|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
09.12.2009, 14:42 | #1 |
Форумчанин
Регистрация: 27.07.2009
Сообщений: 547
|
Более опасная версия старой конячки
Здравствуйте, опять подцепил.
Свежеобновленная Авира незаметила "подарка" без системных кнопок и висящего ПоверхВсех, а также имеються нововведения: 1 Постоянно изменяет разрешение экрана на малое 2 Блокирует запуск РегЕдита 3 Создает ощущение подвешенности, рендомно что то работает а что то нет... хотя на самом деле - окошко, где нужно выбрать страну (Доступно Россия и Украина) для уточнения номера куда нужно смску отправить работает отлично) 4 Полностью съедает антивирус(отличие от прошлой версии !) Примечательно что вылазит из RegOrganaizer, хотя может и совпадение, но все же будьте осторожны с этой программой. Сейчас пишу с другого компьютера, ломаю голову как бы ту штуковину отловить, и посмотреть что оно есть из себя. Какая вероятность что Dr.Web ее не заметит ? Код очень здорово разрушительный, постоянно пробует что то писать в память соответсвенно выскакивают таблички с эррорами. И вот еще идея есть - можно утилитку сделать что бы каждый ЕХЕ-файл сканировать на один только параметер - Is StayOnTop Mode ? Сами только антивирусы не очень эффективны против такой заразы.
"Виновник этого парада,он не дурак, ушел как надо!" Похороны панка.
|
09.12.2009, 14:55 | #2 | ||||
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Низкая, не находят также Cure It, Касперский и AVG.
Цитата:
Цитата:
Жмешь на перезагрузку - окно исчезает и ждет пока ты урегулируешь вопрос с копированием файла, а если ты его не урегулируешь, то перезагрузка не происходит. Есть предложение посылать сообщение о сворачивание работы. А, да про диспетчер задач - "Диспетчер задач отключен администратором". И это при том, что администратором являюсь я . Я под ним уже так давно был, что пароль не сразу вспомнил. Цитата:
ЗЫ. А как же рекламные лозунги про эвристический анализ, коллективный разум и пр. фигню? Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика Последний раз редактировалось Utkin; 09.12.2009 в 15:02. |
||||
11.12.2009, 15:04 | #3 |
Форумчанин
Регистрация: 27.07.2009
Сообщений: 547
|
Не знаю что делать, совсем руки опускаються...
На той винде есть сертификат безопасности Оперы, через который я в кошелек Вэбмани заходил, Как его импортировать никто не знает... Ничего сделать с той байдой не получаеться, она прекрасно работает и в Безопасном режиме. Пробовал установить Dr.Web, в безопасном режиме пишет что отключен доступ к Инсталлеру, в обычном ничего не происходит после клика на нем. А вот когда в папку с касперским захожу - выкидает на рабочий стол Вместо любой, программы запускаеться жаждущее окошко или ничего не происходит. С этой винды есть доступ к папкам того виндовса, вот я думал может там какие то dll'ки перезаписать ? Только не знаю какие, и там второй SP2 а здесь первый, так можно напороть что та винда вообще не запуститься.
"Виновник этого парада,он не дурак, ушел как надо!" Похороны панка.
Последний раз редактировалось HellMercenariess; 11.12.2009 в 15:21. |
11.12.2009, 15:19 | #4 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Попробуй отключить плагины к опере и эксплореру.
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
03.01.2010, 22:41 | #5 |
Форумчанин
Регистрация: 10.02.2009
Сообщений: 226
|
Здарова камрады
Сегодня гонял эту шнягу убить совсем не удалось, только с переустановкой винды . однако заметил вот что (мож не только я один) -- 1. Это гуано создает еще одного пользователя, суперадмина с паролем.(это как раз дыра размером с дреноут в винде, позволяющая захват прав на машине, сделано в майкрософт аля "Боьлшой брат следит за тобой") 2. Даже если вы работали под админом и пассвордом, права нового товарищща больше. 3. Создает эта тварь папки темп в виндовс, документ&сеттинг. 4.КуреИт от дохтора веба находить семь троянов. удаляет. после перезагрузки все по-новому. Побоялся я что при переустановки винды останется подарок (народ просил сохранить файло,фотки и т.д.) В итоге удалил с акроникса корень Цэ, папульку виндовс, программ_файлс, всех юзеров с документ&сеттинг, все кроме папки с рабочим столом, где и были нужные доки и фотки. (просмотрел все пути, обращая на дату создания папок, если в декабре изменена- в топку). поставил венду. все. большое зы--- для тех кто в танке, советующих "надо лечить а не переставлять форточку"-- офтопов сюда не надо, а полные пути залежей этой твари милости просим. а также средство удаления оного из системы безболезненно. зы-зы-- на др.вебе утилита генераци пароля к этому подарку не работает. всем легкого похмелья
следи за собой. Будь осторожен.
