izhevsk.ru Главная /  Windows /  Старый баннер в новой хитрожопной вариации
тема закрыта

Имя:
Пароль:
 зарегистрироваться | Войти через
напоминатель пароля
Старый баннер в новой хитрожопной вариации
НОВАЯ ТЕМА правила | поиск | картинки | | | о форуме |
  Новости | Авто | Недвижимость | Работа | Бизнес | Стройка | Объявления | Совместная покупка | | |
  следующая тема | предыдущая тема
Автор Тема:   Старый баннер в новой хитрожопной вариации   версия для печати
artem-izh
Рейтинг: 2/-2
-- написано 9-9-2012 00:01 artem-izh
Сии баннеры видал давно и легко удалял. Но вот на сей раз никак не могу обнаружить корень зла! Случай самый нынче популярный. Windows заблокирован. Ссылается, негодяй, на Microsoft Security Essentials и пишет обычную для этого чушь. Баннер синего цвета.
Итак. Что нам извстно о баннерах? Прописываются они в автозагрузку. Это либо HKLM/Software/Microsoft/Windows/Current Version/Run, хотя в этой ветке давно уже не встречал. Либо HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon в переменных Shell и Userinit. Там эту синюшную гадость тоже ни разу не видал. Эти ветки использовались лишь на заре баннеростроения. Всегда отыскивал эту штуку в HKCU/Software/Microsoft/Windows/Current Version/Run. Сам файл можно было найти в папках кэша браузеров, либо в папке юзера Downloads, либо прямо в Моих документах или даже на рабочем столе. Ну вобщем куда загрузит, там и будет. Так же всегда оно было видно через утилиту msconfig. Но на сей раз ни по одному из указаных путей его нет! Ни в реестре, ни на диске файла. В msconfig'е не виден. Поиск по xxx_video, *.exe, дате изменения и размеру не дал результатов. Забрал ноут себе. Ибо раобрадзе нада! Что бы потом за 5 минут удалять опять. Созываю консилиум!
Ах да! Чуть не забыл! Прикрепляю чудесную фотку. Не монтаж! Снято принтскрином с подопытного ноута.
click for enlarge 1366 X 768 81.6 Kb picture
Показать текст сообщения полностью
artem-izh
Рейтинг: 2/-2
-- написано 9-9-2012 00:15 artem-izh
И ещё! В процессах в диспетчере задач тоже ничего подозрительного! У меня остаётся одна версия. Он перезаписал какой-то из системных файлов. Но почему тогда это пропустил курейт? Курейта запустил следующим образом. Закинул его файлик на диск С, и вбил путь до него рядышком с юзеринитом. Баннер стартует первым, курейт спустя секунд 20-30. После запуска курейта становится возможным запуск Дисептчера задач по Ctrl+Shift+Esc, а уже из него mspaint и других приложений. В безопасных режимах баннер не запускается.
Wukuze
Рейтинг: 61/-32
-- написано 9-9-2012 00:18 Wukuze
экзешник там частенько только один - со странным названием. загрузи любую другую систему и поищи по дате создания, изменения. уже с такими сталкивался - на моей практике встречал там только один экзешник.
Wukuze
Рейтинг: 61/-32
-- написано 9-9-2012 00:20 Wukuze
кстати на семерке и висте получалось выйти из системы, потом зайти и успеть запустить диспетчер задач, а там уже грохнуть процесс - потом просто найти экзешник по имени процесса
artem-izh
Рейтинг: 2/-2
-- написано 9-9-2012 08:51 artem-izh
Дык нету в диспетчере никого подозрительного. При курейте запускал.
Wukuze
Рейтинг: 61/-32
-- написано 9-9-2012 10:13 Wukuze
тогда поищи измененные по дате в профиле и системных папках
artem-izh
Рейтинг: 2/-2
-- написано 9-9-2012 10:49 artem-izh
Искал, нету свежаков)))
Tips
Рейтинг: 248/-61
-- написано 9-9-2012 13:05 Tips
не изменение, а создание ищем. так же бывает такой прикол что дата создания датируется 1970 годом, поиск *.* и сорт. по дате
ZX-ruban
Рейтинг: 213/-63
-- написано 9-9-2012 13:37 ZX-ruban
Был случай когда пришлось менять таскменеджер и эксплорер, по случаю заражения последних...
Tips
Рейтинг: 248/-61
-- написано 9-9-2012 14:26 Tips
sethc заменить на cmd и combofix натравить с hijackthis
кактус_колючий
Рейтинг: 301/-78
-- написано 9-9-2012 21:31 кактус_колючий
http://support.kaspersky.ru/viruses/solutions?qid=208642240
ну не умею я руками гада давить.
Попробуйте разных производителей антивирусов.
-=AndY=-
Рейтинг: 208/-40
-- написано 9-9-2012 23:26 -=AndY=-
часто нахожу заразу в c:\Documents and Settings\All Users\Application Data\
даже если в реестре почистить указанные ТС ветки, но не удалив заразу из Application Data, в реестре после перезагрузки они снова возникают
Anetrek
Рейтинг: 13/-4
-- написано 10-9-2012 07:50 Anetrek
Частенько сталкивался с тем, что гаденыши заражали диспетчер задач и другие системные файлы. Допустим при нажатии комбинации ctrl+alt+del баннер появлялся снова. И корпоративный web его не определял. Может web live usb попробуешь?
artem-izh
Рейтинг: 2/-2
-- написано 10-9-2012 11:12 artem-izh
Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.
THE HEDGEHOG
Рейтинг: 613/-232
-- написано 10-9-2012 15:50 THE HEDGEHOG
quote:
Originally posted by artem-izh:
Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.

В автозагрузке смотрел ?
Давненько наблюдал одного индивидуума там с атрибутами скрытый и системный.
artem-izh
Рейтинг: 2/-2
-- написано 10-9-2012 18:03 artem-izh
Конечно))) Все телодвижния описаны выше. В таких случаях всегда показываются и скрытые и системные.

200x150 320x240 400x300 800x600    без переносов   
быстрый ответ   

подпись
следующая тема | предыдущая тема

Главная /  Windows /  Старый баннер в новой хитрожопной вариации форумы izhevsk.ru

 
 
 
 
 
© ООО "Марк" 2020
 
Интернет-провайдер КК МАРК-ИТТ