Вирус-баннер

[mishel13]

Цитата:

Сообщение от Part!zan

а файлик зловреда не сохранился случайно?

а где он может быть если комп заражён,а то попадались у знакомых,на одном через сайт касперского ключ подобрали(после 1 смски ,просил вторую для подтверждения совершенолетия ),по не проверенным данным за каждую мессагу п о500р ,а на втором компе просто винду переустановили,так юзеру было всё равно,комп нужен срочно был.

[Катя.]

Цитата:

Сообщение от mishel13

а где он может быть

скорее всего где-то в documents and settings\%username%
Очень часто я лечу такие компьютеры созданием нового пользователя и удалением старого.

[X0R]

Цитата:

Сообщение от mishel13

просто винду переустановили

Цитата:

Сообщение от Катя.

лечу такие компьютеры созданием нового пользователя

этож дольше, чем файлик вычислить.

[Катя.]

X0R, он не всегда вычисляется.
А чем дольше? делов-то, создал нового пользователя, переместил в него старый рабочий стол, мои документы и если есть - outlook, opera и пр. мелочь. Но в большинстве случаев кроме рабочего стола ничего не надо. Вся операция - 5 минут.

[X0R]

Катя., в реестре могут быть настройки программ, потом долго настраивать.

[Part!zan]

mishel13, если вводить ключ, то вирь, как правило, убирает все ограничения, которые он сделал в системе и самоуничтожается. А после переустановки... Форматирование все убивает. А файл где угодно может окопаться. Зависит от фантазии автора. И способа, которым вирь попал на комп.
Катя., способ с юзером, конечно, быстрый, но не факт, что вирь не испортил что-нть, что аукнется в дальнейшем. Уж лучше, зачистить систему как следует.

[Spectator]

Цитата:

Сообщение от Катя.

скорее всего где-то в documents and settings\%username%
Очень часто я лечу такие компьютеры созданием нового пользователя и удалением старого.

Офигенное "лечение")))) Хотя бы в реестр заглянуть - не судьба?

[Катя.]

Spectator, идите в жопу, господин эксперт. я же говорю, что он не всегда находится.

[][irurg]

Цитата:

Сообщение от Part!zan

Кстати, вдруг кому пригодится... Если вам попался локер как на картинке, то код для него можно самому подобрать. Критерии простые:
8-значное число
цифра 1 !=0
цифра 2 м.б. ==0 если цифра 1 !=1
цифра 3 == цифра1+цифра2
цифры 4-8 - безразличны

любопытно, это результат логики, терпения или дизасемблирования ?

[Part!zan]

][irurg, все перечисленное ) Вообще, у меня есть подозрение, что таким свойством обладают некоторые номера, которые присутствуют на чеках каких-то платежных терминалов.

Цитата:

Сообщение от soft_masha

+ если нет интернета (нет возможности в него войти)
- достаточно долго.

Оба аргумента - мимо кассы. Локеры отлично лечатся безо всяких интернетов. Вообще, любые вирусы лечатся без интернетов. Откат на точку восстановления - достаточно быстрая операция.

Цитата:

Сообщение от soft_masha

не хотите потерять - восстановление накатом

Это еще что за нафиг... Накатом чего, откуда и куда?

Цитата:

Сообщение от soft_masha

там наверное можно делать откаты по точкам через консоль восстановления.

Увы и ах, мелкософт такого не предусмотрела. Я тоже был в шоке, когда узнал об этом.

[Teddybear]

Цитата:

Сообщение от soft_masha

если только.. оно не даст провести откат...)

Скорее всего не даст..

[X0R]

Цитата:

Сообщение от soft_masha

p/s мне сегодня дали.. я рад

твоя девочка с которой у тебя все чики-пуки и из под профиля которой ты сидишь?

[Part!zan]

Цитата:

Сообщение от soft_masha

вы обычно в нашей реальности.. бываете (обычно) ?

А поцчему ви спгашиваете?

[Part!zan]

Цитата:

Сообщение от soft_masha

(пока ещё )

Таки ви антисемит?

[Spectator]

Цитата:

Сообщение от Катя.

Spectator, идите в жопу, господин эксперт. я же говорю, что он не всегда находится.

У Вас))) У меня всегда всё находится, поскольку ниоткуда программа вызываться не может)) Есть реестр, есть win.ini / system.ini и еще несколько мест. Но это - основные.
Лечить переустановкой подобные вещи - все равно что вырезать аппендицит автогеном через задницу)))
А, Вы еще и просто нового пользователя создаете))) Совсем забавно))) Достаточно прописаться в HKLM, а не в HKCU, и это уже не спасет)))

[Part!zan]

Цитата:

Сообщение от soft_masha

я думаю - вы тролль

Нда... В своем глазу бревнышко выковыряй сначала.

[kelvin]

Мне помогло провериться КИСом 2010 и все. Все исчезло моментально. А до этого проверка НОДом не показала абсолютно ничего, с тех пор решил на нем больше не сидеть вообще... Щас на постоянке стоит КИСа и никого постороннего не пускает. Вот

[Writer]

Цитата:

Сообщение от Spectator

У Вас))) У меня всегда всё находится, поскольку ниоткуда программа вызываться не может)) Есть реестр, есть win.ini / system.ini и еще несколько мест. Но это - основные.
Лечить переустановкой подобные вещи - все равно что вырезать аппендицит автогеном через задницу)))
А, Вы еще и просто нового пользователя создаете))) Совсем забавно))) Достаточно прописаться в HKLM, а не в HKCU, и это уже не спасет)))

Каким образом вы залезете в реестр, если редактор реестра заблокирован? М?
С ЛайвСиди прицепив куст и копаясь в это каше руками?

