Новый баннер, блокировщик Windows.

[S10]

Для кого-то 2,5 Гига = половина месячной пайки инета на нормальной (относительно) скорости

Ну для регулярного лечения мини-LiveCDями от др.уэба трафа надо не меньше: базы-то почти каждый день обновляют.

 

А я не бэкаплю системный раздел.. Места для закачек не хватает.

[scorcer]

2 ДДТ

юзаю HirensBCD, RusLiveRam by NIKZZZ (как-то так) и иногда какой-то Sunbeam. Все три мне достались бонусом на всяких ZverCD/Yykikx... как-то так. Предпочтения никому не отдаю, мне много ненадо, не функциональности вопрос. Но определения жестких дисков.

 

ps/ посмотрел на SonyaPE. Все правильно: юзабельный RusLiveRam NIKZZZ+ HBCD +акронисы. Акронисы старые. Новые только дрова контролеров, за что и скачаю...поглядим. А вагон программ как-то...мне лично не надо на ливсиди.

[cyclops]

ДДТ

лезь в реестр системы по пути: HKLM>Software>Microsoft>WindowsNT>Current version>Winlogon; два важных ключа:

1. Shell REG_SZ explorer.exe

2. Userinit REG_SZ C:\Windows\system32\userinit.exe,

если не соответствуют - исправляй

[Ramik]

S10

А чтобы не попадаться под блокировщики (и не только) друзьям советую путешествовать в инете только из-под ограниченной учетной записи. Трудно конечно, но надо себя заставить

 

Ничего трудного в использовании иньета под ограниченной учеткой нет. Вот запуск игр(а тем более — установка ПО и конфигурирование), допустим, желателен под администратором, а постоянно вбивать пароль доставляет. (Это я про ХР, шут его знает, что у вас там в этих ваших семерках

Лучше ubuntu не знаю ОСей)))

[ДДТ]

как и обещал, отписываюсь по результатам.

 

прав был Vaquero, в виндовой папке сидел батник rundll со свойствами "скрытый". Там же сидел и сам зловред nvcvc32.exe (240 Kb) Почему Линух не находил его, не понятно %( может быть "скрытность" помешала?

Также большинство было право по поводу строки shell, помимо explorer.exe , была прописана строка %windir rundll.bat

Просто не обратил на это внимание

 

Теперь о странностях. Скачанный свежий RusLiveFull_DVD от 16.01.2011 тоже не захотел грузиться под этим компом. Точнее грузится всё, кроме miniWindows. Возможно дело в винте. Буду тестить.

 

Slifi

В БИОСе загрузка стандартная: 1-м DVD-привод. 2-м Винт, 3-м встроенный картридер на 4 типа карт, 4-м Ethernet-контроллер.

 

тему можно закрывать.

[Greench]

... по поводу строки shell, помимо explorer.exe , была прописана строка %windir rundll.bat

Просто не обратил на это внимание

Как и ожидалось - те же грабли, только в профиль.

[Vaquero]

Greench

Возможно в вашу систему залез малварь...советую просканить жоский...

Когда у меня случаются такие эксцессы - антималварь находит 2-3 экзешника с длиннючими именами во временных папках.

ДДТ

Рад, что всё разрешилось))

[Dimradio]

Там, скорее можно поймать какой-нибудь дозвонщик, который снимет гору бабок с вашего телефонного счета. Но с отмиранием диал-апа это всё менее вероятно.

А с появлением мобильного инета, всё более вероятно. Влететь можно гораздо круче.

 

А в последнее время многие знакомые понацпляли подобной хрени. Кто-то онлайн разюлокировщиком справился, кто-то переустановил систему.

[Greench]

Сегодня "лечил" ноут с левой сборкой ХРюши. Сборка - просто жесть, но это для другой темы. Симптомы 1в1 как у ТС, тот же текст на черном фоне, только с угрозами шифрования данных и требованием мзды в 400 монет. Зловред скрытно и системно поселился в %windir% и назывался arakrnel.exe . Прописался как обычно, полностью подменив explorer.exe параметре shell. Лечение проводилось с ливСД, длилось не долго и прошло успешно.

[S10]

Greench

В смысле? Поганец уже имелся в базах антивиря, запускаемого с CD?

[e-van]

мне вот интересно - если опсос берет 50% с суммы, то почему его нельзя называть пособником?

[Skif-7777]

Все посты читать времени нет, может уже кто то и отписался по такому варианту, но на всякий случай тоже расскажу, как я с этим боролся. Сегодня друг позвонил с подобной проблемой проблемой. Стало интересно- пошел посмотреть. Все решилось за 5 минут- тупым изменением даты в биосе. Не все, но большее кол-во баннеров рассчитаны на запуск в течении определенного времени, а потом само уничтожаются, причем так, что и следов то их найти трудновато. Т.е. (мой сегодняшний опыт) изменил дату в биосе на 5 месяцев вперед (как говорят стандарт у баннеров 62 дня) и загрузился без проблем. В реестр не лазил- я в нем не особо силен. Перегрузился, вернул дату на место... И все. ))) Все работает- проблем нет. Еще раз повторюсь, что это поможет не всем. Этих баннеров развелась уже такая куча... Но может кому то и будет полезно. )))

[e-van]

Все работает- проблем нет

Ubuntu

[S10]

e-van

Все игры(включая свежие) под вайном тестил?

 

Skif-7777

Фигня эти ваши 62 дня. Я на 10 лет вперед дату перегонял... Финал немного предсказуем: загрузка с LiveCD и убийство вручную.

[e-van]

e-van

Все игры(включая свежие) под вайном тестил?

дык я не гамаю..

дочь гоняла COD7, на минимуме норм

[S10]

e-van

А под хрюшей в VirtualBox не пробовали?

[e-van]

e-van

А под хрюшей в VirtualBox не пробовали?

ну ее вжопу,енту ХР

Колибри стоит в VirtualBox ))

[Greench]

Greench

В смысле? Поганец уже имелся в базах антивиря, запускаемого с CD?

нет, естественно, все ручками, ручками...

как говорят стандарт у баннеров 62 дня

большинство авторов гадости просто так пишут - психологический ход. Напугать (Ого как долго) и обнадежить (Не все потеряно).

[niftiak]

Ребят, дайте мне сайт, где можно поймать баннер!!!

Я уже заколебался! Я стабильно три раза в неделю гоняю по разным адресам, чтобы вычистить эти сраные порнобаннеры. А себе на виртуалку я так, никогда, и не смог словить для анализа. Подскажите сайт, где можно 100% поймать заразу =)

[S10]

niftiak

Вбивай в гугле: "бесплатное порно без смс". Обязательно в кавычках, выделенное полужирным является гарантией ловли именно блокера.

[niftiak]

S10

Да как я только не вбивал. И "без смс" и "бесплатно" я уже столько нового для себя пооткрывал в порноиндустрии... Стоит хрюша без антивиря и с выключенным брандмауэром в виртуалке. И нихрена.

 

Причем меня убивает следующее:

Приезжаю на адрес. Там баннер. Спрашиваю, мол, куда вчера лазили? Получаю ответ: "на майл только заходил" Смотрю журнал - действительно только на мейл. Так какого хрена я не цепляю???

У меня лежит слепок с виртуалки. Жду когда цепану что-нить, сделать слепок и сравнить... но нихрена не цепляю (((

[S10]

niftiak

Могу скинуть 2 образца, но они уже во всех базах есть. Я им помог там появиться с помощью вирустотала.

 

А зачем сравнивать слепки? Чтобы что выяснить? (Я так понял, речь про VMware...)

[Greench]

Тоже есть парочка образцов

[niftiak]

S10

Сравнивать слепки для того, чбы выяснить где и что произошло в системе. Чтобы не рыскать в поисках, сразу будет видно. Да, речь про VM

 

Greench

Если их в базах нет, то скинь плз - niftiak@mail.ru =)

Если я еще с таким не сталкивался, буду благодарен )

Но я за новым гоняюсь

[S10]

niftiak

Просто юзаю VB, в нем такой опции пока нет. Показывает изменения в ФС?

 

Есть вот такой сервис, показывающий залапываемые зловредом ключи в реестре:

http://www.threatexpert.com/report.aspx?md...5e9c98578ccf883