Сайт · Форум · Инструменты · Блог Форум WindowsFAQ

Назад   Форум WindowsFAQ > Тематический раздел > Безопасность

Тема закрыта
 
Действия над темой
gecata
Εκατη Тролль декоративный одомашненный
 
Регистрация: фев 2007
Город: СПб
Сообщений: 14 102
Сила репутации: 37
Репутация: 1091
26-04-2009, 11:54 Инфо Контакт
Н-дя... Походу, это уже не разновидность того же вируса. Походу, это уже такая отрасль вирусописательства - блокеры... Так что общее в борьбе с ними пока только одно - загрузка с лив. А все остальное может быть совсем разным
gecata is offline
Реклама
Зарегистрируйтесь, чтобы скрыть этот блок
Crazy user
 
Регистрация: фев 2001
Город: Москва, Россия
Сообщений: 14 203
Сила репутации: 44
Репутация: 1101
26-04-2009, 12:42 Инфо Контакт
Я уже 3 разных окна видел. Так что это только начало.
Crazy user is offline
HAPKOMAHs
Пользователь
 
Регистрация: апр 2009
Сообщений: 1
Сила репутации: 0
Репутация: 10
26-04-2009, 19:44 Инфо Контакт
Вот ещё вариант если файла bloker нет (я только что с этим столкнулся), делает как тут http://habrahabr.ru/blogs/i_am_clever/56923/, после того как видим панель задач запускаем редактор реестра, смотрим HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon смотрим параметры Userinit, должно быть C:\Windows\system32\userinit.exe, ...Если после запятой что-то прописано, то это и есть путь этого вируса.В моём случае иям файла было не blocker, a donC28.bin. и был он не all user, a USER. Я загрузиля с Live CD удалил эти файлы перезагрузился, в реестре поменял параметр userinit и все норм.
HAPKOMAHs is offline
SergAtHome
Пользователь
 
Регистрация: янв 2004
Сообщений: 1 717
Сила репутации: 17
Репутация: 77
27-04-2009, 12:12 Инфо Контакт
Crazy user
Количество спама УЖЕ В РАЗЫ увеличилось
SergAtHome is offline
Crazy user
 
Регистрация: фев 2001
Город: Москва, Россия
Сообщений: 14 203
Сила репутации: 44
Репутация: 1101
27-04-2009, 20:14 Инфо Контакт
Цитата (автор SergAtHome):
Количество спама УЖЕ В РАЗЫ увеличилось
Ну это врят ли, дальше уже не куда. У меня на работе в спам отправляется 96-98% писем, ещё в одной конторе ~99,5%
Или ты имеешь в виду абсолютное значение, а не относительное?
Crazy user is offline
SergAtHome
Пользователь
 
Регистрация: янв 2004
Сообщений: 1 717
Сила репутации: 17
Репутация: 77
29-04-2009, 08:55 Инфо Контакт
Crazy user
У меня с мастерхоста за последний месяц количество спама на несуществующие адреса увеличилось реально раз в 10. Раньше совсем мало было.
SergAtHome is offline
Crazy user
 
Регистрация: фев 2001
Город: Москва, Россия
Сообщений: 14 203
Сила репутации: 44
Репутация: 1101
29-04-2009, 12:08 Инфо Контакт
Добро пожаловать в реальность
Crazy user is offline
MrVamp
Пользователь
 
Регистрация: мар 2008
Город: Eternaty
Сообщений: 451
Сила репутации: 13
Репутация: 110
29-04-2009, 13:08 Инфо Контакт
Цитата :
Вот ещё вариант если файла bloker нет (я только что с этим столкнулся), делает как тут http://habrahabr.ru/blogs/i_am_clever/56923/, после того как видим панель задач запускаем редактор реестра, смотрим HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon смотрим параметры Userinit, должно быть C:\Windows\system32\userinit.exe, ...Если после запятой что-то прописано, то это и есть путь этого вируса.В моём случае иям файла было не blocker, a donC28.bin. и был он не all user, a USER. Я загрузиля с Live CD удалил эти файлы перезагрузился, в реестре поменял параметр userinit и все норм
Я удалил аналогично. Смотрим по ветке "Winlogon", что прописано после userinit.exe, это и есть путь вируса.
MrVamp is offline
gecata
Εκατη Тролль декоративный одомашненный
 
Регистрация: фев 2007
Город: СПб
Сообщений: 14 102
Сила репутации: 37
Репутация: 1091
29-04-2009, 13:16 Инфо Контакт
Ну вот, хоть какой-то алгоритм надыбали
gecata is offline
Magirus
недоадмин, переюзверь
 
Регистрация: авг 2005
Город: Южный Чертонакуличинск
Сообщений: 4 563
Сила репутации: 20
Репутация: 294
29-04-2009, 13:48 Инфо Контакт
можно обобщать и в ФАК...
Magirus is offline
MrVamp
Пользователь
 
Регистрация: мар 2008
Город: Eternaty
Сообщений: 451
Сила репутации: 13
Репутация: 110
27-06-2009, 12:31 Инфо Контакт
Обновился наш любимый блокератор . Сегодня только избавлял людей от него. NOD32-4 ничего не видел. Теперь этот троян жил в C:\Windows\Help\hlp.exe. Ну и тут тоже жил ==> C:\Documents and Settings\Administrator\Local Settings\Temp. Ну и по ветке HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon --- он полностью удалил запись "userinit.exe" и прописал соответственно "hlp.exe". Раньше он только дописывал запись. Что интересно после того как я удалил этот hlp.exe, и загрузил систему, минут через 5 снова вылезло окошко, правда уже с другим интерфейсом. Выличил тем что прошел в папку C:\Windows\Help и удалил оттуда все подозрительные файлы + убрал запись из автозагрузки -- и там успел прописаться. Ну и, поскольку комп был явно запущен, был запрещен доступ на некоторые сайты, в частности "vkontakte.ru", яндекс. одноклассники ну и другие. Открыл файл C:\WINDOWS\system32\drivers\etc\hosts. Удалил оттуда все лишние записи, оставив только "127.0.0.1 localhost". После этого все сразу заработало. У меня такой вопрос: кто-нибудь сможет рассказать поподробнее об этом файле, поскольку я знаю его только поверхностно. Я так понимаю, что можно запретить доступ к каким-то сайтам, прописав их там. В поиск забивал, смотрел, там только описывается его положительная инфо, а о запрете доступа к сайтам -- тишина. Спасибо.
MrVamp is offline
Propil
химик
 
Регистрация: янв 2005
Город: 86 ru
Сообщений: 2 888
Сила репутации: 18
Репутация: 135
27-06-2009, 14:16 Инфо Контакт
MrVamp
http://www.saule-spb.ru/library/hosts.html
Цитата :
Файл HOSTS часто становится "жертвой" различного рода вредоносного ПО, которое вносит в него изменения (например, с целью перенаправления пользователя на свои веб-сайты, вместо тех, которые вводятся им в строку браузера или используются антивирусами для обновлений своих антивирусных баз).
Либо, если вы увидите в своем файле HOSTS следующие строки:

127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com

То, это может означать только то, что кто-то хочет заблокировать вышеназванные сервера для вашей системы.
127.0.0.1 - это адрес вашего собственного компьютера.


Точно таким же образом вы и сами можете заблокировать нежелательные для вас веб-адреса, добавив в HOSTS-файл строку:

127.0.0.1 нежелательный сайт

Единственное, имейте в виду, что, если вы заблокируете таким образом много веб-сайтов (скажем, более сотни), будет очень желательно отключить службу DNS Client (DNS-клиент). Так как в противном случае интернет начнет ощутимо для вас тормозить.
Пример HOSTS-файла для блокировки нежелательных адресов также можно найти здесь: hpHosts (осторожнее, его размер более мегабайта). Если вы захотите заменить свой HOSTS файл на этот, на всякий случай сохраните копию оригинального HOSTS-файла, просто переименовав его, например, на hosts.original Большая часть назойливой рекламы и сайтов с нежелательным содержимым (где вы могли бы заразить свой компьютер) будет заблокирована. If you choose to download these files, please backup your original by renaming it to hosts.orig and saving the downloaded HOSTS file in its place. Using a HOSTS file such as these is highly recommended to protect your computer.
Propil is offline
MrVamp
Пользователь
 
Регистрация: мар 2008
Город: Eternaty
Сообщений: 451
Сила репутации: 13
Репутация: 110
28-06-2009, 07:18 Инфо Контакт
Большое спасибо, Propil. Очень интересная и познавательная информация.
MrVamp is offline
SergAtHome
Пользователь
 
Регистрация: янв 2004
Сообщений: 1 717
Сила репутации: 17
Репутация: 77
29-06-2009, 08:45 Инфо Контакт
Цитата :
Единственное, имейте в виду, что, если вы заблокируете таким образом много веб-сайтов (скажем, более сотни), будет очень желательно отключить службу DNS Client (DNS-клиент). Так как в противном случае интернет начнет ощутимо для вас тормозить.
Паржал. Хороший совет.
SergAtHome is offline
SavageNoName
Администратор форума
 
Регистрация: июн 2001
Сообщений: 16 322
Сила репутации: 47
Репутация: 1218
29-06-2009, 11:41 Инфо Контакт
недавно лечил комп. блокиратор скромно лежал в каталоге профиля пользователя, запускался из Run реестра. единственное, что он предпринимал - переименовывал свой исполняемый файл, чтобы по имени его было не найти.

запускался минут через 5 после загрузки компа. выводит форму на весь экран о том, что используется нелицензионная копия ОС и надо отправить sms для активации. форма модальная, накрывает всё.

перезагружаем комп, убиваем непонятный процесс диспетчером задач, удаляем ключ в реестре и файлы виря в профиле пользователя, перезагружаемся ещё раз.

в данном случае, никаких маскировок и т.п. он не предпринимает. антивирусы его, естественно, пропускают, т.к. вирусного функционала нет.
SavageNoName is offline
Тема закрыта


Назад   Форум WindowsFAQ > Тематический раздел > Безопасность
Сохранить ссылку на эту тему у себя в
Действия над темой

 
Быстрый переход

Похожие темы
Тема Автор темы Форум Ответов Последнее сообщение
АнтиSYSTEM (способ установки и использования Windows XP) S-Varf Операционные системы Microsoft Windows 0 01-06-2009 15:01
Ужасная проблема !!! Windows не запускаеться ! И не переустанавлифается !!! Гость Операционные системы Microsoft Windows 125 18-04-2007 05:10
Ё-книги (кому-нибудь что-нибудь надо отсюда?) romx Программное обеспечение 273 22-12-2004 00:12
Сетевые траблы с Windows XP hacsas Администрирование и Локальные сети 3 08-04-2003 15:30
Control Panel Valery Операционные системы Microsoft Windows 3 13-12-2001 05:52


Время 17:34. Временной пояс GMT +3.