Вирусы и прочее.
| |
bestelm | Дата: Суббота, 07.11.2009, 21:08 | Сообщение # 1 |
Группа: Удаленные
| Началось с того, что сегодня мне притащили нетбук сдвумя проблемами. Во первых, шарясь по приятным сайтам, человек подцепил на свою машину венерическую болезнь: в окне ИЕ в нижнем углу появился неубираемый баннер. А во вторых, не может зайти на "одноклассники", якобы аккаунт заблокирован из-за рассылки спама. Проблему решил так. Для начала вывел всех зверей. Потом Задача: в правом нижнем углу появляется так называемый "Информер" и он информирует о том, что: 1. Информер удалится автоматически через 30 дней 2. Бесплатный доступ к порно - видео архивам 3. Служба технической поддержки Если рекламный информер был вами установлен, но вы решили отказаться от подписки, то вам достаточно отправить смс на короткий номер ххххх Ну и ссылка на сам порно-сайт. Решение: для Оперы выбираем пункт меню “Инструменты -> Настройки”. Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript…”. В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.Закрываем оперу. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то удаляйте всю папку “uscripts” Для ИЕ: Вариант 1: Открываем наш IE. Выбираем пункт меню “Сервис->Свойства обозревателя”. В “Свойства обозревателя” выбираем вкладку “Дополнительно” и нажимаем на кнопку “Сброс”. Перезагружаемся. Вариант 2: Открываем наш IE. Выбираем пункт меню “Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаем настройки для первого попавшегося такого файла. Перезапускаем ИЕ. Если информер остался включаем для этого файла надстройку и отключаем для следующего имя которого оканчивается на lib.dll. Потом удаляем найденный файл из папки system32. Задача:Ваш аккаунт заблокирован за рассылку спам-сообщений, на основании многочисленных жалоб от пользователей. Для восстановления анкеты вам необходимо пройти процедуру активации и послать СМС на номер, получить код и ввести куда надо. Решение:Чтобы избавиться от заблокированности вирусом у Вас доступа на сайты антивирусных компаний, поисковики и прочие сайты вроде Вконтакте и Одноклассники, Вам надо пройти в папку C:\WINDOWS\system32\drivers\etc, в файле hosts в "Свойствах"снять атрибут "Только чтение" (если она стоит) . После чего открываем файл блокнотом. В файле нужно будет удалить ВСЕ СТРОЧКИ после 127.0.0.1 localhost. То есть после этой строки у вас вообще ничего не должно быть. Если у вас нет строки 127.0.0.1 localhost, тогда удаляйте вообще все и скопируйте её в файл. . После проделанной операции сохранить файл и заново выставить атрибут "Только для чтения" в его Свойствах. Перезагружаемся. Если по каким-то причинам вы не можете найти этот файл или сохранить изменения, тогда идем сюда: http://www.yachaynik.ru/content/view/150... Здесь подробная инструкция по работе с файлом hosts Если в этом файле ничего лишнего нет, а сайт все равно не открывается и вы точно уверены, что дело не в браузере, тогда скачайте вот эту бесплатную утилиту Dr.Web CureIt! http://freedrweb.com/ ,установки она не требует, не конфликтует с уже установленным антивирусом(вам даже не придется его отключать),после быстрой проверки обязательно запустите полную. Во всяком случае специалисты Др.Веб утверждают, что она справляется с вирусом, который блокирует некоторые сайты, в том числе Вконтакте и Одноклассники Вотсобственно что я имел вам сказать. Было бы интересно узнать о подобных гадостях и способах убийства.
