Более опасная версия старой конячки

[HellMercenariess]

Здравствуйте, опять подцепил.
Свежеобновленная Авира незаметила "подарка" без системных кнопок и висящего ПоверхВсех, а также имеються нововведения:
1 Постоянно изменяет разрешение экрана на малое
2 Блокирует запуск РегЕдита
3 Создает ощущение подвешенности, рендомно что то работает
а что то нет... хотя на самом деле - окошко, где нужно выбрать страну
(Доступно Россия и Украина) для уточнения номера куда нужно смску отправить работает отлично)
4 Полностью съедает антивирус(отличие от прошлой версии !)

Примечательно что вылазит из RegOrganaizer, хотя может и совпадение,
но все же будьте осторожны с этой программой.

Сейчас пишу с другого компьютера, ломаю голову как бы ту штуковину отловить, и посмотреть что оно есть из себя.

Какая вероятность что Dr.Web ее не заметит ?

Код очень здорово разрушительный, постоянно пробует что то писать в память соответсвенно выскакивают таблички с эррорами.

И вот еще идея есть - можно утилитку сделать что бы каждый ЕХЕ-файл сканировать на один только параметер - Is StayOnTop Mode ?
Сами только антивирусы не очень эффективны против такой заразы.

[Utkin]

Цитата:

Сообщение от HellMercenariess

Какая вероятность что Dr.Web ее не заметит ?

Низкая, не находят также Cure It, Касперский и AVG.

Цитата:

Код очень здорово разрушительный, постоянно пробует что то писать в память соответсвенно выскакивают таблички с эррорами.

Ну скорее всего он не разрушительный, а уже поврежденный - здоровая бацила работает без глюков . Может у Вас восстановление системы отключено? Вот она прописаться туда и не может, потому и плачет эрорами.

Цитата:

И вот еще идея есть - можно утилитку сделать что бы каждый ЕХЕ-файл сканировать на один только параметер - Is StayOnTop Mode ?

Ну не знаю, я блокировал такую вещь исскуственной ошибкой - копировал большую кучу файлов из которого несколько уже не существовало. Естественно ОСь ругалась (на что не видно - окошко же требует бабла ).
Жмешь на перезагрузку - окно исчезает и ждет пока ты урегулируешь вопрос с копированием файла, а если ты его не урегулируешь, то перезагрузка не происходит. Есть предложение посылать сообщение о сворачивание работы.
А, да про диспетчер задач - "Диспетчер задач отключен администратором". И это при том, что администратором являюсь я . Я под ним уже так давно был, что пароль не сразу вспомнил.

Цитата:

Сами только антивирусы не очень эффективны против такой заразы.

Дык это обычно и не вирусы совсем , так плагин к эксплореру или опере, надстройка над флешем и пр.

ЗЫ. А как же рекламные лозунги про эвристический анализ, коллективный разум и пр. фигню?

Цитата:

4 Полностью съедает антивирус(отличие от прошлой версии !)

Пользуйтесь более скромными антивирусами, чтобы были менее распиаренными

[HellMercenariess]

Не знаю что делать, совсем руки опускаються...
На той винде есть сертификат безопасности Оперы, через который я в кошелек Вэбмани заходил, Как его импортировать никто не знает...

Ничего сделать с той байдой не получаеться, она прекрасно работает и в Безопасном режиме.
Пробовал установить Dr.Web, в безопасном режиме пишет что отключен доступ к Инсталлеру, в обычном ничего не происходит после клика на нем. А вот когда в папку с касперским захожу - выкидает на рабочий стол
Вместо любой, программы запускаеться жаждущее окошко или ничего не происходит.

С этой винды есть доступ к папкам того виндовса, вот я думал может там какие то dll'ки перезаписать ?
Только не знаю какие, и там второй SP2 а здесь первый, так можно напороть что та винда вообще не запуститься.

[Utkin]

Попробуй отключить плагины к опере и эксплореру.

[bush007]

Здарова камрады
Сегодня гонял эту шнягу
убить совсем не удалось, только с переустановкой винды .
однако заметил вот что (мож не только я один) --
1. Это гуано создает еще одного пользователя, суперадмина с паролем.(это как раз дыра размером с дреноут в винде, позволяющая захват прав на машине, сделано в майкрософт аля "Боьлшой брат следит за тобой")
2. Даже если вы работали под админом и пассвордом, права нового товарищща больше.
3. Создает эта тварь папки темп в виндовс, документ&сеттинг.
4.КуреИт от дохтора веба находить семь троянов. удаляет. после перезагрузки все по-новому.
Побоялся я что при переустановки винды останется подарок (народ просил сохранить файло,фотки и т.д.)
В итоге удалил с акроникса корень Цэ, папульку виндовс, программ_файлс, всех юзеров с документ&сеттинг, все кроме папки с рабочим столом, где и были нужные доки и фотки. (просмотрел все пути, обращая на дату создания папок, если в декабре изменена- в топку).
поставил венду. все.
большое зы--- для тех кто в танке, советующих "надо лечить а не переставлять форточку"-- офтопов сюда не надо, а полные пути залежей этой твари милости просим. а также средство удаления оного из системы безболезненно.
зы-зы-- на др.вебе утилита генераци пароля к этому подарку не работает.
всем легкого похмелья

[uuu99950]

Чего то мужики, как то вы неубедительно боролись...

Ну кто-ж так делает ?

Вторая ОС была у вас ? Из под которой можно было загрузиться ?

Или загрузочный CD-ром был у вас ? Гмер запускали ?

Как боролись-то вообще ? Если вирус работал как процесс или как драйвер - то их было бы видно в Gmer-е, даже если эти драйверы или процессы "hidden"

Если вирус прилепил свою библиотеку (например как расширение проводника, или расширение еще чего-нибудь) - то переименование файла библиотеки из под другой копии Виндоус - решит проблему (сделает эту библиотеку не загружаемой).

Если вирус сработал, как сейчас порно-информеры прицепляются
- файл java-script передают на ваш комп, и этот java-script исполняется...

Например, у меня в Mozilla Firefox порно-информеры подменяют файл Мозиллы, с которого начинает свою работу браузер:

В Мозилле это - файл "prefs.js". То надо этот файл назад заменить на рабочий, или в Мозилле аварийно срубить задачу диспетчером процессов.

Мозилла спросит: восстановить аварийно завершенную сессию ?
Я отвечаю "Нет, начни новую". И Мозилла лечит файл "prefs.js"

Я думаю, если для Оперы аварийно срубить задачу - то она тоже предложит начать новую сессию.

[uuu99950]

Прям читаю, и дивлюсь

...Создает черную дыру... В которой все и пропадает...
Создает еще одного пользователя...

Да вы че, мужики ? ))) Из под другой операционной системы все созданные пользователи - будут фиолетово. Из под другой ОС вы будете смотреть только с папками, и файлами.

Возможен вариант, когда вредоносный файл будет залочен путем использования прав NTFS. Как образец такого лочения, можно посмотреть какие NTFS-права назначены на файл флэш-плеера Macromed (один файлик у них не хочет удаляться даже из под другой ОС, пока не снимешь NTFS-права "все запрещено".

Кстати, в Gmer есть и функция удаления файлов. Гмер удаляет их не моргнув глазом, невзирая на то, какие там были назначены на файл NTFS-права Видать настоящего мастера - ничем не остановишь !

[Пепел Феникса]

там информеры уже иные.

не браузерные а системные.

триста ОС на одном диске?
не нужно такого барахла.

загрузочный диск...ну тут я соглашусь, но лучше с убунтой чтоль.

Цитата:

Да вы че, мужики ? ))) Из под другой операционной системы все созданные пользователи - будут фиолетово. Из под другой ОС вы будете смотреть только с папками, и файлами.

опять вопрос о трехстах ОС.
наф оно надо?
лучше удобство чем триста ОС.
тем более открою секрет, что это соседняя ОС тоже может пострадать.

[uuu99950]

Не триста ОС, а две всего. При помощи Acronis True Image делается посекторная копия всего системного логического диска.

И разворачивается эта копия - на каком-нибудь другом логическом диске. Минут за 20-25 можно и копию в файл слить, и на другой логический диск развернуть эту копию из файла Акрониса.

[uuu99950]

"тем более открою секрет, что это соседняя ОС тоже может пострадать"

Открою встречный секрет: все изготавливают загрузочный CD при помощи этого же Акрониса. А на винчестере Акронис создает зону, недоступную для Windows. При помощи этой спрятанной зоны, и своего загрузочного CD, я восстановил системный логический диск C, даже когда низкоуровневым форматированием убил партиции на диске.

В результате убиения партиций - становятся недоступны сразу все логические диски, а не только один.

Все равно - поднял Акронисом партиции за те же 20 минут. Все вернулось в исходное работоспособное состояние.

Так что, скачивайте Acronis, и учитесь пользоваться его возможностями.