О порнобаннерах, Спасение компьютеров и не только...

Мне мать однажды позвонила с криком о том, что поймала порнобанер. Но не в этом беда, беда в том, что порнобанер был пойман на ноуте директора школы, с которого она выходила в интернет пока замещала директора на время отпуска))) и самое главное там "все нужные программы и документы"... где-то через пол часика я отдал компьютер в нужном виде моей любимой матери с наказом не смотреть порно на рабочем месте)))

я тож поймал бяку когда хотел скачать ксс.
Открылась страничка и через пара минут 2 красавца.
увы у меня была вторая система (одна рабочая\вторая игровая чисто) и все в порядке %)

зЫ если что ливсд был рядом)

Раз уж пошла такая пьянка...

Вот заебло ковырятся в реестре. Заебло и все тут.
Немножко аутоматизации...


чегонибудьлатиницей.reg


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


Можно экспортом в том-же ерд, например. Но это не все. Гаццкие гады заменяют диспетчер ака taskmgr, и собсно винлогон. И в дллкэше тоже. Иногда и сам explorer.exe. Батник на авто_замену файлов, думаю, ни у кого вопроса состряпать не вызовет.

Вот теперь все. Небутовые локеры действительно убираются за время, необходимое для загрузки с лайвсиди.

Это сообщение отредактировал Gandalf - 1.05.2012 - 19:53

это конечно помогало раньше, но сейчас новые баннеры, они эту часть ветки не трогают, поэтому руками приходится поискать вредные файлы, ну и соответственно поудалять ветки автозапуска на те самые екзешники.

"...так. откройте брузер, да этот - с Лисой. наберите теперь "реферат "раннее творчество Горького" скачать". Хорошо. Теперь смотрим..."

интересно, никто не ришился проверить?..=))

Согалсен. И темболее загружать и пользоваться лайвСД. Меня по началу привлекали эти банеры тем что очень интересно они не давали нормальных инструментов для работы. Приходилось заморачиваться надолго и сильно, было интересно. А щас лентяй стал.

Был такой случай, больше всего убила его фраза после третьей неудачной попытки, когда он заплатил уже 1500 рублей - "и тут я почувствовал, что что то здесь не то"!!! Я чуть под стол не сполз.

Люди, подскажите где можно поймать этих двух красавцев?
Мы с моим компьютером их не боимся. Просто посмотреть хочется. Столько рекламы им сделали вашими постами.

" Есть многое на свете, друг Горацио Что и не снилось нашим мудрецам" Гамлет © Шекспир

иной пользователь даже на грамотно защищённой машине может сотворить такое.... это шедевр - поэтому повторить не получится

Это сообщение отредактировал UuuhTy - 2.05.2012 - 08:27

навеяло воспоминание:


что за день-то такой? прямо день открытых дверей в АйТи! - в унисон думали и Эникейщик, сидевший в серверной, и охранник на Вахте...

градообразующее предприятие опосля продажи его зарубежным инвесторам сподобилось озаботиться компьютерным обеспечением и наняло для этих дел Эникейщика. Был создан аж специальный отдел - Информационно-Компьютерных Систем, так и стал Эникейщик человеком ИКС (x-man). в связи с чем в его ведении оказался единственный на всю область цветной лазерный принтер формата A3 (Xerox) и соответствующая машина под это. Свято место пусто не бывает, этим начали пользоваться те кто мог позвонить кому-нить из ИТР, а то и директорам. В итоге в кабинет "X" потянулись ходоки.

с утра заглянул отец Павел - иерей местного храма, ему понадобились некоторые афиши. пока на компьютере изыскивались картинки из интернета и готовился вектор для печати - подошел пастор Георгий из Дома молитвы ЕХБ. озвучив что ему требовалось он воспользовался гостеприимством Эникейщика и заварил себе кофейку. к милому собранию присоединился и прибывший имам мечети с двумя талибами из школы при мечети - им потребовались шаблоны диплома для выпускников, имам-хатибов. к ужасу Эникейщика, местному Ребе в тот день как обычно потребовалось проверить электронную почту (а нормальный тырнет был опять-таки только на предприятии). Вся компания как в приговорке: шесть прорабов - один раб удобно расположилась в кабинете Эникейщика. Все были при параде, черная клобука мило смотрелась между желтой накидкой и костюмами. Дело спросилось,завязалась беседа....