|
|
| |
WolfClan | Дата: Среда, 11.11.2009, 11:46 | Сообщение # 2 |
Группа: Удаленные
| Была такая неприятная история: получил по ICQ от одного бывшего одногрупника сообщение вроде : "Привет ты никого не узнаешь на этой фотке? ))) и некая_ссылка", (тут моя первая ошибка) И я таки ляпнул на ссылку. (Ибо этот человек мог действительно прислать фотку политеховских времен). По ссылке внезапно сохраняется фотка с какой то девкой. Я уже чувствую неладное и не ошибаюсь - пропадает с рабочего стола панелька "Пуск" (она же панель задач). Поскольку я начинаю понимать как же облажался, я включаю Nod32 на глубокое сканирование и (вторая ошибка!!) перезагружаю комп. После перезагрузки и попытки зайти в систему, Windows выдает - "Обнаружено что вы пользуетесь не лицензионным ПО. Что бы активировать пошлите СМС на номер XXXXX и получите код активации". Самый смак что это происходит на рабочем компе, он же сервер. В общем безопасный режим не помогает, что делать хз. Звоню этому типу, и узнаю что это его заразили и аська сама разослала сообщения. И он говорит мне решение - тупо подождать 2 часа. скрипя зубами, матерясь и не находя себе места жду. Модем отключил (не дай бог он ща еще отправлять или получать что нибудь будет). Через два часа происходит чудо и Windows нормально грузится. Прогнал Nod32 что то там убил, но пароли и прочее все же поменял мало ли. Вот такой вот неприятный и гадкий развод. Интересно а кто нить из пострадавших СМС отправлял?.. Во времена моей учебы в Обнинском Политехническом Техникуме очень распространен был вирус автозагрузки на флешках. Описание проблемы: Червь который заражает флеш и локальные диски, добавляя дополнительные строки в контестном меню дисков - "Автозапуск" и "Open" если через них открыть диск, то запускается сам вирус и прописывает это же самое другим дискам. Через некоторое, иногда долгое, время он (особенно если объеденит силы с WinHydrag'ом 32) поломает exe'шники, откажет вам в доступе к локальным дискам и погрызет антивир. Решение: Один из самых простых способов - это посмотреть на флешку через Total Commander (Проводник червяка не видит, даже с включенными скрытыми файлами), и удалить файл autoexec. Еще лучше это прогнать антивиром, а потом каждый диск проверить через DiskHeal. Антивирус обычно просто удаляет червяка, но пути в реестре не правит. Можно конечно реестр вручную ковырять, но DiskHeal вернее. На сильно запущенной стадии помогает только формат С и переустановка. ((
Сообщение отредактировал WolfClan - Среда, 11.11.2009, 13:36 |
|
| |
fenom | Дата: Среда, 11.11.2009, 23:51 | Сообщение # 3 |
Группа: Удаленные
| Quote (WolfClan) Была такая неприятная история: получил по ICQ от одного бывшего одногрупника сообщение вроде : "Привет ты никого не узнаешь на этой фотке? ))) и некая_ссылка", (тут моя первая ошибка) И я таки ляпнул на ссылку. (Ибо этот человек мог действительно прислать фотку политеховских времен). По ссылке внезапно сохраняется фотка с какой то девкой. Я уже чувствую неладное и не ошибаюсь - пропадает с рабочего стола панелька "Пуск" (она же панель задач). Поскольку я начинаю понимать как же облажался, я включаю Nod32 на глубокое сканирование и (вторая ошибка!!) перезагружаю комп. После перезагрузки и попытки зайти в систему, Windows выдает - "Обнаружено что вы пользуетесь не лицензионным ПО. Что бы активировать пошлите СМС на номер XXXXX и получите код активации". Самый смак что это происходит на рабочем компе, он же сервер. В общем безопасный режим не помогает, что делать хз. Звоню этому типу, и узнаю что это его заразили и аська сама разослала сообщения. И он говорит мне решение - тупо подождать 2 часа. скрипя зубами, матерясь и не находя себе места жду. Модем отключил (не дай бог он ща еще отправлять или получать что нибудь будет). Через два часа происходит чудо и Windows нормально грузится. Прогнал Nod32 что то там убил, но пароли и прочее все же поменял мало ли. Вот такой вот неприятный и гадкий развод. Интересно а кто нить из пострадавших СМС отправлял?.. Была такая хрень, но про два часа я не знал, но то что это лажа догодался. К дискам, чтобы удалить его из корня, прохода небыло. Оставалось тока формат С и установка системы, вот так вот Quote (WolfClan) Во времена моей учебы в Обнинском Политехническом Техникуме очень распространен был вирус автозагрузки на флешках. Да он и сейчас неплохо распространён. Пару раз в месяц точно приношу его домой. НОД справляется по полной
|
|
| |
bestelm | Дата: Понедельник, 07.12.2009, 17:21 | Сообщение # 4 |
Группа: Удаленные
| Коллеги по работе не перестают удивлять. Приносят Ноутбук с историей: смотрел прон онлайн, сказали - установите АдобеФлэшплеер, и ссылка на загрузку с установкой. Скачал, установил, и всё зависло. Ребутнулся - и на тебе, окно на весь стол с таким-вот текстом: «Уведомление о необходимости оплаты. Вам был предоставлен временный 6-часовой бесплатный доступ к просмотру эротического видео. Напоминаем, что соглашаясь с правилами временного бесплатного доступа, вы, согласно пользовательскому соглашению, обязались оплатить полный месячный доступ в течении 6ти часов с момента предоставления бесплатного доступа. Данным уведомлением сообщаем, что 6-часовой период с момента предоставлени догступа истек. Данное уведомление будет появляться до тех пор, пока не будет произведена оплата. Чтобы произвести оплату вам необходимо отправить смс с текстом 59685712 на номер 9691 и ввести полученный код». Окно не закрывается, в авторане нету, и больше ничего делать нельзя, ничего не запускается. Спас 3G модем мегафонский. Залез со своего компа на сайт Доктор Веб, там висит генератор кодов для таких вирусов(из серии Trojan.Winlock), сгенерированный код к моему случаю подошёл Кстати, Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение. Так что Quote (WolfClan ) Через два часа происходит чудо и Windows нормально грузится можно было вылечить этим генератором кодов.
