|
Вирусы и прочее.
| |
| bestelm | Дата: Суббота, 07.11.2009, 21:08 | Сообщение # 1 |
|
Группа: Удаленные
| Началось с того, что сегодня мне притащили нетбук сдвумя проблемами. Во первых, шарясь по приятным сайтам, человек подцепил на свою машину венерическую болезнь: в окне ИЕ в нижнем углу появился неубираемый баннер. А во вторых, не может зайти на "одноклассники", якобы аккаунт заблокирован из-за рассылки спама.
Проблему решил так. Для начала вывел всех зверей. Потом
Задача: в правом нижнем углу появляется так называемый "Информер" и он информирует о том, что:
1. Информер удалится автоматически через 30 дней
2. Бесплатный доступ к порно - видео архивам
3. Служба технической поддержки
Если рекламный информер был вами установлен, но вы решили отказаться от подписки, то вам достаточно отправить смс на короткий номер ххххх
Ну и ссылка на сам порно-сайт.
Решение: для Оперы выбираем пункт меню “Инструменты -> Настройки”.
Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript…”.
В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.Закрываем оперу. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то удаляйте всю папку “uscripts” Для ИЕ:
Вариант 1: Открываем наш IE. Выбираем пункт меню “Сервис->Свойства обозревателя”. В “Свойства обозревателя” выбираем вкладку “Дополнительно” и нажимаем на кнопку “Сброс”. Перезагружаемся. Вариант 2: Открываем наш IE. Выбираем пункт меню “Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаем настройки для первого попавшегося такого файла. Перезапускаем ИЕ. Если информер остался включаем для этого файла надстройку и отключаем для следующего имя которого оканчивается на lib.dll. Потом удаляем найденный файл из папки system32.
Задача:Ваш аккаунт заблокирован за рассылку спам-сообщений, на основании многочисленных жалоб от пользователей.
Для восстановления анкеты вам необходимо пройти процедуру активации и послать СМС на номер, получить код и ввести куда надо. Решение:Чтобы избавиться от заблокированности вирусом у Вас доступа на сайты антивирусных компаний, поисковики и прочие сайты вроде Вконтакте и Одноклассники, Вам надо пройти в папку C:\WINDOWS\system32\drivers\etc, в файле hosts в "Свойствах"снять атрибут "Только чтение" (если она стоит) . После чего открываем файл блокнотом. В файле нужно будет удалить ВСЕ СТРОЧКИ после 127.0.0.1 localhost. То есть после этой строки у вас вообще ничего не должно быть.
Если у вас нет строки 127.0.0.1 localhost, тогда удаляйте вообще все и скопируйте её в файл. .
После проделанной операции сохранить файл и заново выставить атрибут "Только для чтения" в его Свойствах.
Перезагружаемся. Если по каким-то причинам вы не можете найти этот файл или сохранить изменения, тогда идем сюда: http://www.yachaynik.ru/content/view/150... Здесь подробная инструкция по работе с файлом hosts Если в этом файле ничего лишнего нет, а сайт все равно не открывается и вы точно уверены, что дело не в браузере, тогда скачайте вот эту бесплатную утилиту Dr.Web CureIt! http://freedrweb.com/ ,установки она не требует, не конфликтует с уже установленным антивирусом(вам даже не придется его отключать),после быстрой проверки обязательно запустите полную. Во всяком случае специалисты Др.Веб утверждают, что она справляется с вирусом, который блокирует некоторые сайты, в том числе Вконтакте и Одноклассники Вотсобственно что я имел вам сказать. Было бы интересно узнать о подобных гадостях и способах убийства.
|
| |
| |
| WolfClan | Дата: Среда, 11.11.2009, 11:46 | Сообщение # 2 |
|
Группа: Удаленные
| Была такая неприятная история: получил по ICQ от одного бывшего одногрупника сообщение вроде : "Привет ты никого не узнаешь на этой фотке? ))) и некая_ссылка", (тут моя первая ошибка) И я таки ляпнул на ссылку. (Ибо этот человек мог действительно прислать фотку политеховских времен). По ссылке внезапно сохраняется фотка с какой то девкой. Я уже чувствую неладное и не ошибаюсь - пропадает с рабочего стола панелька "Пуск" (она же панель задач). Поскольку я начинаю понимать как же облажался, я включаю Nod32 на глубокое сканирование и (вторая ошибка!!) перезагружаю комп. После перезагрузки и попытки зайти в систему, Windows выдает - "Обнаружено что вы пользуетесь не лицензионным ПО. Что бы активировать пошлите СМС на номер XXXXX и получите код активации". Самый смак что это происходит на рабочем компе, он же сервер. В общем безопасный режим не помогает, что делать хз. Звоню этому типу, и узнаю что это его заразили и аська сама разослала сообщения. И он говорит мне решение - тупо подождать 2 часа. скрипя зубами, матерясь и не находя себе места жду. Модем отключил (не дай бог он ща еще отправлять или получать что нибудь будет). Через два часа происходит чудо и Windows нормально грузится. Прогнал Nod32 что то там убил, но пароли и прочее все же поменял мало ли. Вот такой вот неприятный и гадкий развод. Интересно а кто нить из пострадавших СМС отправлял?..
