gau1954 ТС
Частый гость
Карма +333/-0
 Offline
Пол: 
Сообщений: 199
Стерлитамак
ОДА - таких не было у меня.
Стерлитамак ИЖ-ОДА 2126 030
|
 |
« : 09 Марта 2010, 15:01:35 » |
|
Админу.
Не знаю куда положить про трояна, напишу здесь, а вы уж сами решите куда переместить.
Новый гад появился, антивиры пока не берут, пробовал рескуе дисками, авира, каспер и веб, послал Вебу фото и как убрал.
Живёт в папке программ файлес, экзэшник, перезагрузку блоркирует, только резет. Если видим имя гада в Диспетчере задач (а надо для этого при здоровом компьютере посмотреть, узнать и выучить перечень запущенных приложений, как он выглядит), то:
- По F8 грузимся в безопасный режим
- удалаем враждебный exe-файл из папки Program Files
- через выполнить запускаем msconfig и в автозапуск снимаем с него крыжик.
- Не закрывая окно выполняем regedit и поиском ищем прописи указав полное название файла с ехе, удаляем ссылки,
- закрываем регедит и мсконфиг,
- перезагружаемся,
- всё.
Удачи.
|
|
|
|
« Последнее редактирование: 24 Сентября 2012, 10:16:38 от OVA »
|
Записан
|
ОДА 2126-03 х/б., двс-2106, кпп-Омск, ГБО, гидрокомпенсаторы, гидронатяжитель, автокорректор уоз "Силыч", бсз, котёл, ЦЗ, сигналка "Пантера", подогрев седушек, цвет Океан, антикор, антигравий, прицеп. Умный торгует тем, что умеет Глупый торгует тем, что имеет.  |
|
|
Водила
Ветеран форума
Карма +714/-0
Offline
Пол:
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
|
« Ответ #1 : 09 Марта 2010, 15:27:35 » |
|
А пробовал AVZом его выявлять?
|
|
|
|
|
Записан
|
|
|
|
Andruishka
Монстр Форума
Мастер
Карма +802/-0
Offline
Пол:
Сообщений: 12382
Москва
Был трижды ижевод ©
Москва Peugeot 207
|
|
« Ответ #2 : 09 Марта 2010, 15:48:06 » |
|
<..> удалаем из папки Programm Files <..>
Это настоящее название папки? Или это копия с ошибкой в названии, создаваемая специально доля вируса? |
|
|
|
|
Записан
|
ИЖ — это победа разума над тщеславием... ©
|
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14738
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
 Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #3 : 09 Марта 2010, 15:52:06 » |
|
Если еще и сам додумался, то молодец  Эта ситуация напомнила мне курсовик по расчету простого стабилизатора напряжения на стабилитроне. Тогда, самостоятельно рассчитав это несложное устройство "по понятиям", я был горд за себя. И вдвойне был горд, когда тот же метод расчета попался мне впоследствии в очень серьезной книжке. А по теме - да, это универсальный метод "ловли блох". Не всегда прокатывает с первого раза, но весьма успешен, если локализовать exe-файл. Учти, что иногда вирусные процессы не видны в списке процессов Тогда вычисление виновного исполняемого файла уже не столь тривиально. Однако, в качестве отправной точки, сия "лабораторная работа" весьма недурна и дает представление о механизмах автозапуска процессов в винде. |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет  |
|
|
gau1954 ТС
Частый гость
Карма +333/-0
Offline
Пол:
Сообщений: 199
Стерлитамак
ОДА - таких не было у меня.
Стерлитамак ИЖ-ОДА 2126 030
|
|
« Ответ #4 : 10 Марта 2010, 10:26:34 » |
|
Не хотел и не хочу показаться шибко умным и крутым, про вирус кинул для всех кто попал и как убить просто для того, что б не платили бабло гадам.
Писал по простому, без заумных фраз.
Все вирусы екзэшники, файл-ссылки для их запуска разные, например инф и где будет спрятан после старта то же по разному, кто то в длл полезет, а кто то в ини.
Пишу по Русски, что б яснее было в названии.
Хотите читайте и если поймали то лечите так, а хотите по своему. Я авторитета не наживаю, я сам по себе.
Всё.
|
|
|
|
|
Записан
|
ОДА 2126-03 х/б., двс-2106, кпп-Омск, ГБО, гидрокомпенсаторы, гидронатяжитель, автокорректор уоз "Силыч", бсз, котёл, ЦЗ, сигналка "Пантера", подогрев седушек, цвет Океан, антикор, антигравий, прицеп. Умный торгует тем, что умеет Глупый торгует тем, что имеет. |
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14738
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #5 : 10 Марта 2010, 10:40:58 » |
|
Да все правильно сделал. Если еще кому-то это поможет, то разве это - не повод для радости?  |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет |
|
|
Водила
Ветеран форума
Карма +714/-0
Offline
Пол:
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
 |
« Ответ #6 : 10 Марта 2010, 11:01:34 » |
|
gаu,да всё нормально! Описал,объяснил всё понятным языком. А про АVZ я спросил,чтоб узнать,опознаёт ли он найденный тобою вирь или неа. АVZ просто адаптирован для поиска хитрых вирей,потому и спросил,без подвохов. Как-то пару месяцев назад тоже завалил виря врукопашную,правда чистил из-под Линукса |
|
|
|
|
Записан
|
|
|
|
gau1954 ТС
Частый гость
Карма +333/-0
Offline
Пол:
Сообщений: 199
Стерлитамак
ОДА - таких не было у меня.
