-
/1247620-2885312134_1e80bd8362_o.jpg)
Помогите УБИТЬ заразу!
Где то подхватил что-то вроде вирусаТеги:
Balancer
Жопа, блин. Жена в Махачкале, пытаясь скачать музыку для детского утренника, словила какой-то вид Winblocker'а.
Ни один стандартный способ не прокатывает. Удалённое решение проблемы при наличии на том конце человека, далёкого от потрохов компьютера - то ещё веселье.
Похоже, нужно сносить ей Windows нафиг вообще и приучать к Linux'у.
Если Вы абонент билайн отправьте смс с текстом 9629837826 400 на номер 3116
Ни один стандартный способ не прокатывает. Удалённое решение проблемы при наличии на том конце человека, далёкого от потрохов компьютера - то ещё веселье.
Похоже, нужно сносить ей Windows нафиг вообще и приучать к Linux'у.
инфо
инструменты
Balancer> Ни один стандартный способ не прокатывает.
И утилита от дрвеба?
И утилита от дрвеба?
Как показали исследования, те кто занимается утренней гимнастикой умирают гораздо реже, потому что их гораздо меньше.
ahs> И утилита от дрвеба?
Блокировка происходит сразу после диалога с выбором пользователя. Никаких программ поставить нельзя.
...
Сейчас мы удалённо загрузились в мой Linux и пытаемемся примонтировать Windows-раздел, чтобы посмотреть, что там к чему.
Блокировка происходит сразу после диалога с выбором пользователя. Никаких программ поставить нельзя.
...
Сейчас мы удалённо загрузились в мой Linux и пытаемемся примонтировать Windows-раздел, чтобы посмотреть, что там к чему.
Andrey_Kr
Balancer> Жопа, блин. Жена в Махачкале, пытаясь скачать музыку для детского утренника, словила какой-то вид Winblocker'а.
У DrWeb есть специальный раздел на сайте Dr.Web® - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.. В нем по сочетанию номер+текст можно подобрать код разблокировки. В данном случае ничего не предлагает, есть вариант только для номера 3116
Идеально конечно получить доступ к виндовому реестру, загрузившись с ERD, или хотя бы почистить системный и пользовательский темп
У DrWeb есть специальный раздел на сайте Dr.Web® - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.. В нем по сочетанию номер+текст можно подобрать код разблокировки. В данном случае ничего не предлагает, есть вариант только для номера 3116
Попробуйте следующие коды разблокировки:
1. svipper
Идеально конечно получить доступ к виндовому реестру, загрузившись с ERD, или хотя бы почистить системный и пользовательский темп
Аналогичный раздел на сайте касперсокго предлагает больше вариантов Kaspersky Deblocker
Цитировать не буду, потому что есть и нецензурный вариант.
Цитировать не буду, потому что есть и нецензурный вариант.
Andrey_Kr> У DrWeb есть специальный раздел на сайте
Первым делом было проверено
>svipper
Проверяли этот вариант. И с Касперского, «svipper777» и «нахуй»
Andrey_Kr> Идеально конечно получить доступ к виндовому реестру
Ещё идеальнее, если бы я был рядом
Пока сумел научить жену в mc примонтировать Windows-раздел из Linux и запустить поиск *.exe в C:\WINDOWS
Закончит поиск - попробуем по дате изменения найти сегодняшние exe-шники и прибить.
Первым делом было проверено
>svipper
Проверяли этот вариант. И с Касперского, «svipper777» и «нахуй»
Andrey_Kr> Идеально конечно получить доступ к виндовому реестру
Ещё идеальнее, если бы я был рядом
Пока сумел научить жену в mc примонтировать Windows-раздел из Linux и запустить поиск *.exe в C:\WINDOWS
Закончит поиск - попробуем по дате изменения найти сегодняшние exe-шники и прибить.
Ещё интересен механизм, как она эту заразу словила. Работала только из Opera. Никаких .exe не запускала (на этот счёт она обучена).
Говорит, только собралась качать музыку - и выскочил баннер.
Говорит, только собралась качать музыку - и выскочил баннер.
Balancer> Пока сумел научить жену в mc примонтировать Windows-раздел из Linux и запустить поиск *.exe в C:\WINDOWS
Balancer> Закончит поиск - попробуем по дате изменения найти сегодняшние exe-шники и прибить.