Во времена моей учебы в Обнинском Политехническом Техникуме очень распространен был вирус автозагрузки на флешках. Описание проблемы: Червь который заражает флеш и локальные диски, добавляя дополнительные строки в контестном меню дисков - "Автозапуск" и "Open" если через них открыть диск, то запускается сам вирус и прописывает это же самое другим дискам. Через некоторое, иногда долгое, время он (особенно если объеденит силы с WinHydrag'ом 32) поломает exe'шники, откажет вам в доступе к локальным дискам и погрызет антивир. Решение: Один из самых простых способов - это посмотреть на флешку через Total Commander (Проводник червяка не видит, даже с включенными скрытыми файлами), и удалить файл autoexec.
Еще лучше это прогнать антивиром, а потом каждый диск проверить через DiskHeal. Антивирус обычно просто удаляет червяка, но пути в реестре не правит. Можно конечно реестр вручную ковырять, но DiskHeal вернее. На сильно запущенной стадии помогает только формат С и переустановка. ((
Сообщение отредактировал WolfClan - Среда, 11.11.2009, 13:36 |
| |
| |
| fenom | Дата: Среда, 11.11.2009, 23:51 | Сообщение # 3 |
|
Группа: Удаленные
| Quote (WolfClan) Была такая неприятная история: получил по ICQ от одного бывшего одногрупника сообщение вроде : "Привет ты никого не узнаешь на этой фотке? ))) и некая_ссылка", (тут моя первая ошибка) И я таки ляпнул на ссылку. (Ибо этот человек мог действительно прислать фотку политеховских времен). По ссылке внезапно сохраняется фотка с какой то девкой. Я уже чувствую неладное и не ошибаюсь - пропадает с рабочего стола панелька "Пуск" (она же панель задач). Поскольку я начинаю понимать как же облажался, я включаю Nod32 на глубокое сканирование и (вторая ошибка!!) перезагружаю комп. После перезагрузки и попытки зайти в систему, Windows выдает - "Обнаружено что вы пользуетесь не лицензионным ПО. Что бы активировать пошлите СМС на номер XXXXX и получите код активации". Самый смак что это происходит на рабочем компе, он же сервер. В общем безопасный режим не помогает, что делать хз. Звоню этому типу, и узнаю что это его заразили и аська сама разослала сообщения. И он говорит мне решение - тупо подождать 2 часа. скрипя зубами, матерясь и не находя себе места жду. Модем отключил (не дай бог он ща еще отправлять или получать что нибудь будет). Через два часа происходит чудо и Windows нормально грузится. Прогнал Nod32 что то там убил, но пароли и прочее все же поменял мало ли. Вот такой вот неприятный и гадкий развод. Интересно а кто нить из пострадавших СМС отправлял?.. Была такая хрень, но про два часа я не знал, но то что это лажа догодался. К дискам, чтобы удалить его из корня, прохода небыло. Оставалось тока формат С и установка системы, вот так вот Quote (WolfClan) Во времена моей учебы в Обнинском Политехническом Техникуме очень распространен был вирус автозагрузки на флешках. Да он и сейчас неплохо распространён. Пару раз в месяц точно приношу его домой. НОД справляется по полной
|
| |
| |
| bestelm | Дата: Понедельник, 07.12.2009, 17:21 | Сообщение # 4 |
|
Группа: Удаленные
| Коллеги по работе не перестают удивлять.
Приносят Ноутбук с историей: смотрел прон онлайн, сказали - установите АдобеФлэшплеер, и ссылка на загрузку с установкой. Скачал, установил, и всё зависло. Ребутнулся - и на тебе, окно на весь стол с таким-вот текстом: «Уведомление о необходимости оплаты. Вам был предоставлен временный 6-часовой бесплатный доступ к просмотру эротического видео. Напоминаем, что соглашаясь с правилами временного бесплатного доступа, вы, согласно пользовательскому соглашению, обязались оплатить полный месячный доступ в течении 6ти часов с момента предоставления бесплатного доступа. Данным уведомлением сообщаем, что 6-часовой период с момента предоставлени догступа истек. Данное уведомление будет появляться до тех пор, пока не будет произведена оплата. Чтобы произвести оплату вам необходимо отправить смс с текстом 59685712 на номер 9691 и ввести полученный код». Окно не закрывается, в авторане нету, и больше ничего делать нельзя, ничего не запускается. Спас 3G модем мегафонский. Залез со своего компа на сайт Доктор Веб, там висит генератор кодов для таких вирусов(из серии Trojan.Winlock), сгенерированный код к моему случаю подошёл  Кстати,
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение. Так что
Quote (WolfClan ) Через два часа происходит чудо и Windows нормально грузится
можно было вылечить этим генератором кодов.
