Автор Тема: Вирусы&трояны&шпионы и методы борьбы с ними  (Прочитано 9364 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Silver_Shadow

  • Пользователь
  • Сообщений: 2769
  • Пол: Мужской
  • Ниндзя-гопник
    • Steam
    • Youtube
    • Просмотр профиля
Сегодня в который раз столкнулся с баннером-вымогателем. На сей раз был "окончание срока лиц. соглашения программы download master". Пробился с ней где-то полтора часа, плюс час на чистку.
Вообщем все по стандарту, просят отправить смс на некий номер. И снимут всего 10р. Хотя по информации отправляющих снимают целых 300 р вместо 10.
При этом баннере, блокируются практически все программы, диспетчер процессов/задач, восстановление системы, Антивирь, мсконфиг, и все остальные утилиты, безопасный режим вроде тоже блокируется.
По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe (только я у себя его не нашел)
При чем смс номер был какой-то украинской компании. И когда некоторые звонили туда, они даже давали коды активации которые подходили
вот цитирую из форума
Цитата
В среду и четверг пришлось отложить, в пятницу полистав инет нашёл упоминания о компании "А1 Агрегатор", как владельца одного из коротких номеров. Заглянул по ссылкам http://www.a1agregator.ru/main/support , решился и позвонил по украинскому номеру. Скажем так - доверия по началу было мало, особенно при том что при первом звонке смогли дать код активации на один из номеров запроса банера, на второй не было. И обещали позвонить "в течение 3х дней". Но - отзвонились на контактный мобильный в течение часа, дали правильный код активации, дали код активации на второй код запроса. Аргументировали тем что "мы не знали что там номера генерятся каждый день". Что вызвало уже некоторое недоумение.
После введения кодов активации в поле введения появляется надпись "Ждите", комп думает и перезагружается. После следующей загрузки вирусы при сканировании не обнаруживаются, все функции системы что были заблокированы вновь доступны. Вирус как-бы деинсталлируется.
У меня к счастью на другом разделе была еще одна винда. На том же форуме один человек нашел алгоритм, по которым можно составить код активации

еще одна цитата:
Цитата
есть закономерность, которая была описана чуть выше:
29 число. черем базу 28. Складываем значения, еслти получаем больше 9, то складываем дополнительно уифры полученного числа. Для К просто находим сумму базы. База на 1 меньше текущей даты. Третий день по такому алгоритму подбирал пароли, разблокировал эту ерунду, а уже потом проверял антивирусом.

Пример:
K = 2+8=10=1+0=1
7 = 7+8=15=1+5=6
1 = 1+8=9
4 = 4+8=12=1+2=3
1 = 1+8=9
1 = 1+8=9
3 = 3+8=11=1+1=2
9 = 9+8=17=1+7=8
0 = 0+8=8
0 = 0+8=8
===============
мой ответ был таким методом перебора. 1693992888.

В данном посте надеюсь никто не узреет попытки навредить чужому компьютеру. Хотя данный совет может быть уже неуместен, так как конец года и врядли все останется по такому же алгоритму.

Сей алгоритм и у меня сработал
вот вся тема http://virusinfo.info/showthread.php?t=62966

Потом нашел какой-то userini.exe в system32. Авира его нераспозновала, последний раз обновлял антивирь 28 числа, потом обновил, и опа нашел вирусягу. Хотя разница всего два дня, и все равно поймал новый вирус.
« Последнее редактирование: 30 Декабрь 2009, 19:25:15 от Silver_Shadow »

Оффлайн iddqd

  • Пользователь
  • Сообщений: 5885
  • Пол: Мужской
  • murderforkill
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #1 : 30 Декабрь 2009, 19:26:00 »
Мне несколько раз помогло это: http://forum.winall.ru/index.php?showtopic=22230&view=findpost&p=182959 01pump классный спец, рекомендую.
Также онлайн проверка всеми антивирусами сразу http://www.virustotal.com/ru/

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #2 : 30 Декабрь 2009, 21:22:11 »
Совсем эти гомосеки охренели - уже фирмы регистрируют 0_0 Ломом по пальцам всему дружному коллективу, вот это было бы адекватное наказание :cool:

Оффлайн SeRReGA

  • Пользователь
  • Сообщений: 510
  • Пол: Мужской
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #3 : 30 Декабрь 2009, 23:06:42 »
Потом нашел какой-то userini.exe в system32. Авира его нераспозновала, последний раз обновлял антивирь 28 числа, потом обновил, и опа нашел вирусягу. Хотя разница всего два дня, и все равно поймал новый вирус.

