autoua
×
Autoua.netФорумВирішення побутових проблем

Зацепил злую виряку на ХР (+)

V.I.P **
Киев
Сообщения: 12463
С нами с 20.09.2001

Зацепил злую виряку на ХР (+)
      13 сентября 2005 в 13:01 Гілками


Система потихоньку валится, перемещаются и кодируются папки (я так думаю)
при выходе предлагает отправить код для пополнения счета Киевстар на мыло gsmcoders@walla.net

Заражение прошло после запуска закачаного файла (ссылка мелькнула на Гала-чате)
(закачивал не я и не знаю что и откуда). В это время работал Касперский (со вчерашним обновлением) + родной Фаэрволл ХР.
Никто не ругался.

Может кто знает чего

Я собираюсь на формат винта, но вдруг кто знает лекарство


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
странный писатель ***
Киев
Сообщения: 17817
С нами с 08.08.2004

Re: Зацепил злую виряку на ХР (+) [Re: maksym]
      13 сентября 2005 в 15:34 Гілками

Похоже на поделку наших местных деятелей...

Просит заявы в милицию, канэшна...

А вообще, если нет опыта борьбы с подобной фигней, то надо скопировать все важные данные и переставить все нафиг..

Змінено Поппель (15:36 13/09/2005)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
опытный писатель ***
Киев
Сообщения: 1248
С нами с 06.03.2003

Re: Зацепил злую виряку на ХР (+) [Re: maksym]
      13 сентября 2005 в 17:30 Гілками

Видел я такое, тоже чел с галачата подцепил, весь реестр скрипт правит. Административных прав у тебя нет. После загрузки в безопасном режиме надо грохнуть кое-какие процессы (не помню как называется) Далее регедит с дискетки запускаешь - ну и ручками правишь. Короче гемор еще тот, переустановить винду намного проще ИМХО. Самое интересное, что не существет такого домена -walla.net

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
странный писатель ***
Киев
Сообщения: 17817
С нами с 08.08.2004

Re: Зацепил злую виряку на ХР (+) [Re: SergeyB]
      13 сентября 2005 в 17:46 Гілками

В ответ на:

Самое интересное, что не существет такого домена -walla.net




Есть-с


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
опытный писатель ***
Киев
Сообщения: 1248
С нами с 06.03.2003

Re: Зацепил злую виряку на ХР (+) [Re: Поппель]
      13 сентября 2005 в 18:01 Гілками

таки да, есть, чета я не туда смотрел

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
СуперСтар **
43 года (21 год за рулем), Киев
Сообщения: 4317
С нами с 24.06.2003

Re: Зацепил злую виряку на ХР (+) [Re: maksym]
      13 сентября 2005 в 18:12 Гілками

В ответ на:


Система потихоньку валится, перемещаются и кодируются папки (я так думаю)
при выходе предлагает отправить код для пополнения счета Киевстар на мыло gsmcoders@walla.net

Заражение прошло после запуска закачаного файла (ссылка мелькнула на Гала-чате)
(закачивал не я и не знаю что и откуда). В это время работал Касперский (со вчерашним обновлением) + родной Фаэрволл ХР.
Никто не ругался.

Может кто знает чего

Я собираюсь на формат винта, но вдруг кто знает лекарство




Надо посмотреть что за процесс висит незнакомый. А потом посмотреть откуда стартует. Я таких несколько пристрелил руками без антивирусов.
Специально для этого написал спец программулинку, которая регистрирует процессы, и отслеживает появление новых. Гемор только с тем, что пока все процессы нужные зарегистрируешь у себя - надоедает. Зато потом "левые" сразу видно.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Супер писатель! ***
46 лет за рулем, Киев
Сообщения: 3573
С нами с 16.08.2002

Re: вот кое-что [Re: maksym]
      14 сентября 2005 в 09:08 Гілками

один из наших умельцев рекомендует
1-й зтап.
Для начала зайдите в пункт реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - там
хранят свои хвосты все проги (ну почти), которые автоматически загружаются
при вкл Винды. 99% вирусов делают то же самое. Вспомнив все нормальные
программы, методом исключений найдете запись зловрденого произведения
хакерского исскуства и прибьете ее.
Далее. Перерываете весь реестр на предмет наличия записей в др. разделах и
прибиваете их.
затем следует очередь жесткого диска. Где-то (и не в одном месте!) находятся
базы врага.
Когда Вы их грохнете не перезагружайте машину!!! а плавным движением руки
выдерните шнур из розетки (вдруг в ОЗУ хранится бомба и при норм. выкл.
запишется на диск?). Если опосля перезагрузки слово на панели задач исчезло,
то делаем репейр ХР. 45-60 мин. Приступаем ко 2-му этапу.
Этап 2.
Делаем хороший спам для умного хакера или просто высылаем вирус оному, тему
сообщения желательно выбрать слезивую и жалостливую, шоб быстрее открыл, а
не думал над размером и не проверял, (жалко, если из инет-кафе работает).
Собсна все. Можно еще вслед напутствие послать по типу "гы-гы-гы, ламер,
гы-гы-гы!!!" или любое другое, по вкусу.

Надеюсь, все будет ОК.

Дополнение По поводу п.1 стоит обратить внимание не только на секцию RUN, но и в секцию
старта служб виндовых, там тоже "радости" бывают:)


Если будут вопросы задавайте, я задам, мне ответят, я отвечу.

Змінено solo2 (09:09 14/09/2005)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Украинский националист ***
Киев
Сообщения: 19281
С нами с 15.11.2003

А еще лучше обратиться к специалистам. :) [Re: Поппель]
      14 сентября 2005 в 09:48 Гілками

Смысл все переустанавливать, если можно просто выловить эту дрянь?

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P **
Киев
Сообщения: 12463
С нами с 20.09.2001

Re: А еще лучше обратиться к специалистам. :) [Re: adrenalin]
      14 сентября 2005 в 11:58 Гілками


Все
снес систему и начал заново

Вирус я вроде выбил из памяти и реестра
но он поразносил системные файля по папкам и закодировал их
явно надо внешнее лекарство для собирания всего в зад

вот я и решил, что format с: - лучшее лекарство


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
энтузиаст **
53 года, Киев
Сообщения: 362
С нами с 01.06.2005

Re: А еще лучше обратиться к специалистам. :) [Re: maksym]
      15 сентября 2005 в 12:47 Гілками

Боролись и мы всем клубом с этой какой)))
та же проблема


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Autoua.netФорумВирішення побутових проблем
Додаткова інформація
1 користувачів і 92 що побажали залишитися невідомими читають цей форум.

Модератор:  AlMat, doctor_b, moderator, Outdriver 

Роздрукувати всю тему

Права
      Ви не можете створювати нові теми
      Ви не можете відповідати на повідомлення
      HTML дозволений
      UBBCode дозволений

Рейтинг:
Переглядів теми: 2513

Оціните цю тему

Перейти в

Правила конференції | Календар | FAQ | Карта розділу | Мобільна версія