Кто попал на Trojan.Winlock

ur5imw написал :
ну дайте хоть одним глазком взглянуть!... где вы их берете?

А что, хочется
Обычно я их не беру, а убираю... , а на десктопе у меня LinuxMint, и подобное мне не грозит, по крайней мере в ближайшее время...

haramamburu написал :
после лечения компа от всяких "порнопоп",

Ну дайте хоть одним глазком взглянуть!.... Где вы их берете?

Я вылечился от такого троянчика.. Сносить винду не нужно, денег платить тем более не стоит.

haramamburu написал :
Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу.

Антивирю в любом случае нада знать точно что ветка изменяется вирусом, а не юзером /системой, а для этого нада вирь изловить и посмотреть, что конкретно и на что меняет/добавляет - иначе антивирь просто не даст возможности пользователю/системе вносить вполне легальные изменения .

Всегда, после лечения компа от всяких "порнопоп", дабы не лазить по реестру, запускаю утилитку от Каспера - ComboFix, кстати всегда только в конце.

2сварик В общем да, согласен. Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу. И по-моему осуществить мониторинг этой ветки реестра несложно, в принципе, avz возвращает этот параметр на умолчательный. А так да, конечно, мониторить все ветки реестра бессмысленно.

Ran_Dom написал :
антивирус изменения таких веток реестра должен отслеживать

Дело в том, что не только вирусы и другое вредоносное по вносят изменения в реестр - поэтому нада сперва вычленить изменения которые приводят к нежелательным последствиям, занести в базы и потом только отслеживать и предотвращать, особого смысла только в отслеживании нету.

koris написал :
и это возможно?

А почему нет?
Работаете себе, а после перезагрузки у Вас вуаля, всё так же как и было. Есть конечно много неудобств, чтоб что то сохранить или установить программу необходимы дополнительные манипуляции иначе при перезагрузке как и не было ничего. Лично мне правда не шибко верится в неуязвимость компьютера с такой штукой. Но некоторые так и работают, без антивируса но с подобной программой.

2RHAPSODY Ну, формально он прав, но мое мнение - антивирус изменения таких веток реестра должен отслеживать. Хорошо что все получилось исправить/вернуть.

2Ran_Dom да впадлу было просто убил врукопашную. без всяких там командных строк. кстати,как сказал мне наш админ,после того,как восстановил систему образом диска(ну и попутно высказав мне много и витиевато ) - это не вирус,а вредоносное ПО. и паучок его не отслеживает.

Лечил так:
WinXP
F8 Загрузка в безопасном режиме с поддержкой командной строки.
Загрузится Windows с черным окном консоли.
Вводим команду regedit, INTER
В редакторе реестра поиск следующей строчки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
справа выбираем "Shell", кликаем по нему левой кнопкой мыши,появится контекстное меню, выбираем-Изменить.
Здесь прописан путь к файлу вируса (типа c:бла бла\Temp\0.0150302630827.exe)
Заразу найти и выковырять.
Поменять значение параметра на то, что должно быть: explorer.exe или c:windows\explorer.exe

Больше года стоит основной системой Линукс (Винды тоже есть) и все эти бяки забыты как страшный сон - ни тебе флешечных вирусов, ни порнобаннеров.

koris написал :
это как?

По разному.

Я предпочитаю кнопку "да" в запросах обновления антивируса или системы.

to RHAPSODY
Dr Web весьма лояльно относится к такой заразе. Возьмите лучше avz, обновите его и проверьте комп.

Muxa написал :
Теперь ребутиться?

Это как?

TARLEV написал :
и 8-й месяц вообще без антивируса.

И это возможно?

Счастливые вы! Я года 2 как ничего серьёзного не цеплял, и 8-й месяц вообще без антивируса.

Кашпер.

2Vidis
А какой антивирус стоит у Вас?

Тоже вляпался в такую муйню, причем дважды в один день. Первый раз легко отделался, позвонил другу и описал окно блокировки, он мне сообщил пароль, комп разблокировал,просканировал, почистил, обновил антивирусник. И через 3 часа опять подхватил трояна, но более злючего, пришлось переустанавливать ось.

Ran_Dom написал :
проверить систему антивирусом.

Доктор веб его не видит.

Доброго времени суток всем.
Наиболее простое решение в вашей ситуации
1.Если включено восстановление системы, то загрузка с live-cd с поддержкой ERD Commander и восстановление предыдущего состояния системы из ближайшей резервной точки.

1. Если точек восстановления нет (ERD ничего не находит) то нужно запустить любую утилиту для работы с реестром Windows и загрузить файл C:\Windows\System32\config\software в куст реестра. Править нужно ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, правильное значение C:\Windows\system32\userinit.exe, (с запятой) если там находится что-то другое, то найти это в реестре и на диске и удалить, ну и вернуть правильное значение ключа winlogon. Перезагрузитесь. Если загрузка и запуск программ с жесткого диска возможен, то проверить систему антивирусом.

RHAPSODY написал :
буквально вчера поймал похожую хрень.

