быть?
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 14:39:20.020000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: zzsnn
Способ защиты. Самое вкусное. Хочеться узнать, а я не сказал сразу. А сами подумать не хотите. Ладно. Рассакажу как можно проще.
1. Самое простое - не работать под админиской учеткой. Но этот совет понятное дело многим не по вкусу.
2. Совет вытекает из первого. Необходимо просто запретить запись в реестре в некоторые кусты. В частности в этот ключ. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Открываем его в редакторе реестра Пуск-Выполнить-regedit. Идем до ключа выбранонго - правой кнопкой по нему-Разрешения-Выбираем пользователей (можно всех вплоть до System) и оставляем галочку только на "Чтение". Все. Запись в данный ключ невозможно, и его изменение.
Кстати еще целую кучу ключей тоже можно так же закрыть. Перечисление их достсточно большое, могу часть перечислить и объяснить почему. При этом множество троянов будут идти лесом. Но это если будут пожелания.
Офигительная тема. я только за почитать сию статью Войну и мир. Даёшь теорию!
з.ы. А если проги в реестр лезут…. в эти ветки… ну как вариант, тогда для них будет облом же.
Если это не возможно, то швырните в меня камень xD >_<
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 15:14:57.323333
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
quote:
А если проги в реестр лезут…. в эти ветки… ну как вариант, тогда для них будет облом же.
Да, но это вынужденная мера. На время установки какого-либо софта, которому требуются эти ветки можно включить ф-цию записи…а потом опять отключить…гемор, думаю над процессом полу-автоматизации…приму идеи по данному вопросу в дар:-)
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 19:04:46.010000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Конкретно по этой ветке. На кой ляд какой-то проге вообще изменять данную ветку. Нет я конечно допускаю, что кому-то придет в воспаленное воображение данная идея, но по моему это уже перебор. Вообще, в настроенной Windows, абсолютное большинство веток реестра можно спокойно закрыть. Если необходима конкретизация, то могу высказать свое мнение.
Теперь по теме. Закрытием данной ветки мы сможем блокировать действия только данного вируса, но не остальных, которые могут использовть другие ветки. Кроме того закрыв ветку для данного вируса мы его все равно оставляем на компе. Просто он не работает. Лапки ему отрубили, и он дохленький получаеться. Но зато его можно выловить потом при полной проверки антивирем. Значит надеяться на один мониториг антивирем идиотизм. Необходимо время от времени запускать полное сканирование системы. И желательно в безопасном режиме, а еще необходимо постоянно просматривать автозагрузку ( и лучше только спецпрогами, а не msconfig), и запущенные процессы регулярно контроллировать. Ваша безопасность в ваших руках! (это не девиз некотрых женщин, а суровая правда жизни).
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-15 19:11:20.183333
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
quote:
Ваша безопасность в ваших руках! (это не девиз некотрых женщин девиз я таких знаю, блин:D
Лучший вариант в нашем случае это заодно использовать поик по реестру с именем этого зверька(как в случае с ручным удалением wins32)это даст чуть больше шансов на поиск самого файла(или дополнительного)
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 07:29:54.710000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
спользовать поик по реестру с именем этого зверька
А имя ты его знаешь? А если ось не загружеться? Ведь, как рассмотренно выше, данный вирус вообще блокирует доступ работы в оси. Ну и как ты поиск проведешь? На ощупь? Трудно искать черную кошку в темной комнате, особенно если ее там нет. Легче заранее закрыть кошке доступ в комнату и сразу исключить ее из списка помещений в которых необходимо вести поиск.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 07:51:49.693333
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Если заблокирована ось, можно зайти через безопасный, если нельзя то лучше не мучиться и снести нафиг виндовс. Имя зверька можно найти по сравнению реестра с предыдущими (не зараженными) параметрами. Сравнить записи до и после скажем так. Закрыть то легче, а если все же пролез?
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 17:42:27.130000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: z0mbyak
Если заблокирована ось, можно зайти через безопасный, если нельзя то лучше не мучиться и снести нафиг виндовс. Имя зверька можно найти по сравнению реестра с предыдущими (не зараженными) параметрами. Сравнить записи до и после скажем так. Закрыть то легче, а если все же пролез?