Не забывай свой первый "hello world". Последний раз редактировалось bush007; 03.01.2010 в 22:43. |
04.01.2010, 01:03 | #6 |
Пользователь
Регистрация: 03.01.2010
Сообщений: 18
|
Чего то мужики, как то вы неубедительно боролись...
Ну кто-ж так делает ? Вторая ОС была у вас ? Из под которой можно было загрузиться ? Или загрузочный CD-ром был у вас ? Гмер запускали ? Как боролись-то вообще ? Если вирус работал как процесс или как драйвер - то их было бы видно в Gmer-е, даже если эти драйверы или процессы "hidden" Если вирус прилепил свою библиотеку (например как расширение проводника, или расширение еще чего-нибудь) - то переименование файла библиотеки из под другой копии Виндоус - решит проблему (сделает эту библиотеку не загружаемой). Если вирус сработал, как сейчас порно-информеры прицепляются - файл java-script передают на ваш комп, и этот java-script исполняется... Например, у меня в Mozilla Firefox порно-информеры подменяют файл Мозиллы, с которого начинает свою работу браузер: В Мозилле это - файл "prefs.js". То надо этот файл назад заменить на рабочий, или в Мозилле аварийно срубить задачу диспетчером процессов. Мозилла спросит: восстановить аварийно завершенную сессию ? Я отвечаю "Нет, начни новую". И Мозилла лечит файл "prefs.js" Я думаю, если для Оперы аварийно срубить задачу - то она тоже предложит начать новую сессию. |
04.01.2010, 01:10 | #7 |
Пользователь
Регистрация: 03.01.2010
Сообщений: 18
|
Прям читаю, и дивлюсь
...Создает черную дыру... В которой все и пропадает... Создает еще одного пользователя... Да вы че, мужики ? ))) Из под другой операционной системы все созданные пользователи - будут фиолетово. Из под другой ОС вы будете смотреть только с папками, и файлами. Возможен вариант, когда вредоносный файл будет залочен путем использования прав NTFS. Как образец такого лочения, можно посмотреть какие NTFS-права назначены на файл флэш-плеера Macromed (один файлик у них не хочет удаляться даже из под другой ОС, пока не снимешь NTFS-права "все запрещено". Кстати, в Gmer есть и функция удаления файлов. Гмер удаляет их не моргнув глазом, невзирая на то, какие там были назначены на файл NTFS-права Видать настоящего мастера - ничем не остановишь ! Последний раз редактировалось uuu99950; 04.01.2010 в 01:17. |
04.01.2010, 01:22 | #8 | |
Старожил
Регистрация: 28.01.2009
Сообщений: 21,000
|
там информеры уже иные.
не браузерные а системные. триста ОС на одном диске? не нужно такого барахла. загрузочный диск...ну тут я соглашусь, но лучше с убунтой чтоль. Цитата:
наф оно надо? лучше удобство чем триста ОС. тем более открою секрет, что это соседняя ОС тоже может пострадать. Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
Программа делает то что написал программист, а не то что он хотел. Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите. |
|
04.01.2010, 01:30 | #9 |
Пользователь
Регистрация: 03.01.2010
Сообщений: 18
|
Не триста ОС, а две всего. При помощи Acronis True Image делается посекторная копия всего системного логического диска.
И разворачивается эта копия - на каком-нибудь другом логическом диске. Минут за 20-25 можно и копию в файл слить, и на другой логический диск развернуть эту копию из файла Акрониса. |
04.01.2010, 01:37 | #10 |
Пользователь
Регистрация: 03.01.2010
Сообщений: 18
|
"тем более открою секрет, что это соседняя ОС тоже может пострадать"
Открою встречный секрет: все изготавливают загрузочный CD при помощи этого же Акрониса. А на винчестере Акронис создает зону, недоступную для Windows. При помощи этой спрятанной зоны, и своего загрузочного CD, я восстановил системный логический диск C, даже когда низкоуровневым форматированием убил партиции на диске. В результате убиения партиций - становятся недоступны сразу все логические диски, а не только один. Все равно - поднял Акронисом партиции за те же 20 минут. Все вернулось в исходное работоспособное состояние. Так что, скачивайте Acronis, и учитесь пользоваться его возможностями. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Реанимация старой программы | Bayazet | Общие вопросы Delphi | 7 | 24.11.2009 17:29 |
Какое программирование в наше время более востребовано и более рентабельно? | iukash | Свободное общение | 18 | 29.10.2009 13:02 |
Установка windows поверх старой ос | Zeka | Windows | 4 | 22.10.2009 16:17 |
Почему лицензионная версия продукта дороже чем пиратская версия продукта? | multik | Свободное общение | 13 | 13.07.2008 14:40 |