Вирус-баннер

[shmel]

О
точно
Например, если в Shell будет прописана какая-нить хрень, то не будет грузиться рабочий стол...его придется вызывать, запуская explorer через диспечер задач (Выполнить)
Но это уже, скорее, будут последствия "работы" вирусов

[Tarasov]

Цитата:

Сообщение от shmel

О
точно
Например, если в Shell будет прописана какая-нить хрень, то не будет грузиться рабочий стол...его придется вызывать, запуская explorer через диспечер задач (Выполнить)
Но это уже, скорее, будут последствия "работы" вирусов

Рабочий стол не вызовется, пока в shell не уберешь путь к левому exe-шнику. Даже если в безопасном режиме это исправить, то после перезагрузки опять эта хрень там пропишется. Поэтому делаем так в 10 этапов:
1. Загружаешь комп в безопасном режиме с поддержкой командной строки;
2. Так как меню "пуск" отсутствует, поэтому в cmd запускаем Totalcmd
3. Делаем поиск файлов *.exe за последние, например, 3 дня.
4. Удаляем нахрен все что нашлось.
5. Жмем ctrl-alt-delete и запускаем regedit;
6. Исправляем в редакторе реестра параметр Shell как показанно выше;
7. Далее запускаем msconfig и в автозагрузке отрубаем все что кажется подозрительным например (C:\Program Files\Microsoft\...\hufdjkashvhjdab.exe):
8. Запускаем проверку антивирусом Avast в режиме до загрузки Windows.
9. Перезагружаем комп в обычном режиме (Avast ищет всю хрень, удаляем все что нашел).
10.Открывам бутылочку пивка - работа выполнена.

[su -o]

Цитата:

Сообщение от Tarasov

Рабочий стол не вызовется, пока в shell не уберешь путь к левому exe-шнику. Даже если в безопасном режиме это исправить, то после перезагрузки опять эта хрень там пропишется. Поэтому делаем так в 10 этапов:
1. Загружаешь комп в безопасном режиме с поддержкой командной строки;
2. Так как меню "пуск" отсутствует, поэтому в cmd запускаем Totalcmd
3. Делаем поиск файлов *.exe за последние, например, 3 дня.
4. Удаляем нахрен все что нашлось.
5. Жмем ctrl-alt-delete и запускаем regedit;
6. Исправляем в редакторе реестра параметр Shell как показанно выше;
7. Далее запускаем msconfig и в автозагрузке отрубаем все что кажется подозрительным например (C:\Program Files\Microsoft\...\hufdjkashvhjdab.exe):
8. Запускаем проверку антивирусом Avast в режиме до загрузки Windows.
9. Перезагружаем комп в обычном режиме (Avast ищет всю хрень, удаляем все что нашел).
10.Открывам бутылочку пивка - работа выполнена.

3 и 4 пункты не совсем верны, а если есть замененные файлы, например тот же диспетчер задач и explorer?
7 в msconfig можно отрубить вообще все.
Между пунктами 9 и 10 надо запустить восстановление системы.

и даже все вышеперечисленное может не сработать, например если запуск редактора реестра запрещен в реестре. тут нужны альтернативные методы такие есть например у Касперского на сайте.

[jon_d]

Спасибо за подробные инструкции! А то у меня была такая фигня, сделал откат системы, но после этого она работала жутко медленно, так что пришлось переустанавливать.
Сейчас по совету усановил сетевой экран (так это кажеться называется) с жесткими настройками (блокировками флеш-роликом и еще чего-то там многого ). Периодически сообщает о попытках троянов и прочей хрени установится, причем часто - на безобидных сайтах!

[Tarasov]

su -o, Полностью согласен. С чем столкнулся, про то и написал. Уверен многим поможет. Столкнусь с чем-то другим - буду искать другие варианты восстановления.

[ram777]

Последние 2 раза столкнулся с разновидностью подобного вируса он гад скрывает диск С полностью как будто его и небыло и в безпасном режиме тоже блокирует диспетчер задач -лечится только с лайвсиди и только Докторвеб куюреитом !!!

[Tarasov]

Цитата:

Сообщение от ram777

Последние 2 раза столкнулся с разновидностью подобного вируса он гад скрывает диск С полностью как будто его и небыло и в безпасном режиме тоже блокирует диспетчер задач -лечится только с лайвсиди и только Докторвеб куюреитом !!!

И командную строку тоже блокирует???

[jurafunk]

Да, сейчас с этими баннерами беда практически у всех! Тоже лечил несколько раз на сайте касперского..... А вообще молодцы, что такую штуку придумали! Есть же пользователи, которые ничего не понимают в системных папках и реестре, чтобы удалять вручную!
А вообще кис2010 - сейчас самая оптимальная защита, ставьте его+семерку и плагин для браузера, который блокирует самовыполняющиеся скрипты и беды знать не будете Я как касперского купил, так и сижу не парюсь!

[Oleg R]

давно мучает вопрос: зачем вирусописатели делают возможность самоудаления баннера по коду или по сочетанию клавиш?

[X0R]

Цитата:

Сообщение от Oleg R

зачем вирусописатели делают возможность самоудаления баннера по коду или по сочетанию клавиш?

есть еще приличные люди

[Oleg R]

X0R, угу, вспоминается "я честный хакер"

[В.В.Путин]

Недавно очень долго смеялся, открыв файлик hosts. Там был текст примерно следующего содержания:"Не будь жлобом, отправь СМС, она всего 300 рублей стоит, а программисту не меньше 500 отдашь..." Больше ничего файл как бы не содержал, но проскроллив его на пару метров вниз, всё-таки обнаружил список правленных маршрутов.

[HelgaBeer]

Цитата:

Сообщение от jurafunk

Да, сейчас с этими баннерами беда практически у всех!

