в любом браузере при клике время от времени открывается сабжевый сайт
куки\кеш почистил
avast его не видит
касперский поиск руткитов быстрая утилита - не видит
хостс исправен
в автозагрузке и обоих RUN - ничего. в планировщике тоже почистил.
чо бы блин еще сделать.
скрипты AVZ не на чем запускать, естественно.
не могу побороть малваре clubrelaxxxx.com/gibdd
http://virusinfo.info/showthread.php?t=126851
http://forum.kaspersky.com/index.php?s= ... try1940241
Денс, ты когда научишься гуглом пользоваться?
http://forum.kaspersky.com/index.php?s= ... try1940241
Денс, ты когда научишься гуглом пользоваться?
Касперский у меня эту ссылку кстати в лет убил, если что... 
Burg, ты когда посты читать не по диагонали будешь?
>хостс исправен
>скрипты AVZ не на чем запускать
и прочая. Все что гуглилось - все сделал.
фпень мне не сдался ваш взломанный касперский, свет должен сойтись клином и на других врачах.
>хостс исправен
>скрипты AVZ не на чем запускать
и прочая. Все что гуглилось - все сделал.
фпень мне не сдался ваш взломанный касперский, свет должен сойтись клином и на других врачах.
3: djdance:
> фпень мне не сдался ваш взломанный касперский
вот сейчас обидел, да...
Ты вообще прочитал о чем там по ссылкам речь? можешь ручками этот процесс найти и файлик скрытый и убить. Чего тебе еще надо?
Ты бы хоть скриптик этот прочитал, хотя бы по диагонали
> фпень мне не сдался ваш взломанный касперский
вот сейчас обидел, да...
Ты вообще прочитал о чем там по ссылкам речь? можешь ручками этот процесс найти и файлик скрытый и убить. Чего тебе еще надо?
Ты бы хоть скриптик этот прочитал, хотя бы по диагонали
4: Burg:
> можешь ручками этот процесс найти и файлик скрытый и убить.
какой процесс? какой файлик? процитируй, может не заметил.
> можешь ручками этот процесс найти и файлик скрытый и убить.
какой процесс? какой файлик? процитируй, может не заметил.
5: djdance:
Код: Выделить всё
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\systemhost\24FC2AE3FF8.exe','');
DeleteFile('C:\systemhost\24FC2AE3FF8.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FYEXG0U3ZDKH');
DeleteFileMask('C:\systemhost', '*', true);
DeleteDirectory('C:\systemhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.6: Burg:
>QuarantineFile('C:\systemhost\24FC2AE3FF8.exe','');
что такое systemhost ?
> 24FC2AE3FF8.exe
нет такого никаким поиском и в процессах разумеется тоже, и в службах.
> RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FYEXG0U3ZDKH');
ответ в посте №0 - чисто в обоих ранах.
говорю же, все сделал. А все равно открывается
>QuarantineFile('C:\systemhost\24FC2AE3FF8.exe','');
что такое systemhost ?
> 24FC2AE3FF8.exe
нет такого никаким поиском и в процессах разумеется тоже, и в службах.
> RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FYEXG0U3ZDKH');
ответ в посте №0 - чисто в обоих ранах.
говорю же, все сделал. А все равно открывается
7: djdance:
надеюсь ты это все делал загрузившись с Live CD ?
надеюсь ты это все делал загрузившись с Live CD ?
8: Burg:
то есть вот ты предлагал ручками найти в процессах вирь и прибить его, а теперь апеллируешь к самовосстановлению виря? тут уж предлагай либо одно, либо другое 
дрвеб куре свежий - нихт.
аваст эвристикой - нихт
малваребайтс - нихт
чем бы еще помучить, чё за дела в XXI веке, простейший троян, которому уже месяц - не ловится
то есть вот ты предлагал ручками найти в процессах вирь и прибить его, а теперь апеллируешь к самовосстановлению виря?
тут уж предлагай либо одно, либо другое дрвеб куре свежий - нихт.
аваст эвристикой - нихт
малваребайтс - нихт
чем бы еще помучить, чё за дела в XXI веке, простейший троян, которому уже месяц - не ловится
9: djdance:
Касперский про него знает, должен лечить... скачать RescueKAV диск и пролечись
Касперский про него знает, должен лечить... скачать RescueKAV диск и пролечись
11: djdance:
У меня такой диск лежит всегда, нарезанный... Это первое что надо делать! 
У меня такой диск лежит всегда, нарезанный... Это первое что надо делать!
12: Burg:
ну нет у меня дисководов и сидиромов!!!
сейчас посмотрю, встает ли на флешку
ну нет у меня дисководов и сидиромов!!!
сейчас посмотрю, встает ли на флешку
-
intu
0: djdance:
А до того как подцепили это, стояло какое-нибудь антивирусное ПО? Если да, то какое, если не сложно.
12: Burg:
Пользуюсь долгое время Avira Internet Security. Периодически ищу ключи.
Но сейчас созрел до покупки официальной лицензии Касперского(ибо Avira дороже стоит), в связи с этим вопрос: вы сами как купили Касперского или ищите ключи?