Тоже вариант, только надо как минимум искать dll, exe, scr, sys
Balancer> Закончит поиск - попробуем по дате изменения найти сегодняшние exe-шники и прибить.
Тоже вариант, только надо как минимум искать dll, exe, scr, sys
Andrey_Kr> Тоже вариант, только надо как минимум искать dll, exe, scr, sys
Поиск ничего не дал, видимо, я плохо объяснил, тогда объяснил, как отсортировать в каталоге WINDOWS файлы по дате модификации.
Были обнаружены сегодняшние (точнее, уже вчерашние) lmkrnl.exe и krnl.exe. Сейчас проверяем system32 по тому же алгоритму
Поиск ничего не дал, видимо, я плохо объяснил, тогда объяснил, как отсортировать в каталоге WINDOWS файлы по дате модификации.
Были обнаружены сегодняшние (точнее, уже вчерашние) lmkrnl.exe и krnl.exe. Сейчас проверяем system32 по тому же алгоритму
Balancer> Ещё интересен механизм, как она эту заразу словила. Работала только из Opera. Никаких .exe не запускала (на этот счёт она обучена).
Видать эксплоит, хотя отстал я немного от жизни, раньше подавляющее большинство в виде исполняемых файлов было
Balancer> Были обнаружены сегодняшние (точнее, уже вчерашние) lmkrnl.exe и krnl.exe.
lmkrnl.exe наверняка винлок
Видать эксплоит, хотя отстал я немного от жизни, раньше подавляющее большинство в виде исполняемых файлов было
Balancer> Были обнаружены сегодняшние (точнее, уже вчерашние) lmkrnl.exe и krnl.exe.
lmkrnl.exe наверняка винлок
Andrey_Kr> lmkrnl.exe наверняка винлок
Да и krnl.exe тоже
В общем, после убирания этих файлов и перезагрузки залочка пропала.
Но троянец явно подгадил в реестре: «пыталась контрл алт делет нажать вылезло окно с ошибкой - диспетчер задач отключен администратором».
Сейчас пытаемся сделать Диспетчер задач отключен администратором. Решение проблемы.
Да и krnl.exe тоже
В общем, после убирания этих файлов и перезагрузки залочка пропала.
Но троянец явно подгадил в реестре: «пыталась контрл алт делет нажать вылезло окно с ошибкой - диспетчер задач отключен администратором».
Сейчас пытаемся сделать Диспетчер задач отключен администратором. Решение проблемы.
Balancer> Говорит, только собралась качать музыку - и выскочил баннер.
иногда достаточно послушать фрагмент "тамошней" игралкой
и вот Восстановление работы системы с помощью AVZ | Заметки Сис.Админа тоже лечат последствия
иногда достаточно послушать фрагмент "тамошней" игралкой
и вот Восстановление работы системы с помощью AVZ | Заметки Сис.Админа тоже лечат последствия
Голый десктоп с обоями, ни иконок, ни меню Пуск, всё заблокировано, в т.ч. Win-R или Win-E... Пытаемся что-то найти через безопасный режим
Balancer> Но троянец явно подгадил в реестре: «пыталась контрл алт делет нажать вылезло окно с ошибкой - диспетчер задач отключен администратором».
Судя по названию файла набор проблем такой же как в этом случае http://216.246.91.178/~virusinf/showthread.php?p=748540
Судя по названию файла набор проблем такой же как в этом случае http://216.246.91.178/~virusinf/showthread.php?p=748540
hnick> иногда достаточно послушать фрагмент "тамошней" игралкой
В смысле предварительно инсталлировав игралку? Так в том-то и дело, что скилл у жены достаточен, чтобы понять, что инсталляция игралки - это запуск чужого исполняемого файла
...
В Documents and Settings последний скачанный exe-шник - инсталляшка Skype от 10-го декабря.
В смысле предварительно инсталлировав игралку? Так в том-то и дело, что скилл у жены достаточен, чтобы понять, что инсталляция игралки - это запуск чужого исполняемого файла
...
В Documents and Settings последний скачанный exe-шник - инсталляшка Skype от 10-го декабря.
Andrey_Kr> Судя по названию файла набор проблем такой же как в этом случае
Наверное. Но там отчасти проще - LiveCD был
Наверное. Но там отчасти проще - LiveCD был
Жопа. В безопасном режиме explorer тоже не работает. И диспетчер задач с Win-шоткатами не работают.
Balancer> Жопа. В безопасном режиме explorer тоже не работает. И диспетчер задач с Win-шоткатами не работают.
ну попробуй софтинку Восстановление работы системы с помощью AVZ | Заметки Сис.Админа - хуже уже не будет
ну попробуй софтинку Восстановление работы системы с помощью AVZ | Заметки Сис.Админа - хуже уже не будет
hnick> ну попробуй софтинку
«Но как?» © мужики с русалкой
«Но как?» © мужики с русалкой
Balancer> «Но как?» © мужики с русалкой
ах ну да
ах ну да
Balancer> Жопа. В безопасном режиме explorer тоже не работает. И диспетчер задач с Win-шоткатами не работают.
Мда, вот похоже тот же самый вирус Баннер, блокирующий винду - Компьютерный форум
Есть еще дурацкая идея - воспроизвести у себя ситуацию, в смысле пройтись по тем же ссылкам и попробовать заполучить исполняемый файл, а дальше проанализировать его поведение в песочницах типа этих:
Мда, вот похоже тот же самый вирус Баннер, блокирующий винду - Компьютерный форум
Есть еще дурацкая идея - воспроизвести у себя ситуацию, в смысле пройтись по тем же ссылкам и попробовать заполучить исполняемый файл, а дальше проанализировать его поведение в песочницах типа этих:
Anubis: Analyzing Unknown Binaries
Anubis is a tool for analyzing malware. To this end, the binary executable is run in an emulated environment and its (security-relevant) actions are monitored. This makes it the ideal tool for quickly getting an understanding of the purpose of an unknown binary. // anubis.iseclab.org
Andrey_Kr> Есть еще дурацкая идея - воспроизвести у себя ситуацию
У меня нет сейчас ненужной винды
...
Идея поместить cmd.exe под именем krnl.exe и lmkrnl.exe с треском провалилась. Никаких изменений.
У меня нет сейчас ненужной винды
...
Идея поместить cmd.exe под именем krnl.exe и lmkrnl.exe с треском провалилась. Никаких изменений.
Реестр Windows - самое идиотское изобретение последнего времени.
Были бы это обычные конфиги - никаких бы проблем не было, блин :-/
Были бы это обычные конфиги - никаких бы проблем не было, блин :-/
Balancer> Идея поместить cmd.exe под именем krnl.exe и lmkrnl.exe с треском провалилась. Никаких изменений.
Судя по случаям в инете в качестве шелла прописывается lmkrnl.exe
А если попробовать подсунуть explorer.exe с именем lmkrnl.exe?
Ну и судя по всему там куча всякого гуана садится в систему, которое пострадавшие удаляли при помощи антивирусов, т.е. надо уделить внимание не только свежим exe
Судя по случаям в инете в качестве шелла прописывается lmkrnl.exe
lmkrnl.exe Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
lmkrnl.exe Файл system.ini C:\Windows\system.ini, boot, shell
А если попробовать подсунуть explorer.exe с именем lmkrnl.exe?
Ну и судя по всему там куча всякого гуана садится в систему, которое пострадавшие удаляли при помощи антивирусов, т.е. надо уделить внимание не только свежим exe
Andrey_Kr> Судя по случаям в инете в качестве шелла прописывается lmkrnl.exe
Не помогло.
Но жена, буквально, с пары кликов поняла, как подключить Wi-Fi в Ubuntu, так что пока работает под Linux. Завтра попробую прокинуть с её ноута VPN через NAT, чтобы по нему зайти на ноут и уже нормально поковыряться с консоли. А пока - пойду спать...
Не помогло.
Но жена, буквально, с пары кликов поняла, как подключить Wi-Fi в Ubuntu, так что пока работает под Linux. Завтра попробую прокинуть с её ноута VPN через NAT, чтобы по нему зайти на ноут и уже нормально поковыряться с консоли. А пока - пойду спать...
Copyright © Balancer 1997..2018
Создано 24.01.2010
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 24.01.2010
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