Дамп реестра делают только те кт с ним взился восстанавливая. У 95% пользователей его нет. А к кому пролез такой позорный вид вируса и подавно.
Сносить винду щас становиться не модно из-за отсутствия дисков. (Vista) Поэтому бороться лучше только с лайв сиди, но вот лучшебы кто нить посоветовал, а тов инете их куча. Я остановил выбор на ReactOS.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 17:59:35.190000
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Я до сих пор юзаю alkid.live.cd.usb.2009.01.12. Хороша штука. (на мой вкус)
quote:
Сносить винду щас становиться не модно из-за отсутствия дисков. (Vista)
Кто ищет тот всегда найдет.
quote:
А к кому пролез такой позорный вид вируса и подавно.
Ну ко мне же пролез…(причем не с порнухи это точно(помоему с crack'a))и толку от реестра не оказалось…
как вариант я полагаю, что моя скатина заменила не логон, а …ui.exe(приветствие)потому что экрана приветствия тогда не наблюдалось…
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 18:35:08.940000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
Если заблокирована ось, можно зайти через безопасный, если нельзя то лучше не мучиться и снести нафиг виндовс
При работе данного вируса зайти в Безопасный режим чаще всего не удаеться. Теоретически это и невозможно. Просмотри какую ветвь реестра он изменяет и подумай для чего она нужна. Далее, снесение оси будет эффективным только при полном форматировании. А если данные очень важные, и копий нет. А теперь данные заражены, и в них где-то сидит вирус. Рискнешь снова ставить на эти данные ось? Рискни. Поэтому совет глуп и непрофессионален. Типа когда триппер подхватываешь - самый эфективный способ лечения - топором под корень. Тоже помогает.
quote:
Имя зверька можно найти по сравнению реестра с предыдущими (не зараженными) параметрами. Сравнить записи до и после скажем так.
А ты когда нибудь сравнивал копии реестра? Вижу нет. Советую. Берешь делаешь копию. Перезагружаешься. Снова делаешь копию. Перезагружаешься. А теперь сравни. Первое - чем? Какой прогой. Второе - как? Третье - что ты сможешь понять? Я очень рекомендую тебе это сделать. И другим советую решить данную задачу. Много интересно поймете, и поймете что всем советует z0mbyak.
z0mbyak для тебя обязательна данная процедура. А завтра расскажешь всем о результатх. Очень ждем. Слабо!
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 18:41:04.053333
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Ну весь реестр руки не доходят(да и нудненько, да и софта нет(кстати посоветуй)), а вот самые популярные ветки у меня сброшены руками в рег файлы. Далее все сводится к простому сравнению 2 текстовых файлов(софт например Active File Compare). Работа ручная, но без интернета (у мя анлим только 3 недели(я бедный студент)) самый лучшый вариант.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 20:49:18.120000
|
|
|
BugRIPPER
Сообщений: 465
Оценки: 0
Присоединился: 2005-02-18 00:16:04
|
Парни, чтоза вирус такой вообще. Каждая пятая тема на хацкере, про него. Про пошлите СМС. Блин попахивает антуражем дешевых хацкерских фильмов. Т_Т экран заблочили. А мне бы хотелось посмотреть, как оно работает. Но только не на своей детке.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 22:15:50.566666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
z0mbyak ты все-таки не хочешь выполнить условие задачи. Скопировать и сравнить реестр. Сложно. И тяжело. Теперь понятно, что твой совет о поиске зверя путем сравнения реетра, мягко говоря некоректен. А для остальных советую сделать. Сразу вопросы. В каком формате сохранять? reg, ini, или еще какой-нибудь, или просто все файлы реестра. Далее куда и чем сохранять. Ну сохранить можно и редактором реестра, можно через стандартную утилиту архивирования Пуск-Программы-Стандартные-Служебные-Архивация данных. Там стоит просмотреть. Только вначале галочку убрать "Всегда запускать в режиме мастера". А сравнить и просмотреть можно даже Word, если сохранил как reg, или ini.
Но реестр - это очень изменчивая среда. Даже после перезагрузки он меняет целую кучу параметров. Тем более после открытия, установки, удаления программ. Так что вылавливать вирусы через сравнение копии реестра даже недельной давности глупая идея.
