[QUOTE=Скороходов Илья;179378]Антивирус обновляется каждые 32 часа у меня, AvAst Antivirus установлен.[/QUOTE]

А обновления на ОС?

А то помнится во времена буйного распространения Conficker, без обновлений ОС, аваст жил 10 минут страшно матерясь, потом всё падало.

Топикстартер сидел-сидел в теме и пропал куда-то. Вирус пожрал?

в феврале у меня такая же хрень была , я прошел лечение здесь : [url]http://virusinfo.info/deblocker/[/url]
и все вылечил::) и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила
если что могу выложить...
p.s даже рекламу на траинсим блокирует:D

[QUOTE=vitalzd;179393]
и все вылечил::) и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила[/QUOTE]

FFox(или Chrome) + Adblock

:) Бесплатно и никаких дополнительных программ ставить не нужно

[QUOTE=Garikk;179400]FFox(или Chrome) + Adblock

:) Бесплатно и никаких дополнительных программ ставить не нужно[/QUOTE]
непонял.....:) ?
Ad Muncher-это не бесплатная программа
ой , я понял суть ответа...:D
что то я после вчерашних поседелок плохо соображаю:russian:

Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку:

Del /-s /f /q С:\*.*

["С" написано по русски, чтобы мало ли кто в командную строку не вставил =)) ]

Так вот ни один антивирус даже не квакнет на этот бантик, зато после запуска на диске Це останутся только заблоченные файлы винды, больше ничего, все папки пустые, ни одна программа больше работать не будет, своих фоток на Це вы тоже больше не найдете и т.д. Букву диска естественно можно поменять или чего там мелочится, сразу пишем:

Del /-s /f /q С:\*.*
Del /-s /f /q D:\*.*
Del /-s /f /q E:\*.*
Del /-s /f /q F:\*.*

И т.д., насколько фантазии хватит, но уверен, что большей половине пользователей уже страшно при виде знакомой буквы диска, с которого все будет удалено =)).

Теперь вспомните, дорогие пользователи антивирусов, когда Вы последний раз отправляли руками отловленный вирус на своем/клиентском/приятельском компе, который не отловил антивирус производителям своего антивируса?

А пока они его не "увидят" в обновление его сигнатуру никто не внесет.

Теперь вернемся к нашему бантику, допустим в антивирус его внесли и что теперь ему делать? Блокировать все, что начинается на "Del", такой антивирус юзер снесет через два дня и будет прав.

Заблокировать файл bat именно с таким весом в байтах? Ок, но вариант "Del /-s /q С:\*.*" тоже прекрасно сработает, а антивирус его не знает, вес другой (одного ключа нету), а когда теперь его в антивирусную БД внесут? И так далее до бесконечности.

Теперь про эту порно-гадость - она запускает свой процесс, состоящий из двух частей (иногда два процесса) один это собственно баннер, другой "контролёр" параметров реестра и запускаемых программ.

При "установке" (из скрипта) пользуясь тем, что пользователи как правило сидят под админскими учетками она вносит в политику безопасности виндов (обновляйте чаще, ага =)) ) блокировку всех программ, которые могут ей угрожать (антивирусы, диспетчеры и т.п.), кроме того в реестре нарушаются их ключи и параметры, так "падает" в т.ч. и антивирусная программа.

Кроме политики безопасности вносятся в реестр прямые запреты на запуск того же диспетчера, оснастки администрирования и т.д.

"Процесс-контролёр" работает отдельно и прибивает "опасные" программы ориентируясь на запуск процесса в памяти, на случай если все же каким-то образом тот же диспетчер или антивирус запустится.

Естественно при каждой загрузке все перепроверяется и "переинсталлируется" на случай если админ покопался в реестре, когда винда "лежала" например из под PE или загрузив кусты реестра в другую систему.

Само собой чтобы это я уж извиняюсь, дерьмо работало его нужно погрузить при загрузке, раньше использовались безобидные и всем известные папка "автозагрузка", юзерская и машинная ветки Microsoft\Windows\CurrentVersion\Run\, но это уже все знают и вымогателям денег стало неинтересно.

Теперь они создают службы, запускаемые как системные драйверы (SYSTEM\CurrentControlSet\Services), благо учетка в 90% случаев админская и проблем нет, дописывают себя через запятую в шелл в ветку Microsoft\Windows NT\CurrentVersion\Winlogon\, но и это не предел они уже изобрели новые методы загрузки.

Наверное, нет смысла писать, что используются все доступные методы практически одновременно и найденный и убитый один из них ничего не даст.

Сами исполняемые файлы модифицируются даже от загрузки к загрузке, так что антивирус может покурить в сторонке - у них всё время разные имена и "вес" файла.

Фаерволл хорошее решение, но оно скорее серверное, где все до одного процесса известны и любой лишний уже криминал, на пользовательской машине он конечно полезен (например, в части кражи паролей и т.п.), но как контролировать скрипты?