Это не вирус, иногда вирусы под него маскируются, тока появляются не в system32 а в WINDOWS
Тока что проверил "Приложение Userinit для входа в систему" Версия, сборка, все сходится

Добавлено позже:
Кстати советую на всякий случай сделать копию этого файла, т.к. его вирусы очень часто поражают, а если этот файл отсутствует или поврежден, то вход в систему не возможен, короче дальше экрана приветствия загружаться не будет
Еще вирусы часто в реестре говнючат путь к этому файлу:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

Так что этот ключ тоже советую на всяк случай импортировать
« Последнее редактирование: 30 Декабрь 2009, 23:09:12 от SeRReGA »

Оффлайн HardWareMan

  • Модератор
  • Сообщений: 7483
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #4 : 31 Декабрь 2009, 10:18:46 »
Это не вирус, иногда вирусы под него маскируются, тока появляются не в system32 а в WINDOWS
Тока что проверил "Приложение Userinit для входа в систему" Версия, сборка, все сходится

Добавлено позже:
Кстати советую на всякий случай сделать копию этого файла, т.к. его вирусы очень часто поражают, а если этот файл отсутствует или поврежден, то вход в систему не возможен, короче дальше экрана приветствия загружаться не будет
Еще вирусы часто в реестре говнючат путь к этому файлу:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

Так что этот ключ тоже советую на всяк случай импортировать
Я один заметил разницу в именах? Вирус "userini.exe", оригинал "userinit.exe".

Оффлайн Silver_Shadow

  • Пользователь
  • Сообщений: 2769
  • Пол: Мужской
  • Ниндзя-гопник
    • Steam
    • Youtube
    • Просмотр профиля
HardWareMan,
У меня был userini.exe

Оффлайн HardWareMan

  • Модератор
  • Сообщений: 7483
    • Просмотр профиля
HardWareMan,
У меня был userini.exe
И я о чем говорю. Вирок же явный.

Оффлайн gepar

  • Пользователь
  • Сообщений: 10150
  • Пол: Мужской
  • ▂ ▃ ▄ ▅ ▆ ▇ █
    • Просмотр профиля
У соседа была гадость требующая тоже отправить смс для активации некого интернет ускорителя ,  но вирусок как-то был криво написан - можно было запускать системные службы , експолер и т.д , но нельзя приложения типа антивируса , файревола и т.д , жаль что у соседа восстановление системы было стандартно отключено .Правда вирус затрагивал что-то системное походу так как после того как из автозагрузки были убраны все приложения компьютер грузиться отказывался и пришлось ось переустанавливать .Всяческие генераторы ключей на сайте доктора Веба не помогли тогда .

Оффлайн Silver Dragon

  • Пользователь
  • Сообщений: 4771
  • Пол: Мужской
  • Ave Dominus Nox!
    • Steam
    • Просмотр профиля
Тут только винт к другому компу цеплять. И с него уже проверять.

Оффлайн Yaranga

  • Администратор
  • Сообщений: 13598
  • Пол: Мужской
    • Просмотр профиля
Тут только винт к другому компу цеплять. И с него уже проверять.
Совсем необязательно. Можно воспользоваться Dr.Web LiveCD или подобными.

Оффлайн FEV

  • Пользователь
  • Сообщений: 422
  • Пол: Мужской
  • FEV
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #10 : 03 Январь 2010, 11:17:02 »
Нда. Какой заразы ща только нету...
Я всегда придерживаюсь мер:
1. Каждый день стараюсь обновлять антивирь... И никогда его не выключаю... Один раз вырубил, попал на 800 руб... Т.к. я с мобильного безлимитного инета... Мой комп куда то позвонил на 800 сотен с мобильника моего... "Радости" не было предела :(
2. Всегда под рукой держу LiveCD с антивирем... Гружусь с него если надо, обновляю базы с харда/Инета, проверяю весь комп...
Антивирь в моем случае - Каспер...