Стерлитамак ИЖ-ОДА 2126 030
|
|
« Ответ #7 : 10 Марта 2010, 12:54:49 » |
|
Из под Линукс можно, но сложнее найти переходы по которым он выплывет из своей папки-конуры. Лучше или в безопасном режиме или отключить в мсконфиг автозагрузки и по их ссылкам поглядеть в реестре, что делает и для чего нужен тот или иной файл. Про AVZ не скажу, просто у меня нет. Надо будет скачать, глянуть.
Ладно, всё в порядке, я не обидчивый.
Будем жить.
PS
Я выкладывал катину которую этот гад вешает на стол но админ затёр - порнуха
Малость подтёр, кладу снова, по виду определить легче.
Да простит меня админ.
админ.
|
|
|
« Последнее редактирование: 10 Марта 2010, 13:05:49 от gau1954 »
|
Записан
|
ОДА 2126-03 х/б., двс-2106, кпп-Омск, ГБО, гидрокомпенсаторы, гидронатяжитель, автокорректор уоз "Силыч", бсз, котёл, ЦЗ, сигналка "Пантера", подогрев седушек, цвет Океан, антикор, антигравий, прицеп. Умный торгует тем, что умеет Глупый торгует тем, что имеет. |
|
|
Nick_Par
Мастер
Ветеран форума
Карма +1176/-0
Offline
Пол:
Сообщений: 4612
Брянск (32)
Патриот 05-2013
|
|
« Ответ #8 : 26 Марта 2010, 11:56:57 » |
|
Вчера у друзей точно такой же проявился. Файл plugin.exe лежит в Program Files. Удалиться не позволяет. Сначала переименовал, а потом после перезагрузки удалил. Запускается из автозагрузки в msconfig. Отключает редактирование реестра и вызов диспетчера задач. Откуда подцепили не известно. Касперский не помешал. (или его заставили подчиниться) В истории был интересный сайт vp(пи-пи)de.com. Кто посещал неизвестно. ) Мама кивает на дочку и наоборот.
|
|
|
|
|
Записан
|
Удачи, Николай.  Я помню! Я горжусь! |
|
|
|
вареник
Гость
|
|
« Ответ #9 : 26 Марта 2010, 13:56:06 » |
|
Решил глянуть после прочтения на диск С. Смотрю, какой то странный файл лежит прямо на поверхности. C:\j8EHxgCU.dll Проверил его Касперским, ничего. Ну ничего, так ничего, всё равно он на поверхности лежать не имеет права. В корзину его р-р-раз. И понеслась!!!
Касперский радостно виляя хвостом раскрыл целую шпионскую сеть.
Вот что оказалось : Trojan-Ransom.Win32.Hexzone.iqi
|
|
|
|
« Последнее редактирование: 26 Марта 2010, 13:57:00 от вареник »
|
Записан
|
|
|
|
ПаВло
Ветеран форума
Карма +816/-3
Offline
Пол:
Сообщений: 7080
СССР ЮМЗ-6КЛ
|
|
« Ответ #10 : 26 Марта 2010, 14:05:47 » |
|
пройдитесь Dr Web Cure It -ом, даже представить не можете, сколько он интересного найдет после Касперского..
|
|
|
|
|
Записан
|
Не люблю две вещи: 1) бардак 2) наводить порядок
|
|
|
Николай Валентинович
Карма +1797/-7
Offline
Пол:
Сообщений: 10218
Москва,южнопортовый район.
Иж 2126-030,цвет гранат,БСЗ(был)Lachetti хетч 1.6
Москва Chevrolet Lacetti хетчбэк
|
|
« Ответ #11 : 26 Марта 2010, 14:32:59 » |
|
У товарища как-то раз такая же история была,ничего не помогало.
Для начала мы сменили дату и время,а потом уже начали искать.
где нашли не скажу,не помню.Главное всё исправили.
|
|
|
|
« Последнее редактирование: 26 Марта 2010, 14:33:15 от Николай Валентинович »
|
Записан
|
СООБЩЕНИЕ ЗАГОВОРЕНО МОДЕРИРОВАНИЕ ДАННОГО СООБЩЕНИЯ ВЕДЁТ К ПОЛОВОМУ БЕССИЛИЮ И НЕИЗЛЕЧИМЫМ ВЕНЕРИЧЕСКИМ ЗАБОЛЕВАНИЯМ skype:taraskin8  |
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14738
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #12 : 26 Марта 2010, 15:07:45 » |
|
Холивар тут нам не устраивайте. Нет совершенных программ. Иначе не было бы их столько.
|
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет |
|
|
|
