3zh1k, А если просит не отправить СМС с текстом хххххххххх на номер хххх, а тупо положить 500 рублей на номер 8-960-ххх-хх-хх? ИМХО, не прокатит.... Придется по старинке, ручками вычищать... [Ответ]

Нашёл раз такого ручками, удалил, нормально загрузился. Стало интересно где и как такую хрень можно поймать. Захожу в браузер, сессия с вкладками осталась. У клиента спрашиваю "на каком?", "где-то здесь" говорит. Тыкаю и .... Был реально поражён, когда на моих глазах nod32 с последними базами про3бал вспышку. Не, он так-то чёта там увидел, сказал, мол, изолировал. Но в итоге "Windows заблокирован". Пришлось повторять процедуру)) [Ответ]

3zh1k, черт, когда же я увижу это собственными глазами... [Ответ]

возвращаясь к старой теме.
Две статьи:Оценка вредоносности файлов с помощью песочниц: раз и два
Для тех кому лень поднимать виртуальную машину и ковыряться в ней потом. И для тех, у кого нету партизаневского упорства и знаний ассемблера [Ответ]

было 2 интересных случая с касперским.
В первом он просто пропустил смс блокер, хз может свежий был слишком и в базах его не было. Был он на www.playground.ru, в каком-то разделе с gta4.
Написал в поддержку каспера, через неделю проверил, он всё там же) Написал снова..)
Потом вроде его потёрли с самого сайта.

А второй вообще жестокий: дело было на XP
Тоже каспер, тоже блокер. Причём шибко умный. Как только начинаешь его вычищать он сам пропадает, и нигде его уже нет.
А самое прикольное что перед тем как залезть в комп он отрубает защиту каспера, он становится серым. И не даёт его включить. И не то что включить, а даже переустановить даже с чисткой реестра.
Просто физически при установке отсутствует кнопка "далее" (скрин)
Изображения
  [Ответ]

Dimsys, очень-очень интересно. ждем премьеры в наших интернетах. [Ответ]

Сообщение от Dimsys:
Просто физически при установке отсутствует кнопка "далее" (скрин)

Надо было попробовать включить кнопку через Window Scanner от InqSoft [Ответ]

Вчера лечил подобное. Баннер на весь раб стол, просящий положить денег на номер телефона. Скорее всего пользователь словил его на сайте qrat.ru. При открытии этого сайта через ie7 (входил пользователь) и через firefox возникает окошко с надписью "требуется обновить....". Таки там этот баннер и цепляется. Лечил... . Сначала загрузился в флешки, там линукс+каспер, не нашёл вирь... . Мультизагрузочного диска с виндой не было, поэтому поставил винду на соседний раздел (без форматирования), уже оттуда ручками снёс все подозрительные файлы по дате создания. Потом загрузился с диска - пациента и оттуда через avz4 дочистил через менеджер автозапуска. Почему был пойман этот баннер... . Изначально nod32 v4 стал писать, что через 14 дней ключ устареет, пользователь полез искать ключ в сеть, там попал на этот сайт и щёлкнул по вышеупомянутому оконцу. [Ответ]

просьба положить деньги на телефон, безопасные режимы блочит, деспечер пуск и тд и тп тоже. что скажете? [Ответ]

HammerSac, удаление баннера, попробуй. [Ответ]

Сообщение от HammerSac:
просьба положить деньги на телефон, безопасные режимы блочит, деспечер пуск и тд и тп тоже. что скажете?

Таких зверьков не встречал, чтобы безопасные режимы блочили. Если бы встретил - вынул бы винт, подключил к другому компу в качестве дополнительного, а там дальше по стандартной схеме - искать непонятные exe'шники со свежей датой создания (-1 месяц от сегодняшнего дня) + анализ автозапуска (в первую очередь в реестре). [Ответ]

Spectator, есть разновидности на уровне BIOS POST, о разновидностях данного вируса много инфы в сети. [Ответ]

Сообщение от Twister83:
Spectator, есть разновидности на уровне BIOS POST, о разновидностях данного вируса много инфы в сети.

Приводи ссылку. А я тебе пока напомню что BIOS - это Read Only область памяти. [Ответ]

Сообщение от Spectator:
Приводи ссылку. А я тебе пока напомню что BIOS - это Read Only область памяти.

и конечно всем известно что у BIOS есть настройки которые хранятся в энергонезависимом ОЗУ которые легко поменять например прямым доступом в ОЗУ, правда слегка защищенном по контрольной сумме самой же программой конфигурирования этих настроек BIOS. [Ответ]

Сообщение от Xelas:
и конечно всем известно что у BIOS есть настройки которые хранятся в энергонезависимом ОЗУ которые легко поменять например прямым доступом в ОЗУ, правда слегка защищенном по контрольной сумме самой же программой конфигурирования этих настроек BIOS.