А до того как подцепили это, стояло какое-нибудь антивирусное ПО? Если да, то какое, если не сложно.
12: Burg:
Пользуюсь долгое время Avira Internet Security. Периодически ищу ключи.
Но сейчас созрел до покупки официальной лицензии Касперского(ибо Avira дороже стоит), в связи с этим вопрос: вы сами как купили Касперского или ищите ключи?
каспер нод и дрвеб стоят в районе 1000-1500р на год, насколько я знаю
а потом так вообще скидосы
стоит ли заморачиваться различными взломами и тратить на это время, когда можно платить 100-150р в месяц?
"пропиваем больше" (с) народ
а потом так вообще скидосы
стоит ли заморачиваться различными взломами и тратить на это время, когда можно платить 100-150р в месяц?
"пропиваем больше" (с) народ
14: intu:
Хоть через сайт, хоть в любом компутерном магазине. Какие сложности?
Хоть через сайт, хоть в любом компутерном магазине. Какие сложности?
14: intu:
> А до того как подцепили это, стояло какое-нибудь антивирусное ПО? Если да, то какое, если не сложно.
avast free, все апдейты .. ни экраны, ни скан с полной эвристикой - ничего не дали.
15: madobad:
> стоит ли заморачиваться различными взломами и тратить на это время, когда можно платить 100-150р в месяц?
во-во.
Только в моем случае 7 машин, а вирус ловит лишь одна за 3 года. Я пока к покупке каспера, соответственно, не созрел.
> А до того как подцепили это, стояло какое-нибудь антивирусное ПО? Если да, то какое, если не сложно.
avast free, все апдейты .. ни экраны, ни скан с полной эвристикой - ничего не дали.
15: madobad:
> стоит ли заморачиваться различными взломами и тратить на это время, когда можно платить 100-150р в месяц?
во-во.
Только в моем случае 7 машин, а вирус ловит лишь одна за 3 года. Я пока к покупке каспера, соответственно, не созрел.
ты флэшку то сделал?во-во.
18: madobad:
сделал, пока занят.
[ругается нецензурно] сайт каспера отдает образ как на диалапе, да еще с разрывами, скачал с 4 попытки
xxxgibdd пока открывается. Пароли никуда не ввожу, сижу как партизан))) Как вообще работает эта штука, кто нибудь объяснит? руткитом она не является, службой-процессом тоже, резиденты не найдены, да и сейчас не 2000 год... срабатывает только по клику на страницу в браузерах. Сломали ядро JS? - непохоже, оно у всех браузеров разное... перехватывает трафик и вставляет JS-код?
сделал, пока занят.
[ругается нецензурно] сайт каспера отдает образ как на диалапе, да еще с разрывами, скачал с 4 попытки
xxxgibdd пока открывается. Пароли никуда не ввожу, сижу как партизан))) Как вообще работает эта штука, кто нибудь объяснит? руткитом она не является, службой-процессом тоже, резиденты не найдены, да и сейчас не 2000 год... срабатывает только по клику на страницу в браузерах. Сломали ядро JS? - непохоже, оно у всех браузеров разное... перехватывает трафик и вставляет JS-код?
я вот механизм - хз)
я обычно гружусь с флэшки, какойнить WinPE, типа АлкидЛивСД, и свежими базами АВЗ проверяю
есть еще утилиты hijackthis! и autoruns
так же неплохо посмотреть в корне Виндовс и в систем 32 на предмет свежих файлов, примерно с теми датами, когда началось заражение
так же надо заглянуть в корень пользовательской директории - там могут свежие файлы быть
посмотри процессы, нет ли подозрительных, поищи файлы этих процессов.
из сэйфмода глянь автозагрузку и стартующие службы
так же из под флэшки неплохо проверить ERD Commander'ом родной реестр, на предмет всякого говна, прицепившегося к userinit
ну и просто по реестру пройди с поиском по ключевым словам этого малваря
я обычно гружусь с флэшки, какойнить WinPE, типа АлкидЛивСД, и свежими базами АВЗ проверяю
есть еще утилиты hijackthis! и autoruns
так же неплохо посмотреть в корне Виндовс и в систем 32 на предмет свежих файлов, примерно с теми датами, когда началось заражение
так же надо заглянуть в корень пользовательской директории - там могут свежие файлы быть
посмотри процессы, нет ли подозрительных, поищи файлы этих процессов.
из сэйфмода глянь автозагрузку и стартующие службы
так же из под флэшки неплохо проверить ERD Commander'ом родной реестр, на предмет всякого говна, прицепившегося к userinit
ну и просто по реестру пройди с поиском по ключевым словам этого малваря
20: madobad:
> из сэйфмода глянь автозагрузку и стартующие службы
почему из сейфмода?
>так же из под флэшки неплохо проверить ERD Commander'ом родной реестр, на предмет всякого говна, прицепившегося к userinit
проверяю C:\Users\djdance\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, хклм\ран и хку\ран , угу, но вроде в семёрке еще где-то автозапуск прячется.
И опять же, почему из-под флешки? Думаешь, оно прописывает запуск перед перезагрузкой? сейчас-то в автозапуске чисто
> из сэйфмода глянь автозагрузку и стартующие службы
почему из сейфмода?
