ДДТ Жалоба Опубликовано 22 января, 2011 Старый знакомый клиент подхватил новый баннер. При чем не первый раз он их хватает, говорил я ему чтобы меньше лазил по сомнительным сайтам, но видно человек любит иногда посмотреть что-нибудь "по-горячее". Ну думаю, несколько минут делов и можно деньжат подзаработать на мороженое детям, но я не знал какой меня ждал жестокий облом. Баннер с виду обычный, черный фон, на котором текст со стандартным содержанием " бла-бла-бла, вы просмотрели и скачали видео с детской порнографией, порновидео с геями и зоофилией... бла-бла-бла, ваш компьютер заблокирован для предотвращения распространения данного материала в сеть Интернет ..." Ну и стандартные телефоны для Мегафона, Билайна и МТС. Фон закрывает всю область экрана, внизу поле для кода и кнопка "войти в систему", курсор мыши бегает в пределах невидимого квадрата очерчивающего текст, на горячие клавиши не отвечает, Диспетчер задач не запускается, в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового, подозрительных файлов или папок (которые обычно появляются на рабочем столе или в документах юзера) не обнаружил, в файле hosts все нормально, в реестре с winlogon и userinit тоже все в порядке. Последняя надежда была на свежие KRD 10 и Dr.Web LiveCD. Полное сканирование. Оба ничего не находят! Есть ещё предположения как побороть эту гадость? ОС: Vista Home Premium 32 bit Пользовался онлайн-разблокираторами Касперского и Др. Веба. Точно такого же баннера там нет, но есть похожий. Коды не подходят. Почти такой как на картинке, только без слов Внимание! текст и номера телефонов другие. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
neuro77 Жалоба Опубликовано 22 января, 2011 иной раз копаться в реестре и выискивать пути настолько гемморно, что легче винду переустановить Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ДДТ Жалоба Опубликовано 22 января, 2011 Баннер новый, поэтому создал новую тему, если модеры решат прикрепить эту тему к основной теме про баннеры, то я не против. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 KRD 10 и Dr.Web LiveCD. Полное сканирование. Оба ничего не находят! Ничего удивительного: гадость эта ваша заливная рыба херня эта ваша эвристика, они только по сигнатурным базам ищут. Нет записи в базе — нет результата. Я уже описывал, как с помощью убунчи лечил убивал свежего(на 13 янв) зловреда. Не сумеешь сам — придется делиться мороженым. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vaquero Жалоба Опубликовано 22 января, 2011 ДДТ скока заплатили? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ДДТ Жалоба Опубликовано 22 января, 2011 S10 Шаман, ты наверно плохо читал мой 1-й пост Я добрался до реестра и обнаружил что в реестре с winlogon и userinit тоже все в порядке. blink.gif С убунтой тоже дружу. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
kas Жалоба Опубликовано 22 января, 2011 в реестре с winlogon и userinit тоже все в порядке. Не верю Подключи жесткий к своему компу, подрубись к реестру на нем, экспортни ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и скинь сюда Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 Winlogon — это раздел. А Userinit — один ключ из всей ветки(лежащий под Winlogon как раз ). Получается, в реестре проверено только одно место автозапуска, на деле же тысячи их как минимум 10. Вообще говоря, хорошо бы выловить сам зловред, чтоб посмотреть, куда он пишется, на специализированных сервисах онлайн-проверок. Но это ж порочный круг. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ast78512 Жалоба Опубликовано 22 января, 2011 ...в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового... А как выглядит невозможность загрузиться именно с виндового Live-CD, ведь при загрузке HDD не участвует? Безопасный режим с командной строкой тоже не грузится? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 Безопасный режим с командной строкой тоже не грузится? Та блочат его уже успешно, я именно с этим и столкнулся. Тоже пробовал. А с winPE не грузится потому, что системник свободного софта просит, варез ему надоел. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ДДТ Жалоба Опубликовано 22 января, 2011 Ast78512 2 виндовых Live-CD уходят в ребут, раньше такого не было. Линуксовые грузятся. Безопасный режим с командной строкой закрыт баннером во весь экран. Все появляющиеся окна винды благополучно закрываются черным фоном баннера. ДДТ скока заплатили? Все согласно договора. Оплата в конце месяца. Также открыт и для разовых работ. Реклама kas Подключи жесткий к своему компу, подрубись к реестру на нем, экспортни ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и скинь сюда Я этот путь знаю наизусть как бы не 1 десяток баннеров на моем счету, при чем каждый раз новых. Говорю же, что там все чисто. Сам в шоке. S10 Winlogon — это раздел. А Userinit — один ключ из всей ветки(лежащий под Winlogon как раз smile.gif ). Получается, в реестре проверено только одно место автозапуска, на деле же тысячи их как минимум 10. Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку - он всего один! на весь реестр ! Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку - [sp] он всего один! на весь реестр ![/sp] Вышло недоразумение, видимо, с твоей стороны. Даю полный путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Говорю ж, лечил ужо. Я про 10 путей автозапуска, а не про 10 ключей Userinit. На вскидку помню только популярный некогда раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vaquero Жалоба Опубликовано 22 января, 2011 ДДТ Странно, почему лайв сд не грузится...Должен))) А если поиск по дате сделать?Вообще файлы такого рода либо в документах либо во временных папках)) Поищи в тырнэте лайв сд нод32))на нём будет ехрlorer , с помощью которого можно спокойно прошарить жоский) Именно это мне помогло, когда я отчаялся его найти антивирями... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Slifi Жалоба Опубликовано 22 января, 2011 DDT там компьютер или ноутбук? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 А если поиск по дате сделать? Дату создания тоже успешно меняют, тоже давненько научились. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 Поищи в тырнэте лайв сд нод32)) Официальный бесплатный или любительское варезное поделие? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
