[ На главную · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 2
  • 1
  • 2
  • »
Форум » Архив » Забытое » Хитрый вирус
Хитрый вирус
-тур-ConstantineДата: Четверг, 08.10.2009, 22:36 | Сообщение # 1
Добрался,(ась) до Эвереста
Группа: Модераторы
Сообщений: 737
Статус: В зоне
Я напоролся на вирус, из-за которого мне пришлось переустановить систему. Способ лечения я обнаружил лишь позже.

Вирус распространяется через контакты ICQ, к вам приходит сообщение о просмотре рисунка gif, под которым на самом деле завуалирован scr-скриптовый файл, при запуске которого ОС Windows блокируется и предлагает получить код доступа посредством отправки СМС на такой-то номер.

В данный момент вирус не обнаруживается даже антивирусными системами ни Касперского, ни NOD32.

Будьте предельно внимательны и не запускайте файлы по ссылкам от контактов ICQ!

Способ лечения, на тот случай, если всё-таки хапанули:

1) Загружаемся в безопасном режиме с поддержкой командной строки (F8 при запуске компьютера)
2) запускаем regedit
3) идем по ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
ищем значение "Shell"="c:\windows\svcoost.exe"
удаляем его
4) Перезагружаемся.

Сообщение отредактировал -тур-Constantine - Пятница, 09.10.2009, 20:24
 
-тур-VojlokДата: Пятница, 09.10.2009, 14:52 | Сообщение # 2
Туристо!
Группа: Администраторы
Сообщений: 2066
Статус: В зоне
-тур-Constantine, а у тя нету этого файлика, хочу свою безопасность потестить?

Как здорово, что все мы здесь, сегодня, собрались...

 
BalosДата: Пятница, 09.10.2009, 19:03 | Сообщение # 3
никто
Группа: Все
Сообщений: 593
Статус: В зоне
ой мне этих сообщений в аське штук 50 пришло от разных контактов,совершенно одинакового содержания,ну и ссылки на рисунок,сразу уж понятно,что это вирус happy



За новым скайпом в ЛС =)
 
-тур-ConstantineДата: Пятница, 09.10.2009, 20:26 | Сообщение # 4
Добрался,(ась) до Эвереста
Группа: Модераторы
Сообщений: 737
Статус: В зоне
[-тур-]Vojlok, увы, нет, при переустановке системы большая часть инфы удалилась. Но их легко нарыть smile

Добавлено (09.10.2009, 20:26)
---------------------------------------------
-тур-Balos, а о способе борьбы с ним ты знал? wink потому и выкладываю.

 
[mon]GasДата: Пятница, 23.10.2009, 19:57 | Сообщение # 5
флудераааст
Группа: Провереные временем
Сообщений: 388
Статус: В зоне
У меня было такое



 
МолотовДата: Суббота, 24.10.2009, 16:25 | Сообщение # 6
Ищу Вавилон...
Группа: Все
Сообщений: 212
Статус: В зоне
если такая хрень будет то просто комп из розекти выдергиваем и ниче неслучиться, ну ес ли только несохраненные данные потеряютьсч =)))

 
BalosДата: Суббота, 24.10.2009, 17:26 | Сообщение # 7
никто
Группа: Все
Сообщений: 593
Статус: В зоне
Встретился на днях с двумя плохими вирусами:

1.Не пускал в проводник,отключал диспетчер задач и требовал "Активацию Windows" через смс.

Борьба с ним достаточно простая.
Первый способ: загрузиться с LiveCD, зайти в папку C:\Document and Settings\Имя пользователя\LocalSettings\Temp удалить все временные папки и файлы.Далее перезагрузить компьютер и уже без появления надоедающей таблички-рэкетира зашйти в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit .Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.

Достаточно заумный способ,его я нашел уже после того,как вылечил свою винду,зато этим способом вы не потеряеете свой рабочий стол и настройки приложений.

Второй способ: Создать новую учетную запись.Когда появится табличка с просьбой активации нажимаем ctrl+alt+delet , заходим в деспетчер задач и видим надпись "Диспетчер Задач отключен Администратором"зато в левом нижнем углу появится "Пуск" оттуда то и можно создать учетную запись,думаю расписывать,как создавать учетную запись ненадо.

Третий Способ: После операции выход/вход в учётную запись баннер появляется с задержкой в 5 минут. За это время через диспетчер программ выявил что запущен неизвестный процесс ybuuk.exe. Через закладку "Автозапуск" в программе msconfig определил что файл расположен в папке C:\Documents and Settings\MyLogin\Application Data, где и обнаружил искомый файл размером 18432 и ещё 170 его братьев-близнецов.
После отключения (с помощью msconfig) автозапуска ybuuk.exe баннер не появляется.
При просмотре папок в C:\Documents and Settings\MyLogin\Local Settings\Temporary Internet Files выявлен источник заразы - файл k.php.
Осталось только вычистить реестр от упоминаний о файлах-заразах.

Четвертый Способ:Сайт антивируса Доктор Веб имееь генератор активационных ключей http://news.drweb.com/show/?i=304&c=5&lng=ru

2.требовал отправить смс,что бы я мог войти на сайт vkontakte.ru

Все что нужно сделать это найти папку etc в папке Windows\System32\drivers\ и ПЕРЕМЕСТИТЬ всё её содержимую в папку etc2(которую нужно создать там же)




За новым скайпом в ЛС =)


Сообщение отредактировал -тур-Balos - Суббота, 24.10.2009, 17:35
 
[mon]GasДата: Суббота, 24.10.2009, 17:55 | Сообщение # 8
флудераааст
Группа: Провереные временем
Сообщений: 388
Статус: В зоне
-тур-Balos, невидал таких



 
-тур-VojlokДата: Суббота, 24.10.2009, 19:15 | Сообщение # 9
Туристо!
Группа: Администраторы
Сообщений: 2066
Статус: В зоне
-тур-Balos, какой у тебя антивирус?

Как здорово, что все мы здесь, сегодня, собрались...

 
BalosДата: Суббота, 24.10.2009, 21:06 | Сообщение # 10
никто
Группа: Все
Сообщений: 593
Статус: В зоне
[-тур-]Vojlok, аваст хоум премиум,с последними обновлениями,я сам по своей тупости вирус на комп занес,откл антивирь,ради кряка...



За новым скайпом в ЛС =)
 
[mon]GasДата: Суббота, 24.10.2009, 21:19 | Сообщение # 11
флудераааст
Группа: Провереные временем
Сообщений: 388
Статус: В зоне
Аваст мне не нравится это фигня лутше Нод32 или Авира



 
-тур-ConstantineДата: Суббота, 24.10.2009, 21:47 | Сообщение # 12
Добрался,(ась) до Эвереста
Группа: Модераторы
Сообщений: 737
Статус: В зоне
-тур-Balos, Avast - это ж самая попа.....
ставь Нод
 
BalosДата: Суббота, 24.10.2009, 21:56 | Сообщение # 13
никто
Группа: Все
Сообщений: 593
Статус: В зоне
Зато мне не надо искать халявные ключи или мудиться со взломом,ну либо тратить деньги wink



За новым скайпом в ЛС =)


Сообщение отредактировал -тур-Balos - Суббота, 24.10.2009, 21:56
 
[mon]GasДата: Суббота, 24.10.2009, 22:42 | Сообщение # 14
флудераааст
Группа: Провереные временем
Сообщений: 388
Статус: В зоне
-тур-Balos, ага чисто из за этого [ happy



 
МолотовДата: Воскресенье, 25.10.2009, 09:52 | Сообщение # 15
Ищу Вавилон...
Группа: Все
Сообщений: 212
Статус: В зоне
А чем всем так Касперский ненравиться? У меня Каспер на раз эти вирусняки находит, я неуспеваю на ссылку зайти он уже блокирует говоря что ссылка опасная, а когда ко мне вирус прилетел стоял тупой NOD32 пропустил гад...поэтому для меня лучший антивирус это Касперского , надо создавать ветку какой лучший антивирус =)

 
Форум » Архив » Забытое » Хитрый вирус
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:

На главную · Инфо · Фотоальбом · Состав группы