обнаружена нелицензионная виндовс

2 Июн 2009
2,489
0
36
Лапти
#24
Ну подобные гадости разные бывают..
Мне попадалась (коллега поймала)..
1. Сменил дату/время на месяц назад.
2. В безопасном прогнал CureIt и FVZ(+скрипт для него)..
прошло с неделю.. пока не замечен больше..
если чесна, то куреит-говно. лучше каспером.
сталкивался с подобым раз 5. помогали коды на сайте др.веба

---------- Добавлено в 21:20 ---------- Предыдущее сообщение было написано в 21:16 ----------

тока ща увидел, что тема из раскопок.
в чеке оплаты только "одно и то же" может быть номер получателя. либо не ведитесь, либо подбирайте из исходных данных.
 
7 Ноя 2009
664
0
16
в гетто
#25
Чушь какую то пишите.
Грузитесь в консоль восстановления и удаляете лишние папки из корня профиля юзера. Потом ребут и вот вам снова рабочий стол... или подшаманить реестр и поставить эксплоер снова шелом.

Для профилактики: Запретите юзеру менять менять шел, отключите обработку автозагрузки
 

ARNOLD

Модератор
30 Май 2009
2,620
1
38
тут
#26
Грузитесь в консоль восстановления и удаляете лишние папки из корня профиля юзера. Потом ребут и вот вам снова рабочий стол... или подшаманить реестр и поставить эксплоер снова шелом.
Муторней и больше возни... Проще переставить дату в Биосе, загрузиться и прогнать антивирусом...

Для профилактики: Запретите юзеру менять менять шел, отключите обработку автозагрузки
А вот это лишним не будет...
 

VSedoi

Заблокирован
1 Дек 2009
1,608
0
36
#27
гыы:grin: а че про bootice никто не слышал??

---------- Добавлено в 22:14 ---------- Предыдущее сообщение было написано в 22:12 ----------

если чесна, то куреит-говно. лучше каспером.
сталкивался с подобым раз 5. помогали коды на сайте др.веба
а причем тут курейт если говно сидит в загрузочной записи??:pardon:
 
18 Фев 2010
535
6
18
114
#30
у меня своя методика действий при слове блокировщика.
метода только для win2k-win2k3, хр (с семеркой не пробовал)
грузимся с ERD-диска, правим реестер - ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ПРАВИЛЬНОЕ значение ключа Userinit должно иметь значение C:\WINDOWS\system32\userinit.exe,
именно так, вместе с запятой в конце.

если ето не так - правим. только запомнить текущее значение, так как пройдя по тому пути (обычно C:\Documents and Settings\All Users\Application Data) найдете заразу которую удалить.

обычно блокер оставляет оригинальный файл userinit.exe не зараженным, но переименовывает в чето вида 2bc34g458.exe

дальше открываем папку system32, смотрим размер файла userinit.exe он
должен иметь размер 26 килобайт. если не так, то этот файл удаляем, а затем переименовываем файл вида 2bc34g458.exe в userinit.exe, либо копируем с установочного диска.

перегружаемся.

ЗЫЖ с MBR блокерами пока не встречался... к счастью
 
#31
В большинстве случаев пользователи сами виноваты. Сами в здравом уме и при ясной памяти скачивают данный вирус (кторый на сайтах маскируется под баннер типа "обновите браузер или антивирус или флэш плеер и т.д.) и разрешают ему запуститься на своем компьютере. Поэтому несколько профилактических рекомендаций:
- ВСЕГДА (!!!) смотрите куда уводит ссылка, по которой вы хотите перейти.
- Если предлагают обновить флешплеер (например), лучше не кликайте по предложенной ссылке, а сходите на оф. сайт Adobe Http://adobe.com и загрузите оттуда. Такая же методика с антивирусами, браузерами и т.д. ВСЕГДА (!!!) качайте софт и обновления только с официальных сайтов разработчиков!
- Будте внимательны! часто нехорошие ресурсы "маскируются". например, вам предлагают зайти на чью-то страничку ВКонтаке, но если приглядеться внимательно, то адрес этого сайта не www.vkontakte.ru, а www_vkontakite_ru (вместо _ точка) или что-то подобное похожее по написанию.
- Не нажимайте "Да" в любом случае! Внимательно читайте все всплывающие окна и сообщения и подумайте трижды, прежде чем определьться что нажать "Да" или "Нет".
- Регулярно обновляйте антивирус.
- НИКОГДА не отключайте автоматическое восстановление системы. Если вы ставили свой Виндоуз со скачанной из сети сборки (типа Зверя, ДримЛэйра и т.п.) и там по умолчанию восстановление отключено, то первым делом включите его и создайте точку восстановления. Это займет немного места на диске, но обезопасит вас.
- Если у вас не установлен межсетевой экран (файрволл) или ваш антивирус не умеет следить за сетевыми подключениями ВСЕГДА (!!!) держите стандартный брандмауэр включенным.
- Любой скачанный из сети или принесенный вам на флешке (даже вашим лучшим другом) исполняемый файл (*.exe, *.com, *.bat, *.msi, *.cmd), библиотеки (*.dll) и неизвестные вам типы проверяйте антивирусом, прежде чем запустить. Проверяйте антивирусом архивы, прежде чем распаковать.
- Отключите автозапуск со съемных носителей. Конечно это не так удобно, но зато спасет вас от лишней траты нервных клеток, которые как известно не восстанавливаются.
- Установите сторонний диспетчер задач (типа AnVir Task Manager или его аналог). Он будет следить за добавлениями в автозагрузку и изменением реестра.
- НИКОГДА (!!!) не отключайте антивирус, особенно если какая-нибудь программа просит это сделать!
- Установите счетчик трафика (типа NetWorx или аналог) и слетиде за входящим и исходящим трафиком. Если трафика по вашим ощущеним больше, чем вы скачали из сети/выгрузили в сеть это повод задуматься.
- Зайдите на http://2ip.ru и просканируйте ваши порты на уязвимости.
- ЗАПОМНИТЕ (!!!) в 90% случаев зараза попадает на компьютер "легальным" путем, с великодушного разрешения самого пользователя!

Ну а если уже "намотали" то в этой теме уже написано достаточно много советов как вылечить. В каждом конкретном случае методика различается но общие рекомендации уже были высказаны, посему не стану повторяться.

Спасибо за внимание!
 
Последнее редактирование: