Форум Краматорська
Краматорськ та світ навколо нас => Компьютеры, мобилки, софт, Интернет, провайдеры => Тема розпочата: dmp від 17 Січня 2010, 02:20:33
-
Один из компьютеров хватанул трояна, который при загрузке (даже в safe mode) загораживает весь экран always on top формой, которая должна убраться, если отправить СМС на платный номер и ввести на форму в поле ввода ответный код, и дизейблит кнопку Диспетчера задач (есть таких троянов несколько модификаций: один из них ходит через вконтакте, другой - через порносайты и т.д.). При этом, там стоит примечание, мол, если будете пытаться обойти - данные на диске могут быть уничтожены. И все, на весь день наступила
жопа тишина. В сети на эту тему знающие люди бесплатно не рассказывают, как эту заразу убрать. Пришлось заниматься исследованием, писать софтину, которая этого трояна убирает (а принцип работы трояна этого хитрый, но тупой). И трояна снес пока дебажил софтину :D, и данные на диске целые, на этом мой R&D завершился. Если интересует (особенно если кто сам любит мастерить) - поделюсь секретом.
-
А вы уверены что это троян? :lol:
-
Поделитесь, если не сложно ;)))
Я такого хватал пару недель назад, удалял через одно место, путем отката системы ))) Если Ваш вариант проще, поделитесь!
-
Поделитесь, если не сложно ;)))
Я такого хватал пару недель назад, удалял через одно место, путем отката системы ))) Если Ваш вариант проще, поделитесь!
Хотел бы поделиться написал бы сразу! А так наверно в личку попросит! :o
-
самое простейшее - есть кода на сайтах популярных антивирусов...
т.е. звонишь друзьям у кого есть инет - говоришь им код - на сайте доктора веба, указуешь код - получаешь код активации
-
А еще нужно внимательно читать что программа предлагает установить вместе с собой! :?
Долой всяких там агентов и тулбаров!!! :o
-
вот найденое за пару минут - там и от касперского сервис, и от др. веба, и от симантика
http://www.cyberforum.ru/viruses/thread50848.html (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fwww.cyberforum.ru%2Fviruses%2Fthread50848.html)
-
иногда эта фигня висит только 2 часа, просто подождать и всё
-
Я попадала на такой вирус. Помогало запускать систему в Безопасном режиме и проверять все Dr.Web CureIt
-
Я попадала на такой вирус. Помогало запускать систему в Безопасном режиме и проверять все Dr.Web CureIt
есть разновидности, которые делают невозможным загрузку в безопасном режиме
хотя, как вариант, при наличии диска аварийного восстановления можно загрузится с него и полечить систему :)
-
я так понимаю, слова TDSS, rootkit, avz, virusinfo.info автору топика неизвестны. :D Кстати, на virusinfo.info народ бесплатно помогает эту какашку убрать. так что гуглите и вам воздастся.
ps самый простой вариант-снести винду и поставить заново. можно полечить, пользуясь советами с форума вирусинфо-но займет больше времени.
-
Я так понимаю что в большем числе случаев (у моих знакомых) это просто флешка на весь экран :?
Если загрузить комп используя F8 :D все пропадает :o
-
самое простейшее
Поставить прогу Advanced System Care!!!! Она сама создаёт контрольные точки для системы (кстати, их можно и вручную создавать)... я однажды поймал тварюку, которая блокирует запуск приложений... ни в и-нет не выйти, ни музыку/видео открыть, ни тем-более поиграть.... короче часа 3-4 мучал ноут, пока не удалось открыть прогу... ну а потом поставил предидщую контрольную точку поверх системы на тот момент, и только тем и спасся.... а у жены на компе недели две назад тоже "вымогатель" завёлся-тоже той прогой убили (она ещё как антивирусник работает, да и вообще там много полезных вещиц).
-
Я так понимаю что в большем числе случаев (у моих знакомых) это просто флешка на весь экран :?
Если загрузить комп используя F8 :D все пропадает :o
Нет, в личку писать не надо - денег за это не возьму :) Просто не стал сразу флейм разводить, чтоб опять не обозвали кулхацкером :D
Кстати, безопасный режим не помогал, я ж это сразу проверил. Запустил Spy++, высветил хэндл окна и все относящиеся к нему процессы, поискал по реестру по имени процесса и увидел: он сидит в списке загрзки в в LocalMachine, в software\Microsoft\Windows NT\CurrentVersion\Winlogon\ . К тому же, этот раздел реестра монопольно залочен. Нужно было прибивать процесс, но Диспетчер задач задизейблен. Но нам пох - у нас есть Vsual Studio + знания фреймворка и C#.