И из которых загрузиться нельзя, поскольку эта информация просто используется BIOS'ом для загрузки.
Учите матчасть. [Ответ]

Spectator, не сам БИОС, заражение идет на уровне MBR (загрузочного сектора),

Из известных:
Trojan-Ransom.Boot.Seftad
Trojan-Ransom.Win32.Mbro

Текст блокера появляется сразу после загрузки ПК. Блокер производит проверку текущей даты и времени с эталонным значением (из БИОС). Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер. Далле начинает работать цикл проверки введенного текста. [Ответ]

Сообщение от Twister83:
Spectator, не сам БИОС, заражение идет на уровне MBR (загрузочного сектора),

Какое отношение MBR имеет к BIOS?))) [Ответ]

Сообщение от Spectator:
Какое отношение MBR имеет к BIOS?)))

Никакое. Первоначально не так выразился. Не будем тему уже засорят. Ждем ответа топикстартера по решению проблемы. [Ответ]

ПЛЯТЬ!!! СЛОВИЛ. БЛИН. ***************************

кому интересно .... эта гадость тут
http://www.sonniki.net.ru/month_goro/jun_8.html

а может и не там..

"Пришлите 500 р на 8-911-135-21-69" ...


Изображения
[Ответ]

.. чета не знаю как с этой херью бороцца .. придется винду сносить ...
... А нод 32 фуфло! ))) [Ответ]

Михей, LiveCD нет с антивирусами и соответствующими утилитами?
Можно попробовать Kaspersky WindowsUnlocker, проверить через Kaspersky Virus Removal Tool.

В крайнем случае можно задать вопрос на avs-911.ru [Ответ]

толку от этого лайв сиди ... один хрен в реестре ченить намудрил (троян) ...
... об одном сожалею ... чертил а автокаде .. походу день был потрачен зря. ********** [Ответ]

Михей, как хочешь. Были случаи, помогал диск Kaspersky Rescue Disk 10. [Ответ]

Сообщение от Михей:
толку от этого лайв сиди ... один хрен в реестре ченить намудрил (троян) ...
... об одном сожалею ... чертил а автокаде .. походу день был потрачен зря. ********

если не сильно надо комп,и есть второй с инетом,почитай здесь подробно расписывали где,что и как.мне помогло.тока надо

Сообщение от Twister83:
Михей, LiveCD

или вот это.винда заработает,но тупит по страшному ,долечивать надо будет [Ответ]

Сообщение от Михей:
.. чета не знаю как с этой херью бороцца .. придется винду сносить ...
... А нод 32 фуфло! )))

Да ладно, это как раз ерунда. Я такую хрень раз десять сносил (не у себя). Смотришь процессы, что вызывающее непонятки поиском пробиваешь, если дата создания явно несоответствующая - удаляешь. Если дата не помогает - по именам ищешь. [Ответ]

Михей, не надо винду сносить, всё за 5 минут убирается.
1. В папке All users/Application data удалить файлик вида хххххххх.exe, ххххххххх- буквы ицифры, находится легко по дате создания
2. В реестре в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значения
параметра Shell на explorer.exe
параметра Userinit на C:\Windows\system32\userinit.exe,
3. C:\Windows\system32 - ищем файлик что-то типа 1234EF.exe, удаляем userinit.exe(у него дата создания будет свежей), 1234EF.exe переименовываем в userinit.exe - всё, можно перезагружаться. Само собой, всё это проделываем, загрузившись c LiveCD, я использую ErdCommander. [Ответ]

Сообщение от В.В.Путин:
Михей, не надо винду сносить, всё за 5 минут убирается.
1. В папке All users/Application data удалить файлик вида хххххххх.exe, ххххххххх- буквы ицифры, находится легко по дате создания
2. В реестре в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значения
параметра Shell на explorer.exe
параметра Userinit на C:\Windows\system32\userinit.exe,
3. C:\Windows\system32 - ищем файлик что-то типа 1234EF.exe, удаляем userinit.exe(у него дата создания будет свежей), 1234EF.exe переименовываем в userinit.exe - всё, можно перезагружаться. Само собой, всё это проделываем, загрузившись c LiveCD, я использую ErdCommander.

Безопасного режима хватит вполне. Тока ты описываешь борьбу со вполне конкретным вирусняком.) А их таких до хрена и больше. [Ответ]

Сообщение от Spectator:
Безопасного режима хватит вполне. Тока ты описываешь борьбу со вполне конкретным вирусняком.) А их таких до хрена и больше.

Этот способ подходит к тому, что на скрине. Кстати, в безопасном режиме большинство встреченных мною баннеров тоже "вылазили". [Ответ]

Сообщение от Михей:
.. чета не знаю как с этой херью бороцца .. придется винду сносить ...
... А нод 32 фуфло! )))

Как сказал один мой коллега "Нет неудаляющихся баннеров, есть xуeвые мастера". [Ответ]

Сообщение от atlas:
Как сказал один мой коллега "Нет неудаляющихся баннеров, есть xуeвые мастера".

Каждый занимается своим делом ... пускай ваш Коллега хуево мастерит ... а я по старинке, проверенным способом ))) [Ответ]