Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 45
где вы такие штуки находите(троянов)?
гуглил что-то экзотическое. потом по ссылка, потом сайт на народе и тут оно и появилось. самое обидно, что был нод с последними на тот момент базами — 5175 и промолчал. А вот уже 5176, если верит вирустоталу, уже детектят его.
База данных это слабое место всех антивирусов… надо алгоритм менять полностью
Обновления windows update потому что ставить надо.
Знаю, что на хабре такие посты не очень любят...
но все равно напишу
написал, потому что пока именно этот вариант не детектится многими антивирусами — следовательно могут быть проблемы. думаю люди, которым сегодня будут звонить знакомые и говорить: «У меня на красном фоне две порнокартинки появилось. Чо делать?» скажут спасибо. Так как стандартное — спросить код и номер, куда надо отправить и прислать человеку противоядие тут не поможет
и как же вы перейдете в любой каталог, если баннер висит на весь екран?..
как по мне есть более универсальный способ:
идем к другу или к подруге, вбиваем в гугл «4579304 5121»,
один из первых линков на otvety.google.ru, и там код: 34948493, 42195254…
как по мне есть более универсальный способ:
идем к другу или к подруге, вбиваем в гугл «4579304 5121»,
один из первых линков на otvety.google.ru, и там код: 34948493, 42195254…
Он не на весь экран. Даже Total Commander не блокировался.
коды не работают
попробуйте другие коды с гугла, 99% что какой то заработает…
сейчас уже поздно пробовать. когда появился я сразу полез на сайты, где эти коды есть. Те что были — не подошли. Да и потом вводить каждый раз код от руки то еще занятие. Не проще ли сразу расправиться с трояном раз и навсегда?
так я вам и не предлагал вводить код. я надеюсь что этот пост проиндексируется и будет меньше вопросов, от людей, которые поймали вирусяку…
80% кто попадается на такие вирусы (типа «скачайте драйвер для просмотра видео») — это пользователи, для которые пк — это возможность посидеть в чате \ вконтакИ \ других соц.сетях, и большинство из них даже незнаю как зайти
в реестр… так что ваш метод подходит под конкретный тип вируса, а поискать в гугле — и легче и универсальнее…
80% кто попадается на такие вирусы (типа «скачайте драйвер для просмотра видео») — это пользователи, для которые пк — это возможность посидеть в чате \ вконтакИ \ других соц.сетях, и большинство из них даже незнаю как зайти
в реестр… так что ваш метод подходит под конкретный тип вируса, а поискать в гугле — и легче и универсальнее…
Не работают никакие с гугла.
ой да ладно, там 100500 страниц, все что ли просмотрели?
вам не приходит в голову, что раз троян еще не всему антивирусами обнаруживается, то и кодов к нему может не быть?
То есть вы хотите сказать, что сами как раз все 100500 страниц просмотрели? Иначе откуда такая уверенность и статистика 99%?
За сим разговор завершаю.
За сим разговор завершаю.
не, по вашему вирусу не смотрел.
статистика по своему опыту, не один раз приходилось снимать блокеры, и на некоторых находил валидные коди на 10 страницах гугла…
redisko:
логично, что если вирус новый, тогда кодов и не найдете.
тогда стоит просто позвонить в тех. поддержку биллинга и вам скажут код.
статистика по своему опыту, не один раз приходилось снимать блокеры, и на некоторых находил валидные коди на 10 страницах гугла…
redisko:
логично, что если вирус новый, тогда кодов и не найдете.
тогда стоит просто позвонить в тех. поддержку биллинга и вам скажут код.
а ещё есть куча разных live CD в интеренте, которые позволят это сделать… Только надо не полениться и записать его на болванку
>>>>Переходим в каталог C:\Program Files\Common Files\Office\
не хорошо так писать т.к. например
У меня эта гадость сидела в C:\Program Files\QIP Infium\
не хорошо так писать т.к. например
У меня эта гадость сидела в C:\Program Files\QIP Infium\
прочитайте следущую строчку. файл так как же назывался?
нет, там было имя как для старого квипа назывался плагин проверки правописания, что-то такое…
а номер и текст для отправки совпадал?
так касперский ещё при первом запуске что-то удалил из папки квипа. в логах почему-то нет записи.
а вот что осталось от Trend Micro HijackThis v2.0.2
F2 — REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Skype Services\calc.exe
ни смс ни номеров не помню сразу же запустил HijackThis
а вот что осталось от Trend Micro HijackThis v2.0.2
F2 — REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Skype Services\calc.exe
ни смс ни номеров не помню сразу же запустил HijackThis
А картинка точно совпадала, с эротическими картинками :)
Мой прятался в кеше IE и в System Volume Information под именами из случайного набора символов.
Лучше напишите пост, как такую гадость поймать. Сижу без антивируса/фаервола. Такой блокировщик не видел ни разу.
Надо открывать все файлы, которые скидывают вам по аське с рассширениями scr, exe итп, при этом обязательно подтверждать при их открытии, что хотите записать что-то в реестр.
вы не поверите, 2 раз цепляю, никаких файлов не открывал, по плохим сайтам не ходил…
стоит касперский 8й с обновами.
венда всегда сама сасёт заплатки. браузер файрфокс, а ну являюсь не плохим админом в организации :)
стоит касперский 8й с обновами.
венда всегда сама сасёт заплатки. браузер файрфокс, а ну являюсь не плохим админом в организации :)
Точно такая же ситуация :) Только антивирус nod32 и браузер Хром. Тоже ничего не скачивал.
Повезло, оба раза винлоки хоть и не присутствовали в списках с кодами на сайтах антивирусов, но ловились однотипно.
* Перезагрузка в безопасный режим
* Поиск на системном диске файлов изменных не позднее сегодня-вчера(последней загрузки)
* Изменение расширения + отправка ноду
Один раз где-то в профиле сидел, другой раз в program files.
Повезло, оба раза винлоки хоть и не присутствовали в списках с кодами на сайтах антивирусов, но ловились однотипно.
* Перезагрузка в безопасный режим
* Поиск на системном диске файлов изменных не позднее сегодня-вчера(последней загрузки)
* Изменение расширения + отправка ноду
Один раз где-то в профиле сидел, другой раз в program files.
Рулетка.
Когда дело касается неплохого заработка, можно заморочиться и на эксплуатации новых уязвимостей и подгонкой кода, чтобы антивирусами не определялось.
Это не скрипт-киддис.
Когда дело касается неплохого заработка, можно заморочиться и на эксплуатации новых уязвимостей и подгонкой кода, чтобы антивирусами не определялось.
Это не скрипт-киддис.
Это поможет только от «детских» винлоков) нормальные фиг найдешь вручную и удалишь.
Нод как правило они вышибают на раз, попытке что-то запустить даже в безопасном режиме пресекают.
Вручную искать весьма проблемно порой — могут быть хитро спрятаны.
Сегодня делал как — по рукой был только еще один комп с Avira… просканировал весь винт на вирусы, что-то там нашлось, удалил… а сам то вирус не нашелся) в общем самым быстрым решением оказалось в инете найти код от этой херни и сканировать уже потом, когда все оживет.
Нод как правило они вышибают на раз, попытке что-то запустить даже в безопасном режиме пресекают.
Вручную искать весьма проблемно порой — могут быть хитро спрятаны.
Сегодня делал как — по рукой был только еще один комп с Avira… просканировал весь винт на вирусы, что-то там нашлось, удалил… а сам то вирус не нашелся) в общем самым быстрым решением оказалось в инете найти код от этой херни и сканировать уже потом, когда все оживет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Удаляем троян winlock