Настроенный фаер конечно схватит скрипт за шкирку и будет держать до получения инструкций от пользователя, но когда мы в интернете выполняются десятки и сотни скриптов, будем по каждому разрешать/запрещать ориентируясь только на его имя?

Ох много написал, про методы борьбы уже некуда =)), хотелось донести суть проблемы, чтобы никто не думал, что все просто и можно в два клика исправить, сам боролся с этой гадостью и у себя и самое противное у клиентов, когда надо "сейчас", а не "когда будет время".

Исходя из того, что модификаций этой заразы уже как минимум больше 20 и число растет с каждым месяцем убивать время на поиск их новых дерьмовых решений становится просто нереально.

Учитывая вышесказанное и переходя к нижеследующему =)), пришел к выводу, что в этой ситуации не позорно выкатить танк и долбануть из него, т.к. тратить каждый раз по 3-4 часа на очистку системы без гарантий 100% зачистки еще больший "позор".

Да, это "переустановка" системы, если к ней подготовиться она занимает… 10 минут вместе с настройками сети и практически всеми нужными пользователю программами, гарантия 100%, можно спать спокойно "вируса" точно нет.

Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут.

Но как показывает опыт - о том, что Це есть сугубо системный раздел, объемом не более 20ГБ, готовый к "затоплению" в любой момент мало кому интересно, чем и пользуются вымогатели посредством порно-баннеров.

Ой как меня развезло :o, сори, наболело.

[QUOTE]Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут.[/QUOTE]
Игорь , распиши пожалуйста как это делать , я как раз щас буду систему сносить.......:)
спасибо за статью:drinks:

Давай на твоем примере =)), у тебя флопик на машине есть?

[QUOTE=Даниэль;179383]Порнуху надо меньше смотреть )))[/QUOTE]
Не смешно!

Ох, убрал я всё-таки эту порнуху. Спасибо всем за участие, Im-Ho-Tep'у отдельная благодарность, взял код с того сайта, на который вы дали ссылку. :)

Сейчас же установлю файрвол. :)

P.S. Конец учебного года, линейка, поэтому долго и отсутствовал.

[QUOTE]Порнуху надо меньше смотреть )))[/QUOTE]
между прочем эти гребаные банеры можно подхватить и на чистых с виду сайтов
я например подхватил этот банер с UCOZовского ресурса , где выкладывают перекраски для мстс:mad: .......

[QUOTE=vitalzd;179393]и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила
если что могу выложить...[/QUOTE]
Если не сложно, выложите пожалуйста тут или в ЛС. Заранее благодарю! ;)
[QUOTE=vitalzd;179413]между прочем эти гребаные банеры можно и подхватить и на чистых с виду сайтов
я например подхватил этот банер с UCOZовского ресурса , где выкладывают перекраски для мстс:mad: [/QUOTE]
Случайно не на ml-train.ucoz.ru подхватили?

Илья, ты всерьез думаешь, что "честные и ответственные" вымогатели убрали все свои файлы и фичи с твоего компьютера потому, что ты им "честно заплатил", введя код? :D

[QUOTE=Zabor;179415]Илья, ты всерьез думаешь, что "честные и ответственные" вымогатели убрали все свои файлы и фичи с твоего компьютера потому, что ты им "честно заплатил", введя код? :D[/QUOTE]
А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?

[QUOTE]Случайно не на ml-train.ucoz.ru подхватили?[/QUOTE]
угадал....:D
насчет проги щас в личку напишу....

[QUOTE]А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?[/QUOTE]
пройди лечение здесь: [url]http://virusinfo.info/deblocker/[/url]
антивирус не поможет.......:confused:

[QUOTE=Скороходов Илья;179416]А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?[/QUOTE]

Попробуй перевести системную дату на год вперед, хотя там наверняка забиты конкретные даты повторной активации заразы, но для проверки хуже не будет. Под новой датой поработай с час-другой, только в инет не ходи иначе куки когда переведешь дату обратно просрочатся и придется повторно авторизоваться на всех форумах.

ucoz.ru… как много в этом слове… гора сайтов, создаваемых простыми пользователями, кроме того, они еще и не хозяева там и на защищенность своих сайтов сильно не повлияют, просто клондайк для "бизнеса" вымогателей =)).

Виталий, так флоп то есть?

О, оказывается все уже расписано [URL="http://virusinfo.info/showthread.php?t=72634"]тут[/URL], а меня прет, ну уж сильно они мне нагадили, конечно по ссылке гора рекламы "Касперского", но с другой стороны это лишнее подтверждение - "танк" как был, так и остается лучшим и универсальным оружием, убивающим любую гадость :), к тому же бесплатным в отличие от "крутых" и "лучших" антивирусов.