Антивирусы нормальные надо ставить. У меня KIS2010 стоит - ни разу никакой дряни подобной не ловила. Хотя тут надо помнить, что безопасность - это процесс, а не единоразовое действие. Базы должны быть актуальные и т.п.

Цитата:

Сообщение от Oleg R

давно мучает вопрос: зачем вирусописатели делают возможность самоудаления баннера по коду или по сочетанию клавиш?

Подозреваю, что оставляют себе лазейку - типа это совсем даже не "вредоносная программа для ЭВМ" (написание которой - статья), а просто программа-шутка.

[ED-209]

Ну, кстати, что заметил, за всю свою долгую практику выпиливания подобной фигни, ни разу не встречал сабж на Vista или Windows 7. Всегда подобную дрянь видел исключительно под XP. Мож там дыра какая что-ли.. imho.

[Twister83]

Да, при актуальных база хорошего антивируса он должен среагировать на угрозу. Чем нравится касперский, есть функция анти-баннер, на оф.форуме можно найти ссылки на базы для анти-баннера (черный и белый лист, базы можно редактировать вручную).
Также держать доп.утилиты, например - AnVir TaskManager и AVZ.

На работе пользуюсь Comodo (AntiVirus+FireWall) т.к. есть бесплатные версии, пока не подводил.

[negro]

Цитата:

Сообщение от cgd

Скачайте альтернативный диспетчер задач и убейте процесс. Затем проверьте систему антивирусом..

во во +1
и по порнухам нефик шариться

http://www.drweb.com/unlocker/index/?lng=ru

[Twister83]

Цитата:

Сообщение от negro

и по порнухам нефик шариться

Кстати не факт что только на порно сайтах, сейчас чаще народ попадается на обычных, качая софт или дрова, там если баннеры не блочить, то пол экрана, у меня каспер при заходе на подобные сайти, при просмотре отчете анти-баннера минимум 10 штук отсеивает.

[DEATH 999]

Цитата:

Сообщение от Twister83

Кстати не факт что только на порно сайтах, сейчас чаще народ попадается на обычных, качая софт или дрова, там если баннеры не блочить, то пол экрана, у меня каспер при заходе на подобные сайти, при просмотре отчете анти-баннера минимум 10 штук отсеивает.

Этим должен заниматься браузер, а не какая то левая программа.

[Twister83]

DEATH 999, да таже мозила или опера не в силах отсеять все баннеры, плюс ты сам должен базу нежелательных пополнять или кликать по баннерам. Хочешь сказать что KIS с эврестическим анализом плохо справляется с баннерами?

[X0R]

Цитата:

Сообщение от Twister83

есть функция анти-баннер

этож несколько не то)

[Twister83]

X0R, против вируса конечно не пойдет, но отсеивает призывы нажать на баннер который тебя и приведет куда-нибудь. Знакомый так попался, тоже по баннеру с каким-то софтом пошел, дальше еще куда-то ссылка увела, в итоге поймал.

[DEATH 999]

Цитата:

Сообщение от Twister83

DEATH 999, да таже мозила или опера не в силах отсеять все баннеры, плюс ты сам должен базу нежелательных пополнять или кликать по баннерам. Хочешь сказать что KIS с эврестическим анализом плохо справляется с баннерами?

У меня лиса с этим успешно справляется.

[Twister83]

Ну Лиса со своим adblocker и плагинами на любителя, сколько она у тебя памяти кушает?

Можно спорить вечно. Лучше применять все сразу и никто не пройдет.

[dmn]

Цитата:

Сообщение от Tarasov

Проверьте чтобы в реестре эти 2 параметра (выделенные желтым) не содержали ничего лишнего. Если в параметре Shell прописан "левый" путь к exe-файлу с непонятным именем - это и есть та тварь, которая Вас беспокоит. Её надо просто удалить.

не обязательно только в указанных местах сидят загрузчики,
есть куча вариантов - сталкивался и с запуском через
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (значение переменной по-умолчанию должно быть пустым) и через предзагрузку шрифта (точнее от шрифта там только расширение было с параметрами).

зы а про хостс - встречался хостс с огромным количеством переводов каретки (пустых строк) после дефолтных строк и в конце список всяких там вконтактов, одноклассников и прочих сайтов). В таком случае обычно выдает слишком пухлый размер файла.

[X0R]

Цитата:

Сообщение от dmn

и через предзагрузку шрифта (точнее от шрифта там только расширение было с параметрами).

есть пример? Никогда такого не видел.

[DEATH 999]

Цитата:

Сообщение от Twister83

Ну Лиса со своим adblocker и плагинами на любителя, сколько она у тебя памяти кушает?

Можно спорить вечно. Лучше применять все сразу и никто не пройдет.

Когда как. в среднем от 80 до 130 мб. В принципе у меня 3гига и я не парюсь на этот счёт.

[vviitteekk]

AVZ4. Этого часто хватает.

[jurafunk]

HelgaBeer, эти баннеры может пропустить любой антивирус! Есть разблокиратор на сайте касперского http://support.kaspersky.ru/viruses/deblocker пока что он лидирует по генерации актуальных паролей для смс баннеров по сравнению с другими разблокираторами! Я и не спорю что кис2010 лучший, сам не разу с ним проблем не испытал, всегда выручал и вовремя все угрозы блокировал!
Я слышал про касперский кристал, говорят этот пакет работает еще лучше! Кто юзал?

[stick-ch]

пол года назад поставил УБУНТУ и вообще забыл что существуют вирусы.

[Teddybear]

Цитата:

Сообщение от vviitteekk

AVZ4. Этого часто хватает.

Только потом все равно руками устранять следы жизнедеятельности трояна.. ..