Оффлайн gepar

  • Пользователь
  • Сообщений: 10150
  • Пол: Мужской
  • ▂ ▃ ▄ ▅ ▆ ▇ █
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #11 : 03 Январь 2010, 13:54:30 »
Цитата: Yaranga
Совсем необязательно. Можно воспользоваться Dr.Web LiveCD или подобными.
Этот заветный диск у меня тогда дома остался и чистой болванки небыло поэтому воевал с вирем без него .
Цитата: FEV
Мой комп куда то позвонил на 800 сотен с мобильника моего...
Бил Гейтсу небось , винда ведь капает Гейтсу на пользователей ПК вот пока ты отвернулся она решила накапать не через инет , а в устной форме .

Оффлайн Silver_Shadow

  • Пользователь
  • Сообщений: 2769
  • Пол: Мужской
  • Ниндзя-гопник
    • Steam
    • Youtube
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #12 : 03 Январь 2010, 16:08:31 »
А у меня DrWeb Live CD нету, пока нормально без него обхожусь

Оффлайн УльтраБлокС

  • Пользователь
  • Сообщений: 1166
  • Пол: Мужской
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с нl
« Ответ #13 : 03 Январь 2010, 16:29:42 »
Умный пользователь не подцепит вирь.

1. Не качать исполнимые файлы из непроверенных источников.
2. Не собирать баннеры (особенно с порнухой) и не переходить по ссылкам которые присылают IM-спамботы.
3. По возможности закрывать порты.
4. Флешками ещё передаются вири.
« Последнее редактирование: 03 Январь 2010, 17:04:05 от УльтраБлокС »

Оффлайн deformer

  • Пользователь
  • Сообщений: 1383
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #14 : 03 Январь 2010, 16:46:22 »
Вдобавок к сказанному Блоксом. Довольно много народу попадается на такую херь как: "Вам нужен плагин для просмотра видео" и тут же предложение его скачать.

Оффлайн Le@N

  • Пользователь
  • Сообщений: 6800
  • Пол: Мужской
    • ВКонтакте
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #15 : 03 Январь 2010, 17:01:12 »
Дак идиоты потому что.)) :cool:

Оффлайн УльтраБлокС

  • Пользователь
  • Сообщений: 1166
  • Пол: Мужской
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с нl
« Ответ #16 : 03 Январь 2010, 17:01:20 »
Цитата: deformer
Довольно много народу попадается на такую херь как: "Вам нужен плагин для просмотра видео" и тут же предложение его скачать.

Ну это относится частично к первому и второму пункту. Вообще лучше на неизвестные сайты не заходить. Да, ну и ещё

5. Проверять адреса в адресной строке чтобы не оказаться на фейковой странице и не стать жертвой фишеров.
6. Особенно опасны всякие социальные сети.
« Последнее редактирование: 03 Январь 2010, 17:04:49 от УльтраБлокС »

Оффлайн Unit2k

  • Пользователь
  • Сообщений: 9089
  • Пол: Мужской
    • ВКонтакте
    • Steam
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #17 : 03 Январь 2010, 17:06:17 »
7. Ну ко всему ещё можно добавить - не открывать письма со спамом, что приходят на ваше мыло. Конечно сейчас на всех e-mail сервисах стоит защита от вредоносного HTML кода, которые может быть добавлен в тело письма. Но тем не менее.. Ну а по ссылкам, которые к тому же могут идти в этих письмах тем более не ходить.

Оффлайн FEV

  • Пользователь
  • Сообщений: 422
  • Пол: Мужской
  • FEV
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #18 : 03 Январь 2010, 19:37:40 »
Цитата
Умный пользователь не подцепит вирь.
Все бы прекрасно, только бывает пользователь не один... А все пользователи "умными" быть не могут...
Хотя твои 4 пункта верны...

Оффлайн HardWareMan

  • Модератор
  • Сообщений: 7483
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #19 : 03 Январь 2010, 20:22:07 »
Все бы прекрасно, только бывает пользователь не один... А все пользователи "умными" быть не могут...
Хотя твои 4 пункта верны...
Я бы сказал, что самый главный, непредсказуемый и опасный вирус - это пользователь и есть.

