112 ответов в теме

[shelmimo]

...отслеживать эту модификацию лень просто)))

Рассмешил, спасибо.

[Kawa]

Поподробнее можно? У всех зараженныхею компов, что я лечил за последний месяц, она лежала в кеше IE, а владельцы не в силах были объяснить откуда взялась.

Скачать екзешник в кеш и запустить без ведома пользователя можно. Если найти дыру. Не первый случай. У меня подозрения на ява-машину, но тут проверять надо.

Подобные троянчики убивал довольно просто ... доставал прогу ProcessExplorer .... пкм по нижней панеле пуск

Хорошая альтернатива - иметь на диске FAR. Возможность просмотра и убийства процессов там есть, зараза на него обычно не реагирует.

[Wicked Raven]

Хорошая альтернатива - иметь на диске FAR. Возможность просмотра и убийства процессов там есть, зараза на него обычно не реагирует.

хорошая альтернатива:
tasklist + taskkill


P.S.

Господам, модифицирующим эту заразу, пора бы учесть

[doommer]

Хорошая альтернатива - иметь на диске FAR. Возможность просмотра и убийства процессов там есть, зараза на него обычно не реагирует.

Фар это прежде всего файловый менеджер для Win32, если будет беда с ОС то c far-ом будет беда, такая же как и с виндой.

ТаcкМенегер который идет как плагин к фар посравнению с тем же процессэксполером, УГ.

В последнем можно смотреть реальное потребления памяти (кстати в таскманагере виндус это не реально сделать) процессом, стек вызова объектор по тредам с потреблением процессорного времени, сетевую активность тоже со стеком вызова объектов по каждому из импольхуемых соккетов, UDP\TCP!

tasklist + taskkill

речь идёт о тем что тебе винда не даст дойти до конслои кода эта зараза активна, только загрузка в без. режиме с поддержкой CMD и вот там уже нужно "ручкама" лечить заразу, а как ты понимаешь это простой сервера

Сообщение отредактировал doommer: 29 January 2010 - 21:20

[Брат]

Хорошая альтернатива - иметь на диске FAR. Возможность просмотра и убийства процессов там есть, зараза на него обычно не реагирует.

Блокируется любая возможность запуска exe файлов.

Та же беда и с тасклистом.

[Orioniys]

сестра ловила такую хрень, по ее словам скачала програму какой то графический редактор нажала на экзешник и вуаля)
в безопасном режиме кстати винда запускалась, удалил екзешник и запустил антивирус но винда рухнула

[Батька Дамаг]

есть у меня знакомый - он вирусы к себе, как магнит притягивает. мастера вызывал раз в неделю, а то и чащще , винду переставлял регулярно. вылечился установкой проги shadowuser. нажал ресет - и как будто винду только что переставил.

[VolCh]

речь идёт о тем что тебе винда не даст дойти до конслои кода эта зараза активна, только загрузка в без. режиме с поддержкой CMD и вот там уже нужно "ручкама" лечить заразу, а как ты понимаешь это простой сервера

На сервере-то она откуда возьмется?

[xzv]

Новый писк этой заразы внедряться в chm файлы в каталоге \windows\help
Один раз он даже запускался из .log файла в каталоге \windows, что для меня было совершенно неожиданно. Заражённых .exe файлов так и не обнаружил.

И таки да, за последнюю неделю 6 клиентов заразились этой заразой(eKAV или Internet Security). Никто так внятно и не смог сказать откуда он его подцепил.

Двое были с NOD32, один с Kaspersky 2009. Эти антивири его пропустили.

Сейчас научился удалять это безобразие за 5 минут, но обязательно приходится грузиться с Live CD.

З.Ы. да, до этого были всякие plugin.exe - но это ваще смех, а не блокиратор, фактически для дремучих лохов совсем.

Да и был у меня клиент, который таки отправил 3 смски по 300 рублей, но ему это не помогло, вызвал меня и я ему за 400 руб его удалил.

[VolCh]

Заражённых .exe файлов так и не обнаружил.

Афаик, винда не смотрит на расширение уже давно, лишь бы бинарный формат соотвествал (MZ и всё такое)

Никто так внятно и не смог сказать откуда он его подцепил.

Дефолтный браузер?

Да и был у меня клиент, который таки отправил 3 смски по 300 рублей, но ему это не помогло

Даже тут лохотрон

вызвал меня и я ему за 400 руб его удалил.