BugRIPPER лучше не видеть. Но я думаю знакомые рано или поздно позовут. Рапостранялся вначале через почту. приходил файл pdf открываешь и имеешь после перезагрузки. Сейчас уже идет не только pdf, но и другими расширениями. Его надо все-таки запускать. Сам пока (!) еще автоматом не рапостраняеться. Но у нас народ любопытен и часто глуп.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-16 22:31:04.160000
|
|
|
z0mbyak
Сообщений: 284
Оценки: 0
Присоединился: 2008-08-25 03:23:29.933333
|
Почему некоректен?
Случай 1
Мы обнаружили подозрительную запись в ветке например автозагрузки…посмотрели откуда и что за файл,
удалили, а он, зараза, взял и заново появился. Соответственно самый первый вариант для нас это поиск в реестре записей с именем файла вируса(если имя генерируется произвольно, тогда на удачу). Разве не так?
Случай 2
Мы нашли сам файл вируса (ну в папке Resycler например) открываем реестр и производим поиск по имени файла, далее по обстоятельствам(я так kido лечил, когда его мой нод еще не видел, хоть и говорят, что он имя файла генерирует произвольно).
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-17 05:41:23.580000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: z0mbyak
Почему некоректен?
Случай 1
Мы обнаружили подозрительную запись в ветке например автозагрузки…
Думаю даже нод констролирует ветку автозагрузки, да хоть комодо, да хоть сам закрой, а если ты прогу ставил и у неё произвольные данные (таких полно). Недавно столкнулся ваще с новым вирусом который не опознавался никем, но палился тем что создавал файлик. Вот в реестре он ныкался в запуски аудио дров, который запускали аж три процесса. Какой здесь autorun. Вот я помню читал 900000 (с чужого компа) строк progmon чтобы починить реестр, и то только потому что разница в снимках реестра была намного больше.
BugRIPPER
Честно пока тоже не видел даже у друзей, видимо что он сидит на определенных типах сайтов.
P.S. не верю что эта тварь не ловиться антивирями сразу после загрузки файла. Большинство историй начинаютсся: я отключил антивирь…
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-17 08:10:20.916666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
z0mbyak если бы все так легко было. Почитай о видах вирусах, о способах их маскировка. Изменение размера, изменение имени, изменение кода и еще все на ходу. Внедрение в реестр, в код программы, в макрос, модификация всего что можно… Да эту тему можно до бесконечности. Лучше возьми поройся в инете на тему маскировки и выявления вирусов. Потратишь пару часов на чтение, а станет чу-чуть понятнее и еще больше непонятнее. Так всегда. Чем дальше в лес - тем толще партизаны.
Ltonid не знаю как сейчас, а вот еще 2 недельки назад Каспер лицензионный с автообновлением не ловил. Примерно месяц назад тоже самое видел с Доктором Вэб, тоже кстати со свежими обновлениями.. А вот у человека, с элементарным Авастом и Spybot-S&D http://www.safer-networking.org/ru/download/index.html , включенным в режиме слежения за реестром (я имею ввиду режим Spybot-S&D), влет тормознул гадость. Мне позвонил только когда после третей перезагрузки выскакивало сообщение от Spybot-S&D что какая-та прога пытаеться изменить важные ключи реестра, а он ей постоянно запрещал на автомате. Но ему не понравилась настойчивость проги и он позвал меня.
Причина тут простая. Вирус на начальном этапе создает файл-загрузчик в одной из директорий и его копию в папке Temp, которая поддерживает файл-загрузчик, восстанавливая его если его попытались удалить. При работе Windows (начиная с загрузки) постоянно обращаеться к папке Temp и доступ к ней открыт по умолчанию всем пользователям. И права файлам, находщимся там тоже достаточно приличные. Уровень пользователя чаще всего System. Вот и получаеться что файл-копия всегда может создать файл практически в любой директории с любым именем.