>так же из под флэшки неплохо проверить ERD Commander'ом родной реестр, на предмет всякого говна, прицепившегося к userinit
проверяю C:\Users\djdance\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, хклм\ран и хку\ран , угу, но вроде в семёрке еще где-то автозапуск прячется.
И опять же, почему из-под флешки? Думаешь, оно прописывает запуск перед перезагрузкой? сейчас-то в автозапуске чисто
21: djdance пишет:
> 20: madobad:
>> из сэйфмода глянь автозагрузку и стартующие службы
> почему из сейфмода?
так вернее )
> И опять же, почему из-под флешки?
так вернее )
все лечение такого говна делается из под флэшки, если наскоком сходу не решил
> 20: madobad:
>> из сэйфмода глянь автозагрузку и стартующие службы
> почему из сейфмода?
так вернее )
> И опять же, почему из-под флешки?
так вернее )
все лечение такого говна делается из под флэшки, если наскоком сходу не решил
22: madobad:
как-то это религиозно, не находишь?
как-то это религиозно, не находишь?
23: djdance пишет:
> 22: madobad:
> как-то это религиозно, не находишь?
зато помогает )
в чистой системе с флэшке - этого виря нет
а зараженная система не загружена
поэтому найти и удалить легче
> 22: madobad:
> как-то это религиозно, не находишь?
зато помогает )
в чистой системе с флэшке - этого виря нет
а зараженная система не загружена
поэтому найти и удалить легче
-
intu
15: madobad:
Согласен. Раньше как-то не платил за софт Apple сволочь приучил меня платить, ну и как бы поддерживать труд программистов.
16: Burg:
Никаких сложностей. Был только вопрос лицензию вы купили аль так. Ну я уже понял что.
17: djdance:
Спасибо за инфу. Значит пора знакомым сносить Avast и ставить что-то понадежнее.
Согласен. Раньше как-то не платил за софт
Apple сволочь приучил меня платить, ну и как бы поддерживать труд программистов.16: Burg:
Никаких сложностей. Был только вопрос лицензию вы купили аль так. Ну я уже понял что.
17: djdance:
Спасибо за инфу. Значит пора знакомым сносить Avast и ставить что-то понадежнее.
-
wallTaZar
- Благодарил (а): 1 раз
Была таже трабла но с другим сайтом (с виду как ответы.маил.ру)...тож ничо не помогало...пока не снес оперу (ну и почистил за ней все) и поставил заново...и о чудо!...не вылазит больше ентот сайт с пацаном-лохотронщиком...
-
303
26: wallTaZar пишет:
> Была таже трабла но с другим сайтом (с виду как ответы.маил.ру)...тож ничо не помогало...пока не снес оперу (ну и почистил
> за ней все) и поставил заново...и о чудо!...не вылазит больше ентот сайт с пацаном-лохотронщиком...
Была аналогичная проблема. Решилась также, переустановкой.
Разница лишь в браузере. Проблем нет )
ps
Взломанный Nod не пускает на этот сайт clubrelaxxxx.com/gibdd
Скачивался Nod уже взломанный, в комплекте была программулька, которая сама ищет и подбирает ключи. Сам ничего не делаю. 21 век )
К покупке антивируса не созрел )
upd
Пользуюсь Нодом более 3-ёх лет (мб и больше). Проблем не знаю. Приколы, типа, "отправь смс и мы разблокируем твой виндоус" видел только у знакомых )
> Была таже трабла но с другим сайтом (с виду как ответы.маил.ру)...тож ничо не помогало...пока не снес оперу (ну и почистил
> за ней все) и поставил заново...и о чудо!...не вылазит больше ентот сайт с пацаном-лохотронщиком...
Была аналогичная проблема. Решилась также, переустановкой.
Разница лишь в браузере. Проблем нет )
ps
Взломанный Nod не пускает на этот сайт clubrelaxxxx.com/gibdd
Скачивался Nod уже взломанный, в комплекте была программулька, которая сама ищет и подбирает ключи. Сам ничего не делаю. 21 век )
К покупке антивируса не созрел )
upd
Пользуюсь Нодом более 3-ёх лет (мб и больше). Проблем не знаю. Приколы, типа, "отправь смс и мы разблокируем твой виндоус" видел только у знакомых )
Последний раз редактировалось 303 29 ноя 2012 12:44, всего редактировалось 1 раз.
27: 303:
не пускать - полбеды.
ещеп не открывал
не пускать - полбеды.
ещеп не открывал
ну, просканировался с kaspersky resque
потратил 5 часов, нашел 10 старых вирусов преимущественно в дистрибутивных кряках и старым виндовс.
запускаюсь, браузер, клик - и первым делом вылетает старый добрый clubxxx\gibdd 
автозапуск и прочие процессы чистые
ааа ненавижу
потратил 5 часов, нашел 10 старых вирусов преимущественно в дистрибутивных кряках и старым виндовс.
запускаюсь, браузер, клик - и первым делом вылетает старый добрый clubxxx\gibdd
автозапуск и прочие процессы чистые
ааа ненавижу
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей
