Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Онотроле Гость
|
26.01.2013 16:51 |
|
|
Могу только предположить, что причина в социально ориентированной гугловской рекламе, которая предлагается посетителю в зависимости от его интересов и последних запросов в поиске. У меня например идет реклама мебельных салонов. Если бы я в поиске интересовался бабами и порнухой, была бы предложена порнушная реклама с соответствующими прибамбасами.
|
|
Вернуться к началу |
|
|
|
|
rikitiki Ёжик
Возраст: 71 Стаж: 13 года 9 месяцев и 30 дней Сообщения: 8 Благодарности: 0/1
|
26.01.2013 16:59 |
|
|
Дон писал(а): | rikitiki писал(а): | Выслал в адрес Дон архив с вирусом и картинкой. |
элементарно снимается при загрузке компьютера в безопасном режиме с поддержкой командной строки.
|
Спасибо за ответ. Я в безопасном режиме пробовал, там клава и мышь тоже блокировались, а вот в безопасном режиме с поддержкой командной строки попробовать не догадался.
Но вот вопрос -почему он появился только у меня?
Онотроле
Возможно. До этого на странице minizona я безуспешно тыкал в стороку поиска IE наверху справа. Набрав абракадабру менял и на Google и на Яндекс, пытаясь вызвать эти поисковики. Но она не реагировала. Продолжала висеть страница minizona. Тогда ткнул ссылку на странице minizona-тут и выскочил баннер.
|
|
Вернуться к началу |
|
|
Онотроле Гость
|
26.01.2013 17:09 |
|
|
rikitiki
Я оповестил владельца сайта о проблеме. Он посмотрит скрипты на админском уровне. Пока не посещай этот сайт до ответа владельца сайта.
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 12 дней Сообщения: 1171 Благодарности: 780/579
|
26.01.2013 17:12 |
|
|
rikitiki
Хороший вопрос...
У меня с этого же образа всё нормально устанавливается даже если подключен интернет, и баннеры не выскакивают...
Учитывая то, что антивирус у вас не установлен поймаль локер вы можете на любом зараженном сайте, а подозревать будете минизону, так как сайт первый открывается при запуске браузера.
Без образа автозапуска UVS пока одни догадки... _________________ Не профи, но для любителя тоже неплохо...
|
|
Вернуться к началу |
|
|
rikitiki Ёжик
Возраст: 71 Стаж: 13 года 9 месяцев и 30 дней Сообщения: 8 Благодарности: 0/1
|
26.01.2013 17:36 |
|
|
Дон писал(а): | rikitiki
......
Без образа автозапуска UVS пока одни догадки... |
А мне компьютер опять заражать нужно? Ведь екзешник то я алкидом удалил. Или достаточно просто установить UVS.
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 12 дней Сообщения: 1171 Благодарности: 780/579
|
26.01.2013 17:44 |
|
|
UVS не требует установки, просто запустите его из архива (файл start.exe), затем выбираете "Запустить под текущим пользователем", затем в меню "Файл", "Сохранить полный образ автозапуска", полученный образ архивируете и прикрепляете к сообщению.
Локер запускать не требуется. _________________ Не профи, но для любителя тоже неплохо...
|
|
Вернуться к началу |
|
|
rikitiki Ёжик
Возраст: 71 Стаж: 13 года 9 месяцев и 30 дней Сообщения: 8 Благодарности: 0/1
|
26.01.2013 18:24 |
|
|
Дон
Выслал. Заодно проверил куреитом. Тот прошерстил папку windows 32, но вирусов не обнаружил.
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 12 дней Сообщения: 1171 Благодарности: 780/579
|
26.01.2013 18:57 |
|
|
rikitiki
Скопируйте скрипт, закройте все браузеры, запустите UVS под текущим пользователем, в меню "Скрипт" выберите "Выполнить скрипт из буфера обмена".
Скрипт удалит временные файлы, разблокирует диспетчер задач, сбросит сетевой каталог и перезагрузит компьютер.
О результатах отпишитесь.
Код: |
;uVS v3.77.1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
regt 1
regt 3
regt 23
regt 2
deltmp
winsockreset
restart |
! | glax24 @ 26.01.2013 19:29: | Убрал delnfr так как есть вероятность не правильной работы. | _________________ Не профи, но для любителя тоже неплохо...
|
|
Вернуться к началу |
|
|
rikitiki Ёжик
Возраст: 71 Стаж: 13 года 9 месяцев и 30 дней Сообщения: 8 Благодарности: 0/1
|
26.01.2013 19:12 |
|
|
Спасибо.
Сейчас ппоробую. Только сперва ShadowUser установлю. Через него активирую вирус. А то может он уже сдох давно. Затем снова переустановлю теневой режим.
Добавлено спустя 1 час 15 минут 19 секунд:
Дон
Проверил сначала через ShadowUser? а затем без него.
В общем баннер исчез со страницы minizona ещё до выполнения скрипта. Возможно предупреждение Онотроле повлияло на владельцев сайта. Однако адресная строка и строка поиска так и остались мёртвыми, как до выполнения скрипта так и после. Окольными путями через ссылки минизоны можно выйти на поисковики, а вот через адресную строку и поиск нет.
|
|
Вернуться к началу |
|
|
Онотроле Гость
|
27.01.2013 2:51 |
|
|
rikitiki писал(а): | Возможно предупреждение Онотроле повлияло на владельцев сайта. | Предупреждение еще не достигло глаз владельца и он о нем еще не знает. Так что с сайтом никто ничего не делал.
|
|
Вернуться к началу |
|
|
SergM Леопард
Стаж: 16 лет 1 месяц и 15 дней Сообщения: 152 Благодарности: 85/77 Откуда: C-Петербург
|
27.01.2013 3:48 |
|
|
[quote="Дон"] rikitiki писал(а): |
Отправьте пожалуйста образ автозапуска UVS, так проще будет обнаружить откуда грузится данный локер. |
Хосты у заразы в Германии Скрытый текст
В ОС он сидит примерно тут
HKLM\System\CCS\Services\Tcpip\..\{92A3B123-300E-4C95-93C6-22893BB340CA}: NameServer = 37.157.255.150
HKLM\System\CS1\Services\Tcpip\..\{92A3B123-300E-4C95-93C6-22893BB340CA}: NameServer = 37.157.255.150
HKLM\System\CS2\Services\Tcpip\..\{92A3B123-300E-4C95-93C6-22893BB340CA}: NameServer = 37.157.255.150
|
|
Вернуться к началу |
|
|
Anton_kram Ёжик
Стаж: 14 года 3 месяца и 6 дней Сообщения: 5 Благодарности: 3/1
|
27.01.2013 20:13 |
|
|
Только что опять подцепил что-то подобное. В прошлый раз было подозрение, а теперь знаю точно, какой сайт был открыт. Это Радикал. Опять изменились настройки ДНС. ДНС исправил, кеш, куки, темп почистил. Перезагрузил. Всё ОК.
|
|
Вернуться к началу |
|
|
Legione Ёжик
Стаж: 12 года 1 месяц и 18 дней Сообщения: 6 Благодарности: 0/1
|
30.01.2013 15:53 |
|
|
Anton_kram писал(а): | Только что опять подцепил что-то подобное. В прошлый раз было подозрение, а теперь знаю точно, какой сайт был открыт. Это Радикал. Опять изменились настройки ДНС. ДНС исправил, кеш, куки, темп почистил. Перезагрузил. Всё ОК. |
А у меня не получилось!
|
|
Вернуться к началу |
|
|
SergM Леопард
Стаж: 16 лет 1 месяц и 15 дней Сообщения: 152 Благодарности: 85/77 Откуда: C-Петербург
|
30.01.2013 18:33 |
|
|
Legione
А почему вы с форумa DrWeb ушли? Заходите в свою тему и сделайте снова логи HijackThis и лог команды ipconfig
|
|
Вернуться к началу |
|
|
Legione Ёжик
Стаж: 12 года 1 месяц и 18 дней Сообщения: 6 Благодарности: 0/1
|
30.01.2013 18:48 |
|
|
SergM писал(а): | Legione
А почему вы с форумa DrWeb ушли? Заходите в свою тему и сделайте снова логи HijackThis и лог команды ipconfig |
Не ушёл, я на два фронта работаю.
Сейчас с помощью Vit Registry Fix 12 почистил историю всех браузеров. Окно пока не появляется.
Добавлено спустя 10 минут 38 секунд:
пока не появляется!!!!
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 623261 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|