В инете активизировалась нынче хрень.

[Spetc]

хренасе цены...

Установка ператских винд на ноуты по городу в районе 2шт руб.
иль я не праф?

[ALTi]

Установка ператских винд на ноуты по городу в районе 2шт руб.
иль я не праф?

Ахренеть...

[WolF]

Народ , что за напасть на ноуты сегодня?
Сегодня уже за двадцать звонков ноутюзеров.
Грят все как один при включении банер с голой тётенькой просит отправить платное СМС по адресу и ничего не работает больше , при попытках грохнуть банер он грозится в ответ , что в течении 3 дней замочит инфу на диске.
Причем сие все активизировалось именно сегодня.
Кто видел это чудо в живую поделитесь впечатлениями?

Видел сиё чудо до Нового Года. Очень опасное чудо на самом деле. Помимо того что блокирует работу в инете ещё и тырит FTP пароли, если заходит на эти FTP и заражает там все найденные index.(htm|html|php|pl) и (.*).js файлы, встраивая в них код трояна.
На тот момент ни одним антивирусом или malware детекторами не детектировалось и не лечилось. Вручную тоже не лечилось.
С машиной протрахались почти сутки, зараза вешается на вызов explorer, control но не "штатным" для таких вирусов
методом через перехват winlogon а как то по другому. Систему пришлось переустанавливать напрочь.

[ALTi]

Всё оно лечится - но систему засирает капитально...

[WolF]

Всё оно лечится - но систему засирает капитально...

Скажем так - мы не пару с нашим админом не смогли. Если кто то смог вручную не дожидаясь пока эта зараза попадёт в базы антивирусов чисто голыми руками её выцепить - респект ему.

[ALTi]

Скажем так - мы не пару с нашим админом не смогли. Если кто то смог вручную не дожидаясь пока эта зараза попадёт в базы антивирусов чисто голыми руками её выцепить - респект ему.

погуглили бы да воздалось бы вам )

P.S. там надо почистить System32 от троянов даунлодеров... тогда окошко не будет вылазить... ну а дальше уже мелочи...

[Com]

там надо почистить System32 от троянов даунлодеров...

типа как на картинке внизу?

Дык он исчо притащит стаю....

Сопсна самые опасные вредоносы эт которые изменяют код системных файлов винды

Правда с семёркой это не прокатывает, по крайней мере у меня на ноуте



А ваще семёрка на удивление железно держится вкупе с MSE

[WolF]

погуглили бы да воздалось бы вам )

P.S. там надо почистить System32 от троянов даунлодеров... тогда окошко не будет вылазить... ну а дальше уже мелочи...

Гуглили да загуглились. Не было никаких троянов даунлоадеров в папке System32. Вообще ничего не было - ни "левых" процессов в диспетчере процессов (даже при запуске в консоли), никаких подозрительных ключей в реестре связанных с винлогоном. Просто окнище на полэкрана. При загрузке в консоли этого окна нет но достаточно запустить explorer.exe control.exe оно выводится. Интернет не работает (точнее блокируется сетевой интерфейс) - нет доступа даже к локальной сети, но сетевая активность с этого компьютера есть (в это время он рассылает свои троянские выкормыши на FTP).

[ALTi]

типа как на картинке внизу?

Не знаю... по классификации ДрВеба - они такие

Код:

29-12-2009 19:22:48 [CL] (PID = 0692)  C:\WINDOWS\system32\re.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:48 C:\WINDOWS\system32\re.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:48 [CL] (PID = 0692)  C:\WINDOWS\system32\re.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\re.dll.323E04BE'
29-12-2009 19:22:49 [CL] (PID = 0692)  C:\WINDOWS\system32\hh.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:49 C:\WINDOWS\system32\hh.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:49 [CL] (PID = 0692)  C:\WINDOWS\system32\hh.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\hh.dll.2792255A'
29-12-2009 19:22:50 [CL] (PID = 0692)  C:\WINDOWS\system32\f.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:50 C:\WINDOWS\system32\f.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:50 [CL] (PID = 0692)  C:\WINDOWS\system32\f.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\f.dll.554DF866'
29-12-2009 19:22:51 [CL] (PID = 0692)  C:\WINDOWS\system32\qwp.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:51 C:\WINDOWS\system32\qwp.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен

Дык он исчо притащит стаю....

Это что бы окошко само убрать... а потом уже скан системы... на окончательное убийство... ну и чистка реестра, соответственно.

Правда с семёркой это не прокатывает, по крайней мере у меня на ноуте

А ваще семёрка на удивление железно держится вкупе с MSE

Во всём виноват Билл Гейтс!

[ALTi]

Гуглили да загуглились...

На форуме Др.Веба очень хорошо способы борьбы описывают....

[Com]

При загрузке в консоли этого окна нет но достаточно запустить explorer.exe control.exe оно выводится. Интернет не работает (точнее блокируется сетевой интерфейс) - нет доступа даже к локальной сети, но сетевая активность с этого компьютера есть (в это время он рассылает свои троянские выкормыши на FTP).

Скорее всего заменены, подменены или модифицированы системные файлы, как правило explorer (могут быть и другие), в ХР лечится откатом на предыдущую точку восстановления и заменой файлов по дате последнего изменения копиями....

Хотя методы могут быть разными....

Вирусмейкеры трудятся не покладая рук 

[ALTi]

Вот - только что позвонили - опять словили свежую модификацию... вечером поеду лечить...

[WolF]

Скорее всего заменены, подменены или модифицированы системные файлы, как правило explorer (могут быть и другие), в ХР лечится откатом на предыдущую точку восстановления и заменой файлов по дате последнего изменения копиями....

Хотя методы могут быть разными....

Вирусмейкеры трудятся не покладая рук 

Пробовал. Заменял explorer.exe с чистой машины загрузившись в консоли (и даже с livecd восстановления). Не помогло.

[Com]

Вот - только что позвонили - опять словили свежую модификацию... вечером поеду лечить...

Restore system им возобнови, а то дурачки понаставят себе всяких зверейсиди, а там половина фунуционала бывает отключена....

[ALTi]

Restore system им возобнови, а то дурачки понаставят себе всяких зверейсиди, а там половина фунуционала бывает отключена....

да там лицуха вроде... надо её переустановить чтоль... да настроить...