И вот такой код, когд я дебажил, стер нафиг трояна (имя процесса хардкодится):
private void button1_Click(object sender, EventArgs e)
{
Thread.CurrentThread.Pri ority = ThreadPriority.Highest;
while (IsProcessExists("cre5D7.tmp"))
{
KillProcess("cre5D7.tmp");
}
Thread.CurrentThread.Pri ority = ThreadPriority.Normal;
}
private bool IsProcessExists(string name)
{
bool result = false;
Process[] pc = Process.GetProcessesByNa me(name);
if (pc != null && pc.Length > 0)
{
result = true;
}
return result;
}
private void KillProcess(string name)
{
Process[] pc = Process.GetProcessesByNa me(name);
foreach (Process p in pc)
{
p.Kill();
}
}
Не ну могу, конечно, дописать софтину и выложить, сли кому нужно, но лично свою проблему я решил таким способом :D
-
dmp сам написал вирус и сам антивирус! это скрытая реклама :D :D :D
-
dmp сам написал вирус и сам антивирус! это скрытая реклама :D :D :D
Вирусов на фреймворке не бывает. Пока что :D
-
НЕ стоит париться с друзьями инетом...
http://softget.net/freeware/projects/RansomHide/ransomhide.exe (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fsoftget.net%2Ffreeware%2Fprojects%2FRansomHide%2Fransomhide.exe)
утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет...и все працюЭт=)
-
самое простейшее - есть кода на сайтах популярных антивирусов...
т.е. звонишь друзьям у кого есть инет - говоришь им код - на сайте доктора веба, указуешь код - получаешь код активации
поддерживаю. кодами с сайта Доктора Веба не раз спасались) вообще, нагуглить можно решение)))
-
Ога, ещё и под ограниченной учёткой.....
:lol:
-
да, а написать прогу под ограниченной учеткой можно очень легко
реальнее сходить к кому-то из друзей, нагуглить код, ввести дома и наслаждаться жизнью
-
да, а написать прогу под ограниченной учеткой можно очень легко
реальнее сходить к кому-то из друзей, нагуглить код, ввести дома и наслаждаться жизнью
А можно проще - или с ноута дома зайти или с оставшихся 2 Windows :yahoo:
Просто у ребенка стоит 7, и у меня 7 и XP. А вообще-то антивирус+обновления+голова позволяют сего избежать :=))
-
И где ж вы так ковыряетесь, что за интернеты с такими злобными кодами?
:lol:
-
И где ж вы так ковыряетесь, что за интернеты с такими злобными кодами?
:lol:
сайт ДрВ
-
Замеры на Докторе Вебе?
У-у-у-у-у-у....Ясно....
А исходники приобрели?
:)
-
вы сначала поймите, о каком коде идет речь, а потом издевайтесь
-
Я понял, что вы сёрфили Фуррифоксом по сети и приобрели ненужный скрипт/агента?
Так?
Ну, пейсал же - Фуррифокс состоит из индусского кода на 80%.
Юзверьскрипты вы же не пользуете? Да и куда их там втыкать, или, может, только я не понимаю ничего в опенсорсных браузерах.
Интересно, а как запускается ПО в Виндах под учёткой гостя?
Или вы уже перековыряли Винды так, что адекватно они не работают?
Ну, ладно, вы - фанат Gecko,хорошо. Что мешает скачать и заюзать Flock или Orca?
Жаль, но безопасность и блокировка ненужных окон и скриптов в Firefox слабенькие.
Так что думайте, качайте...
;)
-
опять 25 начинается
Я НЕ ЦЕПЛЯЛА
человек тут подцепил, если вы читали первый пост
муж подцепил недавно на Опере, кстати
мне ПЛЕВАТЬ какой там код. я НЕ ФАНАТ ничего, мне просто нравится то, что удобно мне. НИЧЕГО КАЧАТЬ Я НЕ СОБИРАЮСЬ
вы еще советуйте всем ставить линукс и самим писать все программы
и вообще при чем ваш ответ к фразе о коде?
-
Арус знає багато розумних слів, і не хоче, "что бы это осталось незамеченным" )))
-
:mrgreen:
-
Арус знає багато розумних слів, і не хоче, "что бы это осталось незамеченным" )))
в десятку!
-
самое простейшее - есть кода на сайтах популярных антивирусов...
т.е. звонишь друзьям у кого есть инет - говоришь им код - на сайте доктора веба, указуешь код - получаешь код активации
Так и делал, потом проверял антивирусом - ничего не находилось. Самоудалялся?
-
Грамотное использование ERD Commander решает проблему. :D
-
вы еще советуйте всем ставить линукс и самим писать все программы
Тогда индусский код помножится в Надцать раз...
:cry:
Арус знає багато розумних слів, і не хоче, "что бы это осталось незамеченным"
Изложите поподробнее...