|
|
| |
WolfClan | Дата: Пятница, 11.12.2009, 09:41 | Сообщение # 5 |
Группа: Удаленные
| Хм. Вот такая ситуация у меня была. ВНЕЗАПНО начал глючить Мозилла и гугл. То есть как - вбиваешь в окошке поиска гугла нужные слова, кликаем на название найденного сайта и вместо сайта переходи на страничку Search с "крутыми тачками", "доступными телочками", "сверхдешевой недвижимостью" и прочей спам-лабудой. Если вбивать тупо в браузере ссылку или открывать найденный сайт через Открыть в новой вкладке, то все нормально. Но невозможность сразу переходить на найденные сайты раздражает. Решение: Поскольку это было в Мозилле, описываю решение там. Настройки -> Содержимое - отключаем Java и Script'ы. Потом проверяем настройки Защиты. Чистим историю браузера (тут хорошо помогает прога WIPE). Потом я запустил проверку авторанов и диска С, антивиром. "Кавалерийский наскок" Nod32 сработал и трояна он отловил и удалил. Перезагружаемся и вот все нормально. P.S. C другими браузерами не проверял, но вот что забавно - троян работает как то с гуглом. Я до лечения искал нужное через Яндекс и все было нормально, переключал поисковик на Google и снова спам.
|
|
| |
WolfClan | Дата: Вторник, 12.01.2010, 10:23 | Сообщение # 6 |
Группа: Удаленные
| Задача: Quote (TiraN) Не работает диспетчер задач и не редактируется реестр.(дИСПЕТЧЕР ЗАДАЧ ОТКЛЮЧЕН АДМИНИСТРАТОРОМ) Подскажите что делать??? MS Windows XP Professional SP3 Intel Core Duo2 CPU E6750 Варианты решения: WolfClan - TiraN, спокойно, фигня эта довольно распространена. Во первых проверь всё антивиром и вот этими прогами - Trojan Remover, Razblocker Потом на всякий проверь реестр: Еще один вариант - cоздай раздел System в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ а в нём строковой параметр DisableTaskMgr и поставить его значение равным 0. bestelm - Похоже на Virus.Win32.Sality, на какую-то модификацию. Чтобы определиться, можно попробовать вручную обновить антивирусную базу, хороший .Win32.Sality этого не допустит. Так-же как и установить новый антивирь. Либо посмотри , нет-ли папок, в которых автокопия, например в папке "музыка" есть папка "музыка" заходя в которую опять-же попадаешь в папку "музыка". Сканирование системы антивирем результата не даст. Работающие файловые вирусы необнаруживаются, кто-бы что не говорил. Если это всё-же Sality-поздравляю, ты попал. Я однажды подцепил с флэшки, за пол часа комп убился. Предполагаемые решения: 1. Провести загрузочное сканирование, если твой антивирь на это способен(перед загрузкой системы). Я это делал АВАСТОМ, но поскольку этот антивирь может только убивать, а заражёнными оказались ОКОЛО 700!!! файлов - результат понятен.(см. п.3) 2. Провести ритуальный шаманский танец с элементами обряда ВУДУ при помощи LiveCD, например Dr.Web LiveCD 3. IMHO, самый эффективный - переустановка системы с ОБЯЗАТЕЛЬНЫМ низкоуровневым форматированием, естественно, после загрузочного сканирования. Проблема была решена: Quote (TiraN) Провел загрузочное сканирование, AVAST (перед загрузкой системы) вирусов нет,скачал разблокир http://dump.ru/file/3337711 И ВСЕ ЗАРАБОТАЛО
|
|
| |
freespace | Дата: Среда, 16.04.2014, 12:54 | Сообщение # 7 |
ЧЁ?11
Группа: Администрация
Сообщений: 68
Статус: Offline
| Проблема такая: открываем флэшку, на ней ярлык на саму себя, (и ещё кучка ярлыков на корзину и проч., нам без надобности), при попытке открытия ярлыка выдаёт ошибку. На флэшке данные, которые надо достать, но никак, ибо ошибка. В свойствах ярлыка что то типа %hoMEdrive%\WINDOWS\System32\rundll32.exe ~%UBWWRQNEPGNMYM.ini, lnk или C:\WINDOWS\system32\rundll32.exe ~$WTLTOHGW.FAT,crys desktop.ini.ini hovdkrzg xelsakuy
Лечим 1. качаем свежий ДрВебКюрейт и прогоняем им флэшку 2. выполняем команду (через Пуск->выполнить) Код attrib -s -h -a -r F:\* /s /d заменив соответственно букву F на букву больной флэшки 3. открываем флэшку, и видим кучку какашек и свою папку с данными 4. папку копируем, флэшку форматируем. 5. в будущем прон тянем с торрентов
|
|
| |
|