Оффлайн Unit2k

  • Пользователь
  • Сообщений: 9089
  • Пол: Мужской
    • ВКонтакте
    • Steam
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #20 : 03 Январь 2010, 20:26:29 »
Я бы сказал, что самый главный, непредсказуемый и опасный вирус - это пользователь и есть.
Истину глаголишь!  :lol: Я когда только начинал пользоваться ПК вешал свой комп столько раз, сколько никакой вирус мне повесить не мог. Вообще из-за вируса у меня слетала система только один раз, когда по пьяне у друга на винте, подключенным к моему компу запустил какой-то гадский инсталлятор...

Оффлайн gepar

  • Пользователь
  • Сообщений: 10150
  • Пол: Мужской
  • ▂ ▃ ▄ ▅ ▆ ▇ █
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #21 : 03 Январь 2010, 21:44:48 »
Если кто кстати подцепит какую гадость то вот вам от касперыча бесплатный подарок http://virusinfo.info/deblocker/
P.S Советую тестировать как и я - вводить и номер 123 и текст 123 - в этом случае увидете результаты теста  :)
P.P.S Есть ещё у доктора веба вот такая вот штука http://news.drweb.com/show/?i=304&c , но моему соседу она непомогла тогда .

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с нl
« Ответ #22 : 05 Январь 2010, 03:51:36 »
Не далее как сегодня, при ползаньи по сайту (нашему), родной Файерфокс выдал сообщение в духе "не всё содержимое страницы видно" с предложением установить допплагины. Я последнее время страхуюсь от вирусов в параноидальном режиме и решил на всякий случай проверить процессы. Оказалось я не ошибся;) Меня смутили 2 названия одно из которых "AllitEvil" o_0. Проверив темповую папку нашёл 3 файла, которых там быть не должно: 1. 2-х метровый темповик (стандарт при появлении "пошлите смс"). 2. AllitEvil.ехе небольшого размера (больше метра). 3. файл с аброкадаброй из 8 букв и расширением .ехе, стилизованным под значёк вордпада (такой блокнотик с ручкой). К сожалению я не сохранил их для истории :D (вначале удалил, а потом уже подумал, что надо было записать "реквизиты";) ) Готовьтесь, коллеги, грядёт нашествие послеНГшных "баблорезов" объявляющих "о завершении срока пользования программ", которые, иногда, и не посещали ваш винт.

ЗЫ: проверка этих файлов Каспером и АД-АВАРОМ показала их безвредность, но мы то знаем...;)

Оффлайн ZBEP

  • Пользователь
  • Сообщений: 764
  • Пол: Мужской
  • ("\(о_о)/")
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #23 : 05 Январь 2010, 16:22:08 »
Вчера подхватил вирус-баннер с просьбой отправить смс, отдать деньги и активировать комп. Вешает диспетчер задач и браузер. У меня 2 аккаунта в компе и это меня спасло, ибо на второй этот баннер не попадает. Деблокер не помог, номер, на который надо отправить смс, содержит 2 плюса и деблокер выдаёт ошибку.

Какие ещё способы есть, чтобы избавиться от этого?

Оффлайн Silver_Shadow

  • Пользователь
  • Сообщений: 2769
  • Пол: Мужской
  • Ниндзя-гопник
    • Steam
    • Youtube
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #24 : 05 Январь 2010, 17:08:41 »
Какие ещё способы есть, чтобы избавиться от этого?
Как ни странно, есть баннеры к которым подходит один выведенный алгоритм, а есть баннеры к которым нужен свой подход

Оффлайн ZBEP

  • Пользователь
  • Сообщений: 764
  • Пол: Мужской
  • ("\(о_о)/")
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #25 : 05 Январь 2010, 17:44:14 »
и как узнать, какой у меня?

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #26 : 05 Январь 2010, 21:01:23 »
"Unlocker" не пробовал?

Оффлайн ZBEP

  • Пользователь
  • Сообщений: 764
  • Пол: Мужской
  • ("\(о_о)/")
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #27 : 05 Январь 2010, 22:09:51 »
что это?

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #28 : 05 Январь 2010, 22:12:53 »
Это "независимый" разблократор процессов, очень часто помогает при разных "аццких вирусах".

Оффлайн ZBEP

  • Пользователь
  • Сообщений: 764
  • Пол: Мужской
  • ("\(о_о)/")
    • Просмотр профиля
Re: Вирусы&трояны&шпионы и методы борьбы с ними
« Ответ #29 : 05 Январь 2010, 22:24:36 »
и где его взять?