Демпингуете, коллега

[Kachey]

Попался один знакомый на такой "недовирус" отдал знакомым свой ноут, они ему там все убили (инфы рабочей дофига полезной было), словил повторно буквально через не сколько дней, перед этим рассказывал какой страшный вирус что с ним не могли справится и пришлось все форматнуть.
Решается проблема просто, safe режим, удаление через "установка-удаление" новых программ (видео плеер какой-то там сразу понятно какой), проверка антивирусом (авирой проверял).
П.С. и на будущее (выяснилось после долгих расспросов что и как делал чувак для "заражения вирусом") установка проигрывателя при переходе на ссылку(рекламную)

Сообщение отредактировал Kachey: 31 January 2010 - 0:26

[Grey]

Недавно ко мне на работу притащили ноут, у которого была разновидность этой херни.
Но запускалась не через экзешник в загрузках, и даже не через плагин к ие, хотя есть и такие. Она заменяла драйвер хранителя экрана.
Поэтому есть уже куча разных вариантов и не все так уж легко убиваются. На последний потратил около часа, и то переписал файл драйвера с соседнего компа, иначе хз даже как убить, система вываливается в ошибку если просто удалить.

Причем почему-то этот драйвер запускается даже в защищенном режиме, что стало для меня большим сюрпризом.

Сообщение отредактировал Grey: 31 January 2010 - 0:26

[Kachey]

Недавно ко мне на работу притащили ноут, у которого была разновидность этой херни.
Но запускалась не через экзешник в загрузках, и даже не через плагин к ие, хотя есть и такие. Она заменяла драйвер хранителя экрана.
Поэтому есть уже куча разных вариантов и не все так уж легко убиваются. На последний потратил около часа, и то переписал файл драйвера с соседнего компа, иначе хз даже как убить, система вываливается в ошибку если просто удалить.

Причем почему-то этот драйвер запускается даже в защищенном режиме, что стало для меня большим сюрпризом.

контрл+альт+дел, потом если мышь не работает, ручками запускаем удаление программ и находим нужную, название к сожелению не записал, но там понятно, проигрывателей не много стоит на компе, удаляем незнакомые
п.с. хотя да твоя разновидность что-то новое, такого не видел, есть исходник вируса?

Сообщение отредактировал Kachey: 31 January 2010 - 0:35

[Grey]

контрл+альт+дел, потом если мышь не работает, ручками запускаем удаление программ и находим нужную, название к сожелению не записал, но там понятно, проигрывателей не много стоит на компе, удаляем незнакомые

ну не стоит считать других людей идиотами заочно) ктр+альт+дел не работает. каким-то образом блокируется. Так же как и cmd. При загрузке драйвер хранителя создает какой-то файл в профиле пользователя, там еще что-то было.
Не помогало вобще ничего, из-под самой системы спасти ее не удалось. Приеду из командировки могу скинуть то что я там записал про особенности поведения.
И самое главное - касперский в упор его не видел, как и энтерпрайс версия др веба.

[Ank Burov]

чем больше такой гадости, тем больше денег зарабатывают IT-шники

Истина. Всякие "вирусы на весь экран" - крайне хороший способ ненапряжного допзаработка.

[Wicked Raven]

Блокируется любая возможность запуска exe файлов.

Та же беда и с тасклистом.

ничто не мешает запустить tasklist|taskkill с ключом /s на соседней машине в сети , особенно если это домен.

кроме того инкарнаций этой фигни с возможностью блокировки запуска всех EXE еще не встречал, и коммандная строка работала.

а если

а как ты понимаешь это простой сервера

то за такое руки админу отрывать надо!

[Franky]

ну не стоит считать других людей идиотами заочно) ктр+альт+дел не работает. каким-то образом блокируется. Так же как и cmd. При загрузке драйвер хранителя создает какой-то файл в профиле пользователя, там еще что-то было.
Не помогало вобще ничего, из-под самой системы спасти ее не удалось. Приеду из командировки могу скинуть то что я там записал про особенности поведения.
И самое главное - касперский в упор его не видел, как и энтерпрайс версия др веба.

кмд, регэдиты и прочие КурИты переименовывай в 2354353.ехе - не заблочит.

[DarkPhoenix]

Истина. Всякие "вирусы на весь экран" - крайне хороший способ ненапряжного допзаработка.

Это куча ненужного геморроя забесплатно (если у друзей) или за смешные деньги (если у знакомых).

Все относительно