Теперь дальше. Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon . Я могу полностью расписать тебе его по параметрам, но суть не в этом. Антивирь проверяет при начальной загрузке только память, потом теоретически грузиться сам, а потом проверяет загружаемые программы. Но параметры данного ключа вступают в силу сразу после того как пользователь зарегестрировался на компе. Т.е. даже раньше антивиря (вероятней всего). Он не изменяет в памяти ничего. Он просто меняет оболочку с которой работает пользователь. Где тут противоправные действия в понимании антивиря? Работа с другой командной консолью допускаеться, измененение тем Windows допускаеться, то почему тут (а это практически тоже самое) необходимо шум поднимать? Потому антиварь может и не сработать. А при заражении тем более. Ну изменил пользователь параметр реестра. Где тут криминал с точки зрения антивиря? Потому антивири и были бессильны. Сейчас не знаю, но не давно пролетали.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-17 23:07:22.116666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
zzsnn
Спасибо за такой подробный ответ, видимо создатели следят или где то есть исходники. Уточню имелся ввиду именно момент заражения, т.к. пишут что данный вирус нужно запустить самим, хотя может уже есть автоматика. Конечно после заражения антивирь идет лесом, какой бы вирус (так сказать из распространеных) не был.
Чувствую скоро польются запросы.
P.S. не то чтобы не по теме, но есть ли LiveCD которые можно быстро собрать так сказать с обновленными базами (доктор веб увы не то) и нужными прогами, но быстро (типа накидал в прогу и раз готово)?
З.Ы.Ы. но я уже привык ковырять километровые логи прог типа Progmon и Regmon.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-17 23:30:44.933333
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
Пару раз столкнулся с аналогичной прблеммой.
1-й раз оказался джава-скрипт (проверка - отруби ее в браузере и перезагрузи страницу) далее поиск по маске с указанеем даты когда ента хрень всплыла.
2-й раз оказалась dll-ка прописаная в AppInit (авторанс от сисинтерналс - рулезз)
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-18 07:05:29.403333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ltonid
quote:
Уточню имелся ввиду именно момент заражения
А в момент заражения ничего фактически и не происходит. Запустил файл из почты. Он отработал и создал только два файла: один в какой-нибудь системной папке (мне почему-то попадались в Документах пользователя), другой сразу в Temp (хотя может и не создаваться, как я думаю, его создание - второй этап). Ну и заодно запускающий файл изменил ключ в реесте. Все. До перезагрузки ничего больше не происходит. Антивирь потому и не реагирует. Изменений системных файлов нет, параметры не меняються. После презагрузки, сразу после регистрации пользователя пошла работа вируса, но тут антивирь уже не успевает.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-18 16:41:27.410000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: zzsnn
Ltonid
quote:
Уточню имелся ввиду именно момент заражения
Запустил файл из почты
создал только два файла
изменил ключ в реесте
Для макафи этого достаточно тыщу раз ловил так, тем более TEMP я туда каждый день гляжу по надобности, да и ваще его автоматически можно удалять при выходе. Короче мой вердикт: есдинственный способ заразиться заразить себя сам, иначе никак, но не отрицаю что пару раз сам себя заражал тыкая ОК на автомате.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-05-18 17:50:51.490000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Это даже ты на автомате нажимаешь ОК, а предеставь сколько не очень сообразительных и не умеющих читать. Прикинь процент! Вот и получаеться такой страшный вирус. Хотя элементарная внимательность спасет от этого вируса.
А интересно, сколько ребята уже заработали на SMS, котороые им посылали. А ведь точно посылали. Я сам с такими столкнуся. Посылающим повезло только потому, что на мобильнике денег была с член муравья. Ответ получили: "У вас мало на счету для выполнения данной операции". Только тогда сообразили ко мне позвонить.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-06-11 13:33:11.480000
|
|
|
ФСБшник
Сообщений: 1
Оценки: 0
Присоединился: 2009-06-11 13:27:45.550000
|
Вводим 12345 (текст смс) и будет вам счастье.
|
|
|
|
|
RE: избавиться от взлома на windows - 2009-06-11 13:59:46.113333
|
|
|
Манджо Талибар
Сообщений: 218
Оценки: 0
Присоединился: 2009-06-08 12:10:43.436666
|
quote:
избавиться от взлома на windows
Самое основное:
http://www.xakep.ru/magazine/xs/048/070/1.asp
http://www.xakep.ru/magazine/xa/092/040/1.asp
|
|
|
|
|
|