внезапно милый шебет посетителей прекратился ... Эникейщик осторожно обернулся и через плечо увидел открытую дверь. В двери стоял, изредко наведывающийся на комбинат - Генеральный директор. Молча заглянув за дверь он вслух прочитал табличку "ка-би-нет ИКС".
- вы что тут замышляете, а? Мировой заговор?
...

© UuuhTy





Это сообщение отредактировал UuuhTy - 2.05.2012 - 12:03

Тоже раз ловил.Нашел где сидит эта бяка.Удалять себя не давала,нашел в ней файл в котором было прописано количество запусков 999,причём оно не уменьшалось,зато дало исправить на 0 и после этого успешно в мусорку.

По моему уже все почти научились бороться с этой нечестью

ну что за народ. под вайном запускать надо ослика - и сольется тебе :-) винлокера, конечно, тоже под вайном придется стартовать, причем вручную. Если не будет работать - придется смотреть в вайновский реестр и подсыпать недостающих библиотек. чего не сделаешь ради тренда.

Друзья, подскажите неопытному, как можно убить эту нечисть без Live CD?
А то в безопасном режиме - тот же порнобаннер... и никакие варианты не прокатывают...

Мой метод: Первый раздел "НЖМД" (30-70Гб) под ОС, оставшееся пространство - под доки, рабстол, downloads.. Т е. почти весь профиль пользователя суётся на второй раздел. ОС обновляется, ставятся нужные дрова, софт и защита. При наличии второго физического накопителя туда заводятся бекапы, подкачка и временный каталог. В "System Volume Information" второго раздела или диска суётся образ системного раздела (Acronis True Image), после чего обрубается доступ к этому каталогу. Можно и на DVD такой образ закинуть. В результате можно за 3-5 минут вернуть ОС, не трогая документов пользователя (на которые надо немедленно натравить антивирь, или тщательно прошерстить файловым менеджером..)
Shadow defender-у тоже не доверяю почему-то.

Это сообщение отредактировал Smolny - 2.05.2012 - 20:11

это тады надо ставить на комп воторой осью какую-нить Убунту и загрузчик через GRUB сделать... получится наподобии спасательного жилета - если что не так - загружаться в нее и из-под нее чикать все злачные места. а LiveCd не такое уж и страшное... погугли, скачай, нарежь на ненужную флэшку и положи где-нить ... ищи что-нить с ERD ...

ну еще можно поизвращаться с установочным диском самой Винды - там есть режим командная строка через нее можно открыть реестр, подключить куст пользователя из профайла... но это немного похоже на пломбирование зубов через уретру...

Это сообщение отредактировал UuuhTy - 3.05.2012 - 11:46

А Live CD то чем не угодило?

а вдруг на машинке нет CD\DVD привода, вот и боятся... а с флэшки многие и не могут настроить запись образа и загрузку..

Это сообщение отредактировал UuuhTy - 3.05.2012 - 14:55

поставил себе в закладки, а то мало ли , в этих делах я чайник

Баян, но в тему:

Trojan.Winlock угрожает арабским пользователям шариатским судом

Аналитики антивирусной лаборатории компании «Доктор Веб» зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились их модификации для зарубежных пользователей. Одна из модификаций Trojan.Winlock.5416 имеет весьма любопытное визуальное оформление.


Эта версия блокировщика выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет.

Специалисты компании «Доктор Веб» отмечают, что это — первый известный им образец троянца-блокировщика на арабском языке. Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа.

© Сергей и Марина Бондаренко, 3DNews

Trojan.Winlock угрожает арабским пользователям шариатским судом

Это сообщение отредактировал UuuhTy - 3.05.2012 - 16:24

а вот и они - возмутители спокойствия...

Trojan.Winlock.4549

Это сообщение отредактировал UuuhTy - 3.05.2012 - 16:28

Дык как-то непонятно, этот LiveCD бутовские локеры устраняет или нет? А то я как-то по старинке - ось переустанавливаю.

Устраняют,во всяком случае я так и снёс эту гадость,потом Dr.Web CureIt почистил усё....

тоже лечил таких, чего уж. правда не верится что эникейщик на память помнит где можео сходу похватить подобное, да еще и именно с голубыми допами - там то много вариантов

обычно даже не смотрим что за "ересь там", просто на автомате делаем все как в рассказе... %99 заразы мрет, оставшиеся - это загрузочные локеры, с ними разговор особый... да и по несколько раз на дню если делать то действительно запоминаешь что и где...

Это сообщение отредактировал UuuhTy - 4.05.2012 - 13:07