|
| |
| |
| WolfClan | Дата: Пятница, 11.12.2009, 09:41 | Сообщение # 5 |
|
Группа: Удаленные
| Хм. Вот такая ситуация у меня была. ВНЕЗАПНО начал глючить Мозилла и гугл. То есть как - вбиваешь в окошке поиска гугла нужные слова, кликаем на название найденного сайта и вместо сайта переходи на страничку Search с "крутыми тачками", "доступными телочками", "сверхдешевой недвижимостью" и прочей спам-лабудой. Если вбивать тупо в браузере ссылку или открывать найденный сайт через Открыть в новой вкладке, то все нормально. Но невозможность сразу переходить на найденные сайты раздражает. Решение:
Поскольку это было в Мозилле, описываю решение там.
Настройки -> Содержимое - отключаем Java и Script'ы. Потом проверяем настройки Защиты. Чистим историю браузера (тут хорошо помогает прога WIPE). Потом я запустил проверку авторанов и диска С, антивиром. "Кавалерийский наскок" Nod32 сработал и трояна он отловил и удалил.
Перезагружаемся и вот все нормально. P.S. C другими браузерами не проверял, но вот что забавно - троян работает как то с гуглом. Я до лечения искал нужное через Яндекс и все было нормально, переключал поисковик на Google и снова спам.
|
| |
| |
| WolfClan | Дата: Вторник, 12.01.2010, 10:23 | Сообщение # 6 |
|
Группа: Удаленные
| Задача:
Quote (TiraN) Не работает диспетчер задач и не редактируется реестр.(дИСПЕТЧЕР ЗАДАЧ ОТКЛЮЧЕН АДМИНИСТРАТОРОМ) Подскажите что делать??? MS Windows XP Professional SP3 Intel Core Duo2 CPU E6750
Варианты решения: WolfClan - TiraN, спокойно, фигня эта довольно распространена.
Во первых проверь всё антивиром и вот этими прогами - Trojan Remover, Razblocker
Потом на всякий проверь реестр:
Еще один вариант - cоздай раздел System в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
а в нём строковой параметр DisableTaskMgr и поставить его значение равным 0.
bestelm - Похоже на Virus.Win32.Sality, на какую-то модификацию. Чтобы определиться, можно попробовать вручную обновить антивирусную базу, хороший .Win32.Sality этого не допустит. Так-же как и установить новый антивирь.
Либо посмотри , нет-ли папок, в которых автокопия, например в папке "музыка" есть папка "музыка" заходя в которую опять-же попадаешь в папку "музыка".
Сканирование системы антивирем результата не даст. Работающие файловые вирусы необнаруживаются, кто-бы что не говорил.
Если это всё-же Sality-поздравляю, ты попал. Я однажды подцепил с флэшки, за пол часа комп убился.
Предполагаемые решения:
1. Провести загрузочное сканирование, если твой антивирь на это способен(перед загрузкой системы).
Я это делал АВАСТОМ, но поскольку этот антивирь может только убивать, а заражёнными оказались ОКОЛО 700!!! файлов - результат понятен.(см. п.3)
2. Провести ритуальный шаманский танец с элементами обряда ВУДУ при помощи LiveCD, например Dr.Web LiveCD
3. IMHO, самый эффективный - переустановка системы с ОБЯЗАТЕЛЬНЫМ низкоуровневым форматированием, естественно, после загрузочного сканирования.
Проблема была решена: Quote (TiraN) Провел загрузочное сканирование, AVAST (перед загрузкой системы) вирусов нет,скачал разблокир http://dump.ru/file/3337711 И ВСЕ ЗАРАБОТАЛО |
| |
| |
| freespace | Дата: Среда, 16.04.2014, 12:54 | Сообщение # 7 |
 ЧЁ?11
Группа: Администрация
Сообщений: 68
Статус: Offline
| Проблема такая:
открываем флэшку, на ней ярлык на саму себя, (и ещё кучка ярлыков на корзину и проч., нам без надобности), при попытке открытия ярлыка выдаёт ошибку.
На флэшке данные, которые надо достать, но никак, ибо ошибка.
В свойствах ярлыка что то типа %hoMEdrive%\WINDOWS\System32\rundll32.exe ~%UBWWRQNEPGNMYM.ini, lnk или C:\WINDOWS\system32\rundll32.exe ~$WTLTOHGW.FAT,crys desktop.ini.ini hovdkrzg xelsakuy
Лечим
1. качаем свежий ДрВебКюрейт и прогоняем им флэшку
2. выполняем команду (через Пуск->выполнить) Код attrib -s -h -a -r F:\* /s /d
3. открываем флэшку, и видим кучку какашек и свою папку с данными
4. папку копируем, флэшку форматируем.
5. в будущем прон тянем с торрентов
|
| |
| |
|