Ноги поотрывал бы тем, кто такое вытворяет. Но это на лохов, а жизнь портят всем. Проскакивают бяки через защиту, потом моск выносят. Под рукой всегда есть несколько лайв-сиди (раньше ставил парралельку и оттуда сносил . Очень много мест, куда могут прописаться. Было несколько раз, когда только полный формат и установка спасало. но всегда информацию сохраняю. Делим на разделы и в основном С только то, что установлено, а всю информацию переносим на другие диски. Перенос места локализации МД легко.
А еще если есть инфа важная - то внешние винты - спасение. у меня есть флеха8Гб и винт на 500 ГБ 2,5"от транссенд и прога на них- джетфлеш. автоматически сканирует и обновляет инфу. Сунул нажал на пипочку и обновил. Вытащил. Даже если будет снос- инфа сохраняется.

2TARLEV буквально вчера поймал похожую хрень. Только номер другой "161933172.ехе". Клава на ноуте не реагировала ни на что. Работало только Ctrl+Alt+Del Диспетчер задач. Причем все сначала было как у : FARAON7575, с "левым" кодом. Ребутнул систему-все пропало! Сразу запустил "паучка"- ни хрена не нашел. После повторного ребута эта фигня вылезла снова! Но теперь даже код не вводился-просто не активное окно! Значит-ся я запускаю систему в безопасном режиме, вхожу в проводнике на диск С, ищу все файлы, дата создания которых примерно совпадает с появлением гадости(время создания выставляю на 2 часа раньше-типа, может оно засало раньше, чем начало действовать), и в появившемся списке шукаю странные названия папок и файлов. Ну и нашел вышеуказанный. в папке 4 файла-1 большой, 3 маленьких. Всю папку удалил нахрен, и вот целый день уже ничего не происходит... правда в авторане висит этот процесс, ничего не делает, а в диспетчере задач ничего похожего нет. Может просто эта гадость прописала себя в реестр, а запустится не могет-не откуда?

Я не спец в софте, поэтому на абсолюную истину не претендую. Рассказал, как сам делал.

Сейчас у меня безлимит EGPRS пока халявный. Пользовался (да и сейчас никуда не делся) спутниковым,конечно.
Белимит,как я уже говорил-развращает-вот и я это понял.

Меня вообще вот уже давно интересует вопрос -а существует ли вообщке нормальный беспроводной интернет?
Спутниковый-цены на трафик неадекватные, EGPRS (который в любом случае нужен и для спутникового как исхзодящий канал) - скорость 2-6 килобайт \сек -это очень и очень грустно,хотя обещано 25-30 килобайт\сек (на деле же максимум -11 -15 килобайт\сек и то-только с 4 до 8 утра , днем падает, а вечером-(после 20-00) вообще любой интернет очень и очень плохо работает.
да ,и вот по статистике за 2.5 месяца удалось слить чуть менее 10 гигабайт , а на спутниковом-более 1.2 в месяц и никак не выходило.

2azus6 Извините за такой не скромный вопрос.А Вы раньше (а может и сейчас) спутниковым инетом не пользовались? Ник вроде знакомый и особенно Proxomitron.

Лучше поставьте себе Proxomitron -я вот уже очень давно забыл что в интернете вообще есть реклама и баннеры.

Не, я просто крайне редко ребутюсь.

Если зараза срабатывает только при ребуте может пройти ни одна неделя прежде чем узнаю.

Muxa написал :
Пойду позырю.

Шихаэль Мума написал :
Ждём через три часа.

Muxa написал :
Теперь ребутиться?

Пропал Muxa,наверно тоже подцепил.

расскажи какой самый опасный вирус на сегоднешний день и что он делает?)
ну хоть ссылку кинь, там где почитать можно...

Тупой пользователь - умудряеться полностью повесить виндовз, так же может сломать cdrom или floppy приводы, имеет функцию загрузки других более простых вирусов из интернета, при проникновении внутрь компьютера может сломать материнскую плату, процессор или другие компоненты ПК, являеться причиной ошибок во многих программах, и главное может мнгновенно перемещаться от компьютера к компьютеру без всяких линий связи и информационных носителей.

Полностью мультиплатформенный, включая виндовс всех версий, линукс, макось, БСД и кофеварки с ЦПУ. Одним из самых эффективных антивирусов против этой вредностной программы является лопата.

(с)пёрто

Походил, покликал по всем картам включая гугльмапся.

Теперь ребутиться?

Ждём через три часа.

AMA3OH написал :
Такая зверушка сидит на украинском сайте метепрогноза. при попытке увеличения карты местности с кликом мышки активизируется.

Пойду позырю.

AMA3OH написал :
Такая зверушка сидит на украинском сайте метепрогноза.

С таким же номером,любопытно глянуть.

2Владимир_С однако Вы фантазёр

Muxa написал :
Поэтому нефиг жалеть чайников, им надо сразу сообщать что они дураки которые сами нашли приключения на свою задницу, может хоть пару месяцев потом не будут совать свой "браузер" куда не нужно.

Рублём надо наказывать,вот тогда немного доходит до некоторых.
Ну а Winlock можно попытаться удалить самому,только нужно иметь LiveCD,загрузится с него и почистить кэш браузера.

TARLEV написал :
Текст на черном банере такой.

ВНИМАНИЕ!!
Вы просматривали гей-порно видео в течении трёх часов.
Время бесплатного просмотра истекло.

Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счёт аббонента Билайн
9670735778 на сумму 400руб.

После оплаты на квитанции Вы найдёте код активации.
Введите его в поле ниже и нажмите Enter.
Не платить не в коем случае. На чеках быть не может никаких кодов активации.

Такая зверушка сидит на украинском сайте метепрогноза. при попытке увеличения карты местности с кликом мышки активизируется. подловил. лайф-сиди спасет. веб-курент свежайший нужен.

В Windows7 есть программа обратной закачки вирусов в сеть.
Открывается окно: Вы хотите закачать вирус обратно в сеть?
Надо щелкнуть - Да.
Программа автоматически выкачивает вирус из компьютера и закачивает его обратно в интренет.
И не надо ничего платить.

FARAON7575 написал :
По моей логике должно прокатывать

Не, тут ручной брут не логичен.

TARLEV написал :
Но это чисто фарт

Обломали,а я уж загордился
По моей логике должно прокатывать,т.к создатель не может знать когда и от кого поступят эти 400р на счет ему,может другую квитанцию попробуете?а может только с киви катит?(мысли далекого от этого)

FARAON7575 написал :
пишет код неверный,вам дано 10 попыток и системе пипец будет,ввожу повторно тот же самый код-заставка ИСЧЕЗЛА

Да, есть такой приём. Но это чисто фарт. На пациенте вводил 3 раза подряд, не проканало.

TARLEV написал :
Не платить не в коем случае. На чеках быть не может никаких кодов активации.

Кореш словил эту муйню перед Новым Годом, звонили знакомому сисадмину, говорит кучу людей словили эту муть, надо чистить реестр (его слова, я не шарю), но у него нет времени и он зашит по самое не балуйся, числа 3-го заглянул я в гости к корешу, включил комп, он говорит бестолку-клава ни на что не реагирует, я увидел розовый экранчик, прочел что написано, включил логику: как чел узнает, что бабки перечислены, а на чеках никаких кодов активации нету? Моя мысль-развод на испуг загубить систему, стал рыскать по карманам ища хоть какую-нибудь платежку с аппарата оплаты мобильных и нэтовских услуг(у нас киви стоят), не нашел, чек нашел у сожительницы кореша на пополнение счета на 100р на мобилу, ввожу на заставке код операции из чека(11 цифр вроде), пишет код неверный, вам дано 10 попыток и системе пипец будет, ввожу повторно тот же самый код-заставка ИСЧЕЗЛА, кореш удивлён, чисто психологический развод-если ввели 2 раза 11 цифр без ошибок, а не разных, значит действительно пополнили счет на 400р.

Ким написал :
В тырнете заразу можно получить, как и в жизни, в местах где уверен что не получишь и такую что и знать не будешь

И как и в жизни можно увеличивать или уменьшать шансы на заражение.

Организационные и программные методы защиты не гарантируют безопасности, но существенно снижают опасность.

В компьютерах как и в прочей жизни, если ты подхватил заразу то в абсолютном большинстве случаев ты сам и виноват.

И если убеждать мирян в том что "защищайся, не защищайся - от этого ничего не зависит" то это увеличит опасность.

Поэтому нефиг жалеть чайников, им надо сразу сообщать что они дураки которые сами нашли приключения на свою задницу, может хоть пару месяцев потом не будут совать свой "браузер" куда не нужно.

TARLEV написал :
Да и хорош уже, Muxa придёт, продолжи спор на тему.

сварик написал :
какаго факта?

На сарказм 2Владимир_С о национальных принадлежностей вирусов и компьютеров.Да и хорош уже, Muxa придёт, продолжи спор на тему.

TARLEV написал :
Это было не хваставство, констатация факта.

Какаго факта?

сварик написал :
есть знакомы среди разработчиков антивирусов? спросите что они с молдавскими вирусами сделали

Это было не хваставство, констатация факта.

TARLEV написал :
Есть знакомые в спец службах?

Есть знакомы среди разработчиков антивирусов? Спросите что они с молдавскими вирусами сделали.

TARLEV написал :
Спросите что они сделали с этим 3М

Но на 3м свет клином не сошелся - мцст несколько процессоров и компьютеров на их основе выпускает...

сварик написал :
а как же эльбрус ?

Есть знакомые в спец службах? Спросите что они сделали с этим 3М.

TARLEV написал :
Несомненно есть вирусы написанные Молдаванами, но Российские компьютеры под сомнением

А как же эльбрус? Вроде как жив еще курилка

Владимир_С написал :
слабые молдавские вирусы никак не могут повредить мощные россиянские компьютеры,

Несомненно есть вирусы написанные Молдаванами, но Российские компьютеры под сомнением.

Викторыч написал :
ага, у меня приятель на спортэкспрессе словил