 Автор |
Сообщение |
vin32
Гуру
 |
|
| echo писал(а): |
| где вы всю эту заразу цепляите? Ни разу ничего подобного не ловил! |
на порно сайтах конечно же |
|
 |
|
 |
HunT
Гуру
 Предупреждений : 3
|
|
Wizenya
Все отключил, не помогло.
vin32
По собственному опыту? |
|
| |
|
|
Wizenya
Гуру
 |
|
| HunT писал(а): |
| Все отключил, не помогло. |
Что не помогло? Не смог найти вредный процесс? Мой тебе совет: Т.к. вирус умнее тебя на порядок, то тебе с ним не справиться. Найди какого-нибудь задрота из школьников, кто с компом на ТЫ. И за небольшую сумму он тебе поможет избавиться от вируса. |
|
| |
|
|
HunT
Гуру
Предупреждений : 3
|
|
Wizenya
А почему бы тебе тогда, такому умному, не объяснить языком "для тупых", указывая адреса папок, как открыть реестр и т.д? |
|
| |
|
|
Nikolia
Форумчанин
 |
|
| vin32 писал(а): |
| echo писал(а): |
| где вы всю эту заразу цепляите? Ни разу ничего подобного не ловил! |
на порно сайтах конечно же |
Не обязательно, баннер можно поймать не заходя никуда, кроме региональных сайтов. Если так утверждаете, почитайте больше информации о вирусах и вирусных эпидемиях. |
|
| |
|
|
Wizenya
Гуру
|
|
| HunT писал(а): |
Wizenya
А почему бы тебе тогда, такому умному, не объяснить языком "для тупых", указывая адреса папок, как открыть реестр и т.д? |
Вот тут всё подробно тебе рассказали:
Полный текст с сайта:
Trojan-Spy.Win32.Zbot.ikh
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "
Деструктивная активность
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData
Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
• номер интернет-кошелька(WMID);
• пароль;
• режим входа(стандартный/enum-storage);
• версию программы WebMoney Keeper;
• текущий баланс на счету пользователя.
Также троян ищет в системе окна с именами классов:
SunAwtDialog
javax.swing.Jframe
и имеющие следующие заголовки:
Вход в систему
Синхронизация с Банком
Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf
И упаковывает их в архив:
%Temp%\interpro.cab
Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:
https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=
Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:
*<select
*<option selected
*<input *value="
из кода веб-страниц.
Собранную информацию троян отсылает на сайт злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значение параметра в ключе системного реестра на следующее:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "
4. Перезагрузить компьютер.
5. Удалить файл:
%System%\twex.exe
6. Очистить содержимое папки %Temp%.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами. |
|
| |
|
|
Wizenya
Гуру
|
|
HunT
А реестр открывается Пуск - выполнить - regedit и нажимаешь Энтер. Если уж этого не знаешь, то вряд ли с вирусом справишься. Проси кого-нибудь, пока голову компу не открутил. |
|
| |
|
|
Nikolia
Форумчанин
|
|
Вирус может быть в :
C:\Program Files
C:\WINDOWS
C:\WINDOWS\system32
Открыть реестр:
Пуск - выполнить - regedit
Temp:
включи видимость скрытых папок -> Сервис - Свойства папки - Вид - Показывать скрытые файлы и папки
C:\WINDOWS\Temp
C:\Documents and Settings\All Users\Application Data\TEMP и так далее в C:\Documents and Settings\ проверяй все папки подряд, т.к. там много TEMP
А лучше средство, скачать на незаражённом компьютере утилиту Dr.Web CureIt! http://www.freedrweb.com/download+cureit/ и просканировать ей комп, загрузившись в безопасном режиме (ещё лучше загрузившись с LiveCD). Это обязательно всё равно нужно сделать, даже если зловред найден и как кажется, уничтожен. |
|
| |
|
|
nethello
Гуру
 |
|
Вот скрины. И попробуй открыть сайт другим браузером.
 |
|
| |
|
|
Nikolia
Форумчанин
|
|
| Не пойдёт, вирь заблокировал антивирусные сайты. |
|
| |
|
|
nethello
Гуру
|
|
| проще всего выполнить скрипт. |
|
| |
|
|
МасяН
Эксперт
 Предупреждений : 1
|
|
| гг... проще всего будет тупо в папку етс скинуть нормальный хостс... он исправляет человеческий и скрывает его... и делает такой же снорм параметрами олько уже видным... |
|
| |
|
|
Wizenya
Гуру
|
|
МасяН
Он не знает где папка Темп, а ты ему про хостс... Лучше спроси может ли он зайти на хаб, свяжись с ним и помоги. |
|
| |
|
|
nethello
Гуру
|
|
можно выполнить прогу:
Запускаем HijackThis.
Нажимаем "Open online HijackThis QuickStart"
Выбираем пункт справа внизу "Config..."
Затем "MiscTools".
Далее "Open hosts file manager".
Далее "Open in Notepad".
Удаляем все строчки, кроме "127.0.0.1 localhost".
Если такой записи нет, то добавляем.
Далее "Delete line(s)"
Всё, закрываем прогу, перезагружаемся. и дурацкий баннер исчезает.
| HiJackThis.exe |
| Описание: |
|
Скачать |
| Имя файла: |
HiJackThis.exe |
| Размер файла: |
379.5 KB |
| Скачано: |
108 раз(а) |
|
|
| |
|
|
HunT
Гуру
Предупреждений : 3
|
|
| Nikolia писал(а): |
| скачать на незаражённом компьютере утилиту Dr.Web CureIt! |
Спасибо, так и сделал 
Благодарю всех за помощь. |
|
| |
|
|
nethello
Гуру
|
|
| HunT писал(а): |
Nikolia писал(а):
скачать на незаражённом компьютере утилиту Dr.Web CureIt!
Спасибо, так и сделал
Благодарю всех за помощь. |
А hosts всё-таки проверь. Надёжнее будет. |
|
| |
|
|
HunT
Гуру
Предупреждений : 3
|
|
| |
|
|
nethello
Гуру
|
|
| |
|
|
|