[Part!zan]

Цитата:

Сообщение от Writer

Каким образом вы залезете в реестр, если редактор реестра заблокирован?

Во-первых, есть альтернативные редакторы. Во-вторых, можно отменить блокировку. В третьих, можно пропатчить регедит.

Цитата:

Сообщение от kelvin

Мне помогло провериться КИС

Я че-то сильно сомневаюсь, что кис восстановит порчу, которую вири наводят на систему. Удалением самого виря дело не оканчивается.

[Writer]

Цитата:

Сообщение от Part!zan

Во-первых, есть альтернативные редакторы. Во-вторых, можно отменить блокировку. В третьих, можно пропатчить регедит.

Чтобы использовать альтернативный редактор нужно сначала иметь альтернативный редактор. А чтобы его всунуть в заражённую систему нужно грузиться (в подавляющем большинстве случаев) с лайва. А из этого следует, что нааамного проще и удобней подсунуть альтернативный диспетчер задач, в котором найти заразу, тут-же выяснить путь до неё и благостно замочить.

Остальное комментировать не буду. Ибо хоть и не ересь, но тоже путь извилистый.

[Part!zan]

Цитата:

Сообщение от Writer

нааамного проще и удобней подсунуть альтернативный диспетчер задач

Чтобы подсунуть альтернативный диспетчер задач, "нужно сначала иметь" альтернативный диспетчер задач. ) Дальше по тексту все совпадает. ) Вообще, замочить локер, который на весь экран и поверх всех окон, без перезагрузки не так уж и просто. Я один способ придумал, но как показали испытания, он только в ХР прокатит. В висте и 7 мелкософт удалила необходимый функционал (

[Writer]

Цитата:

Сообщение от Part!zan

Чтобы подсунуть альтернативный диспетчер задач, "нужно сначала иметь" альтернативный диспетчер задач. ) Дальше по тексту все совпадает. )

Зато в альтернативном диспетчере задач не надо как в сору копаться, в отличие от альтернативного редактора реестра.

Цитата:

Вообще, замочить локер, который на весь экран и поверх всех окон, без перезагрузки не так уж и просто. Я один способ придумал, но как показали испытания, он только в ХР прокатит. В висте и 7 мелкософт удалила необходимый функционал (

Ишь ты... *задумался*

[Teddybear]

Кстати о птичках.. Было дело, как-то удалил вирь под названием kasperkey 2010. Вирь сам по себе безобидный, единственнаяего функция - копировать самого себя на флешки.. Представлял собой файл md.exe, файл smss.exe (сидел в автозагрузке и находлся в C:/RECYCLER.. Все удалил, убрал из автозагрузки в реестре, в shell. Но вот какая хрень - периодически он там снова появляется, вместе с explorer.exe. Какой-либо системы в этом я не заметил.. Есть подозрение на резервные копии реестра.

[Spectator]

Цитата:

Сообщение от Writer

Каким образом вы залезете в реестр, если редактор реестра заблокирован? М?
С ЛайвСиди прицепив куст и копаясь в это каше руками?

Бывыло и с загрузочного CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре. Четыре, если считать RunOnce, я их тоже проверяю.

[Lazy_lemial]

Цитата:

Сообщение от Spectator

Бывыло и с CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре.

Да? Очень неожиданно.

[Part!zan]

Цитата:

Сообщение от Writer

Зато в альтернативном диспетчере задач не надо как в сору копаться, в отличие от альтернативного редактора реестра.

Дык все равно придется копаться в реестре. Диспетчер задач лишь убьет процесс. А все последствия виря все равно прибирать придется.

Цитата:

Сообщение от Teddybear

Но вот какая хрень - периодически он там снова появляется, вместе с explorer.exe

Эээ. Не понял, где появляется. В автозагрузке или в ресуклере?

Цитата:

Сообщение от Spectator

Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре

Жги дальше. В реестре не меньше десятка мест, откуда можно автозапуститься.

[Teddybear]

Цитата:

Сообщение от Part!zan

Эээ. Не понял, где появляется. В автозагрузке или в ресуклере?

в автозагрузке (winlogon/shell). Естественно винда при загрузке ругается, что файл не найден.

[Part!zan]

Teddybear, тогда, боюсь, вирь не уничтожен до конца. Или повторные заражения.
Системные бакапы реестра сами по себе не восстанавливаются. Это происходит либо в результате загрузки "последней успешной конфигурации", либо при откате точек восстановления. По крайней мере, в ХР. В висте/7 может быть как-то по-другому, но вряд ли.

[Writer]

Цитата:

Сообщение от Spectator

Бывыло и с загрузочного CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре. Четыре, если считать RunOnce, я их тоже проверяю.

Просто в интернете гляньте из скольких мест в реестре можно запустить зловреда. Даже из CLASSES_ROOT его можно запустить легко и непринуждённо.

Цитата:

Сообщение от Part!zan

Дык все равно придется копаться в реестре. Диспетчер задач лишь убьет процесс. А все последствия виря все равно прибирать придется.

Но будет известно имя процесса, имя файла и путь до тела вируса, что значительно облегчит последующую чистку.

[Spectator]

Цитата:

Сообщение от Part!zan

Жги дальше. В реестре не меньше десятка мест, откуда можно автозапуститься.

http://support.microsoft.com/kb/835638/ru
Обычно настройки, определяющие автозагружаемые приложения, размещаются в четырех разных местах: две из них - в разделе HKEY_LOCAL_MACHINE, а еще две - в HKEY_CURRENT_USER.