kas Жалоба Опубликовано 22 января, 2011 Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку - он всего один! на весь реестр ! В том же разделе винлогона можно загрузиться подменив ключи эксплорера или же добавив ключ в notify. Но ладно, если там все верно, то может быть неверны сами файлы юзеринита или эксплорера. Сверяй с валидными. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ast78512 Жалоба Опубликовано 22 января, 2011 Ast78512 2 виндовых Live-CD уходят в ребут, раньше такого не было. Линуксовые грузятся. Безопасный режим с командной строкой закрыт баннером во весь экран. Все появляющиеся окна винды благополучно закрываются черным фоном баннера. Это что получается, даже вместо командной строки баннер появляется? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
zexus Жалоба Опубликовано 22 января, 2011 Старый знакомый клиент подхватил новый баннер. При чем не первый раз он их хватает, говорил я ему чтобы меньше лазил по сомнительным сайтам, но видно человек любит иногда посмотреть что-нибудь "по-горячее". Ну думаю, несколько минут делов и можно деньжат подзаработать на мороженое детям, но я не знал какой меня ждал жестокий облом. Баннер с виду обычный, черный фон, на котором текст со стандартным содержанием " бла-бла-бла, вы просмотрели и скачали видео с детской порнографией, порновидео с геями и зоофилией... бла-бла-бла, ваш компьютер заблокирован для предотвращения распространения данного материала в сеть Интернет ..." Ну и стандартные телефоны для Мегафона, Билайна и МТС. Фон закрывает всю область экрана, внизу поле для кода и кнопка "войти в систему", курсор мыши бегает в пределах невидимого квадрата очерчивающего текст, на горячие клавиши не отвечает, Диспетчер задач не запускается, в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового, подозрительных файлов или папок (которые обычно появляются на рабочем столе или в документах юзера) не обнаружил, в файле hosts все нормально, в реестре с winlogon и userinit тоже все в порядке. Как так? Ниразу не видел... длительное зажатие Ctrl+Shift+Esc с последующей остановкой задачи не помогает? Или просто курсор не может туда выйти из квадрата? Userinit в порядке, а Shell? Virus Removal Tool 2010 пробовал свежий, бесплатный с сайта Касперского? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vaquero Жалоба Опубликовано 22 января, 2011 S10 поделка разумеется) я юзал 1,5 годовалую сборку))) zexus В козявках такого рода идёт проверка на диспетчер задач) т.е. он открывается и благополучно закрывается ) Всё зависит от производительности компа - тормозной -юзер увидит его на пару секунд и он закроется, мощный - может вообще не увидеть))) И ни касперский, ни нод32, ни чтото ещё либо его в упор невидят!!!! Проверено на личном компе((( Либо запускаем антималварь и прогоняем им жоский... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
zexus Жалоба Опубликовано 22 января, 2011 S10 поделка разумеется) я юзал 1,5 годовалую сборку))) zexus В козявках такого рода идёт проверка на диспетчер задач) т.е. он открывается и благополучно закрывается ) Всё зависит от производительности компа - тормозной -юзер увидит его на пару секунд и он закроется, мощный - может вообще не увидеть))) Так зажми и не отпускай - помогает, моргает, конечно, диспетчер, но задача обычно там всего одна, только навести курсор и остановить задачу. Потом Новая задача - explorer.exe, устанавливаем антивирус - и готово Таки Virus Removal Tool 2010 у меня эти баннеры щёлкал как семечки Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 22 января, 2011 zexus Ctrl+Shift+Esc фильтруется. Малварь абсолютно свежая, нет ее в базах. поделка разумеется) я юзал 1,5 годовалую сборку))) Тогда нафиг не нужна, вопрос снят. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vaquero Жалоба Опубликовано 22 января, 2011 zexus Кстати да) У многих работают только буквы и цифры на клаве и ничего более....Соответственно залипание клавиш тоже не выходит((( Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ДДТ Жалоба Опубликовано 22 января, 2011 S10 Я про 10 путей автозапуска, а не про 10 ключей Userinit. На вскидку помню только популярный некогда раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Согласен, я что-то прогнал, отвлекали. Я подумал ты only про Userinit речь ведешь. Slifi DDT там компьютер или ноутбук? Компьютер стационарный. Есть принципиальные отличия? Хотя да, есть, у ноутбуков есть своя система восстановления системы. Диспетчер задач, скорее всего открывается и тут же закрывается. Происходит быстрое мигание на экране, как будто что-то открылось и тут же закрылось. Комп не слабый. Кстати есть интересная штука, баннер формирует динамический процесс nvcvc32.exe который я вычислил под Вистой. Под Линуксом пытался найти этот файл на винте - безрезультатно. Нет его. До больного компа доберусь теперь только в понедельник. Есть одна идея как найти заразу. По результатам сообщу. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vaquero Жалоба Опубликовано 22 января, 2011 nvsvc32.exe (NVIDIA Driver Helper Service) – процесс, использующийся драйверами NVIDIA. попробуй поискать Rundll.bat Возможно сидит тут c:\windows\rundll.bat. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты