Новый баннер, блокировщик Windows.

[Ladomir]

Позавчера приносили комп с новым блокировщиком.

 

В принципе и этот винлок стандартно прописывается в ключ shell вместо explorer.exe.

НО!!! при этом заменяет собой taskmgr.exe и userinit.exe, а также системные копии

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

 

Кому интересно, могу кинуть поганца.

[S10]

Интересно. Кидай.

Желательно в архив под пароль и на файлообменник http://sendfile.su/

[Ladomir]

Интересно. Кидай.

Желательно в архив под пароль и на файлообменник http://sendfile.su/

 

Ссылка для скачивания http://sendfile.su/321483

Пароль совпадает с моим ником.

 

Может тоже пришлешь что-то интресное?

[S10]

Домой доберусь...

[dr.Evil]

кстати по моему опыту, Опера слабей всех на расправу, т.е. порнобаннеры на моей практике чаще всего через неё ловят и к ней же они цепляются

[Ladomir]

Сегодня принесли ноут - windows заблокирован, пополните счет билайн на 400 руб (телефоны 9650660681, 9650660664)

 

Заразу конечно нашел - прописала себя в реестре аж в ПЯТИ местах и три зловредных файла в разных местах на диске.

Причем зараза не обнаруживается пока ни одним антивирусом. Отравил файлы на анализ в лабораторию «Доктор Веб», посмотрим что ответят.

 

В общем блокировщики Windows становятся все более разнообразными и изощренными. Пользователи трепещите!

[Preslilvs]

кстати по моему опыту, Опера слабей всех на расправу, т.е. порнобаннеры на моей практике чаще всего через неё ловят и к ней же они цепляются

 

Так оно и понятно, аналогия с Mini-Opera с мобильников вот её нубы и ставят. Лично я не слышал чтобы Mozilla, Google Chrome или IE ловили порно-банеры.

[dr.Evil]

Пользователи трепещите!

ну слава богу мы не пользователи

[dr.Evil]

Для новичков подробный мануал

 

http://forum.astrakhan.ru/index.php?showto...t&p=1624928

[skyrage]

Так оно и понятно, аналогия с Mini-Opera с мобильников вот её нубы и ставят. Лично я не слышал чтобы Mozilla, Google Chrome или IE ловили порно-банеры.

 

Осел самый уязвимый, у вас просто мало опыта и вы не любите оперу

[dr.Evil]

Осел

Осёл не браузер ))) Оперу не люблю ты прав, а вгот про опыт ошибаешся )) Я уже столько этих гадостей придушил Большинство именно через оперу славливали

[skyrage]

Осёл не браузер ))) Оперу не люблю ты прав, а вгот про опыт ошибаешся )) Я уже столько этих гадостей придушил Большинство именно через оперу славливали

 

я не про душение гадости а вообще в IT.

[dr.Evil]

профессионально 2 года..непрофессионально с 15 лет

[skyrage]

профессионально 2 года..непрофессионально с 15 лет

 

сколько лет тебе отрок? я с 13 лет воюю с компами и паяльником иногда, с 18 лет профессионально ну а лет мне 27 )

Первые 2 года работы я был зеленый и самоуверенный )

[dr.Evil]

гыыы..24

Паяльником тоже ворочу !

Первые 2 года работы я был зеленый и самоуверенный )

А теперь красный и не уверенный в себе ??

З.Ы. не в обиду

[skyrage]

гыыы..24

Паяльником тоже ворочу !

 

А теперь красный и не уверенный в себе ??

З.Ы. не в обиду

 

а теперь я могу смотреть на твои рассуждения как на говно.

з.ы. без обид

[dr.Evil]

Естественно можешь!

Можно во всём видеть говно! Тут не от того на кого/чего смотришь зависит

[skyrage]

Естественно можешь!

Можно во всём видеть говно! Тут не от того на кого/чего смотришь зависит

 

Вот вот )

Самоирония это хорошо.

Таки удачи тебе на нашем неблагодарном поприще )

[dr.Evil]

skyrage

И вам не хворать ))

[scorcer]

ставьте admilink и делайте запуск браузеров\мессенджеров через гостевую учетку. месяца три уже ставлю всем подряд. не забудьте удалить обычные, старые ярлыки запуска браузеров. Не забудьте уточнить пользователю и браузеру папку в которую он может сохранять файлы.

месяца три уже ставлю всем подряд... пока тишина.

[ДДТ]

ставьте admilink и делайте запуск браузеров\мессенджеров через гостевую учетку. месяца три уже ставлю всем подряд. не забудьте удалить обычные, старые ярлыки запуска браузеров. Не забудьте уточнить пользователю и браузеру папку в которую он может сохранять файлы.

месяца три уже ставлю всем подряд... пока тишина.

"Слова не мальчика, но мужа!" © не помню кто сказал

 

 

Такой вопрос, возможно немного не в тему. Есть общая сетевая файлопомойка с полными правами у всех юзверей (копировать, удалять). Может быть конечно это не айс в плане безопасности, но так надо. Нужна прога которая бы вела подробный лог по пользованию этой сетевой шарой в сети. Кто и когда создал (удалил, изменил, сохранил, копировал) тот или иной файл, папку. Время, ip-компьютера (и/или сетевое имя), МАС-адрес, какие файлы изменялись/создавались.

Есть что-нить подобное?

[scorcer]

ОС указал бы.

для винды гуглоссылка.

[ДДТ]

scorcer

ОС - Винда от ХР до 7-ки.

Ссылки конечно хорошо, весь вечер пройдет в чтении материалов

 

Я думал кто-нить сталкивался с подобным и есть проверенное и надежное средство.

[Greench]

Сегодня ковырял комп очередного бедолаги. Новая разновидность попалась. Видимо подлецы читают форумы Мало того, что тварь прописывалась в реестре, так еще и в автозапуске сидел (правда всего лишь в общей автозагрузке, той, что в пуске. Но после первой зачистки больше туда не попадал. Может это был второй экземпляр вымогателя ). И до кучи, userinit.exe подменил собой. Т.е при зачистке реестра он для отвода глаз изменял в реестре запись с "Shell"="explorer.exe" на "Shell"="С:\Documents and Settings\All Users\Application Data\я_поганка.ехе", копировался по указанному пути с целевым именем и благополучно просил денег в очередной раз. Соответственно не спасали ни безопасный режим, ни он же с поддержкой командной строки. Операция проводилась под наркозом с Live_CD.

И винда зверской сборки. Но все обошлось и пациент ожил. Вот такая история. Может кому и поможет.

 

 

PS: у бедолаги стоит Avira Free с обновлениями недельной давности - хоть бы всхлипнула...

 

Дома MS Security Essential влет определил:

1. Категория: Программа-троян

Описание: бла-бла-бла...

Элементы: 
file:D:\Temp\22CC6C32.exe
file:D:\Temp\userinit.exe
file:D:\Temp\WWWWWcccccc.exe - эти игрались с userinit.exe

и 2. 
Категория: Программа-троян

Описание: бла-бла-бла...

Элементы: 
file:D:\Temp\igfxtray.exe - этот сидел в автозагрузке.

[scorcer]

ДДТ

т.е. условия такие: в сети куча неконтролируемых\непостоянных шар, и все друг другу пишут-стирают. Задача - отследить, кто, что и кому пишет стирает.

ответ: в бездоменной структуре такая задача стандартными средствами нерешаема. О нестандартных - ссылка повествует в достаточной мере.

 

есть вариант с системой мониторинга, но я имел дело только с линуксом. Десктопы посетить хоть раз придется по любому - клиента поставить.

add. я тут подумал.... если куча шар - конторе пох на безопасность. Не советую иметь дело с такими, огребешь кучу проблем без каких либо дивидендов. Лучше предложим им грамотный план по выходу из дурацкой ситуации.

add2. полумера - ставь винду и каспера, автоматически монтируй себе все\любые шары и ставь каспера постоянно сканить их.

 

Greench

не ново. респект за пост.