Помогите УБИТЬ заразу!

Где то подхватил что-то вроде вируса
 
1 2 3 4 5 6 7 8 9

ED

старожил
★★☆
>Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв.

Какая нафиг помощь?! Поиск преступников и защита населения - прямая ОБЯЗАННОСТЬ правоохранительных органов.
И вот только не надо говорить, что вычислить тех мошенников трудно или закон не позволяет.

>компания призывает операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

Щаз! Всплывала информация, что сотовые операторы официально имеют до 50% от платных СМСок. Их по башке бить надо, а не призывать.

hnick> эпидемия однако

Дык чего ей не быть, если мошенники безнаказанны и ловить их никто не собирается.
 3.5.73.5.7
Это сообщение редактировалось 25.01.2010 в 14:09

Kuznets

Клерк-старожил

ED> Поиск преступников и защита населения - прямая ОБЯЗАННОСТЬ правоохранительных органов.

на бумаге да. а на деле бесплатно (т.е. за зарпату) никто работать не будет.
ПС а, не, есть один вариант. вот если бы.... но у медведева имхо эппл :hihihi:

ED> И вот только не надо говорить, что вычислить тех мошенников трудно или закон не позволяет.

ну начать с того что даже просто запрос к операторам требует наличия заявления от пострадавшего и м.б. даже открытого уголовного дела (не знаю, на этапе доследственной проверки можно или нет).

ED> Щаз! Всплывала информация, что сотовые операторы официально имеют до 50% от платных СМСок. Их по башке бить надо, а не призывать.

главное при этом самому шлем не забыть одеть. кевларовый. на все тело.
 3.5.73.5.7

GOGI

координатор
★★★
ED> Щаз! Всплывала информация, что сотовые операторы официально имеют до 50% от платных СМСок. Их по башке бить надо, а не призывать.
вроде в среднем около трети суммы.
вообще по хорошему сервис платных номеров надо просто запрещать, поскольку большая часть этого рынка околомошеннические схемы. но это ж такие бабки.
а учитывая как просто у нас сейчас открыть фирму на подставное лицо, традиционным способом эту проблему не решить.
1  
RU ahs #25.01.2010 13:14  @Сергей-4030#25.01.2010 10:19
+
-
edit
 

ahs

координатор
★★★
Сергей-4030> Гы, главное - продолжать работать из-под администратора. :lol:

Вин7 по умолчанию работает как бы из под гостя, что не мешает этому "информеру" вылазить непосредственно при запуске браузера. Видимо дырка была в опере. Второй день ему по телефону помогаю, нифига пока не выходит, дрвеб не помог.
Как показали исследования, те кто занимается утренней гимнастикой умирают гораздо реже, потому что их гораздо меньше.  

ED

старожил
★★☆
Kuznets> ну начать с того что даже просто запрос к операторам требует наличия заявления от пострадавшего

Гнилые отмазки.
Ни за что не поверю в то, что при наличии многочисленной "серии" преступлений и отсутствии заявлений от пострадавших в принципе невозможно начать расследование. Что нет для этого никакой процедуры типа запроса от прокуратуры или иного механизма.
А в конкретном случае думаю, что и без заявлений не обошлось.
 3.5.73.5.7

hnick

аксакал

ED> ...то нет для этого никакой процедуры...

юристы, прокомментируйте пожалуйста - реально интересно
 3.5.73.5.7

Kuznets

Клерк-старожил

ED> Гнилые отмазки.

и такие прокатят.

ED> Ни за что не поверю в то, что ... нет для этого никакой процедуры типа запроса от прокуратуры или иного механизма.

есть. но прокуратура забесплатно тоже работать не будет.

ED> А в конкретном случае думаю, что и без заявлений не обошлось.

а по ним могли и отлуп дать - мол ущерба нет / незначителен и досвидания.
 3.5.73.5.7

ED

старожил
★★☆
ED>> Гнилые отмазки.
Kuznets> и такие прокатят.

При нежелании выполнять свои обязанности и существующем положении вещей? Конечно прокатят. Но ведь о том и речь.
 3.5.73.5.7

Alexandrc

аксакал

ahs> Второй день ему по телефону помогаю, нифига пока не выходит, дрвеб не помог.

И врядли поможет. Во-первых, нужны cureIT и AVPTools и AVZ последних версий, это важно.
Во-вторых, нужен LiveCD на основе Windows.
cureIT и AVPTools используем для проверки загрузившись с LiveCD, потом можно пройтись ими в безопасном режиме. Последним используем AVZ, обязательно в нем "Восстановление системы", отметить все пункты, придется потом ввести IP сетевой, если не использовался DHCP, кроме Полного пересоздания настроек SPI.
Если есть загрузочный диск с ERD, то можно, покурив форумы на предмет заразы, вылечить и ручками, так даже быстрее получается.
Но вы там держитесь!  3.63.6

ahs

координатор
★★★
Alexandrc>нужен cureIT...

в декабре на другом компе обошелся только им.
он и авз сейчас не берет, остальное тот пользователь не сделает
Как показали исследования, те кто занимается утренней гимнастикой умирают гораздо реже, потому что их гораздо меньше.  

Alek

опытный
Ну вот пивлек внимание СМИ :)

 3.5.73.5.7

Alek

опытный
Снова подхватил заразу :(
Вчера вечером восстановился из резервной копии ничего ни делал. Только обновил винду и мозилу. Ну еще почту проверил и погоду на яндексе посмотрел. Сегодня пришел с работы включил комп та же фигня! Что делать? Антивирус AVG нашел один жалкий подозрительный файл - "C:\WINDOWS\System32\Drivers\a3lg84pp.SYS";"Hidden driver";"Object is hidden" Я его в проводнике не вижу хотя выставил видимость скрытых и системных файлов. Причем антивирус не говорит что это вирус и не удоляет его оставляя на усмотрение пользователя. Dr.Web его не видит. Удалять, не удалять?
 3.5.53.5.5

xo

аксакал

Alek> Dr.Web его не видит. Удалять, не удалять?

Удалять. А вообще раз мозила дырявая такая может быть стоит её сменить на фиг на оперу ту же самую? А др.веб это сам антивирь или CureIt?
З.Ы. Мыши плакали, кололись, но продолжали есть кактус гыгы
 

pokos

аксакал

Alek>> Dr.Web его не видит. Удалять, не удалять?
xo> Удалять....
Не спасёшься, сиречь злобный мутант. От подобного, было дело, спасался спецовой лечилкой от Symantec.
Ну, а если бровзер дырявый, то нах его, согласен.
 6.06.0

xo

аксакал

Сегодня собственоручно споймал эту хрень на клиентском компе.ОФигеть, действительно пролазит через установки плагина к ИЕ или Опере, флэшплеер долбанутый.Я в шоке.
 
GB Спокойный_Тип #28.01.2010 09:35  @xo#28.01.2010 02:43
+
-
edit
 
у нас эпидемия такой попсни - причем есть вариант с смсками, а есть вариант когда рельно половые акты на весь экран показывает, люди выключают монитор и звонят к нам тех поддержку в смущении " у меня такоое, не могу включить монитор, может вы как-то от себя можете это вылечить?... ну как же, мы тоже у себя стесняемся вашу порнуху включать, у нас тут тоже офис и люди ))"

рекорд пока один чел отправил смсок на 5 тысяч рублей, пока сообразил что его этот вирус разводит
всё что можно изменить - можно улучшить  6.06.0
RU Sergofan #28.01.2010 10:32  @спокойный тип#28.01.2010 09:35
+
-
edit
 

Sergofan

аксакал
★★
Спокойный_Тип> у нас эпидемия такой попсни...

Как боретесь? Если борьба успешна, конечно. У меня двое знакомых словили. Один просто переустановил систему, другой еще ждет когда ему помогут...
GOGI вон из координаторов!!! Не первый и не последний полетит.  3.5.73.5.7

Andrey_Kr

втянувшийся

xo> Сегодня собственоручно споймал эту хрень на клиентском компе.ОФигеть, действительно пролазит через установки плагина к ИЕ или Опере, флэшплеер долбанутый.Я в шоке.
Все-таки термин "пролазит" применим к вирусам, которые садятся в систему без ведома пользователя, используя уязвимости ПО. В случае с винлоками, как правило все намного проще, пользователи запускаю исполняемые файлы с непроверенных ресурсов
 3.63.6
UA Andrey_Kr #28.01.2010 21:21  @Sergofan#28.01.2010 10:32
+
-
edit
 

Andrey_Kr

втянувшийся

Спокойный_Тип>> у нас эпидемия такой попсни...
Sergofan> Как боретесь? Если борьба успешна, конечно. У меня двое знакомых словили. Один просто переустановил систему, другой еще ждет когда ему помогут...

Зависит от типа вируса, если не весь экран загораживается, то можно на зараженной системе попытаться что-то сделать

Универсальный способ - это загрузка при помощи erd commander и проверка веток реестра отвечающих за автозагрузку.Если человек имеет представление, как в винде работать с regedit, то проблем не должно быть.
 3.63.6

Alek

опытный
Сегодня подорвался в третий раз :(
Не могу понять как.
Подорвался через пару часов после того как восстановился из резервной копии. Только и сделал что почту проверил и зашел на несколько сайтов (новостных) на которые всегда хожу. Почитал про iPad проверил статистику своего сайта на рейтинге Mail.ru и все в таком же роде вполне безобидное. И бац система перезагрузилась и опять тот же черный экран с предложением заплатить.

Антивирусы ничего не находят, перепробывал все что было предложено выше. Я в унынии :(
 3.5.73.5.7

xo

аксакал

Alek> Антивирусы ничего не находят, перепробывал все что было предложено выше. Я в унынии :(

Avira проникновение мониторит, проверено на себе :) Ставьте её, есть неплохие шансы. Кстати, перед восстановлением, насколько я понимаю, жесткий диск (раздел системный) форматируется?
 

Vale

Сальсолёт

Линухи ставь второй осью...
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  

ED

старожил
★★☆
Alek>Я в унынии :(

Реестр надо чистить. Ручками.
 3.5.73.5.7

Alek

опытный
xo> насколько я понимаю, жесткий диск (раздел системный) форматируется?

Насколько я понимаю он просто удаляется и создается заново.

С помощью AVZ все таки нашел какую то заразу - прогнал несколько раз каждый раз эта хрень воскресает под новым именем spnz.sys spuz.sys spno.sys и удалить ее не получается :( даже не могу найти где сидит. Ставлю галочку при удалении скопировать в карантин - в карантине ничего нет! Что сие такое и как бороться?

code text
  1. 1.2 Поиск перехватчиков API, работающих в KernelMode
  2.  Драйвер успешно загружен
  3.  SDT найдена (RVA=08B520)
  4.  Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
  5.    SDT = 80562520
  6.    KiST = 804E48B0 (284)
  7. Функция NtCreateKey (29) перехвачена (8057791D->F74D60E0), перехватчик spno.sys
  8. >>> Функция воcстановлена успешно !
  9. >>> Код перехватчика нейтрализован
  10. Функция NtEnumerateKey (47) перехвачена (80578E14->F74F4CA4), перехватчик spno.sys
  11. >>> Функция воcстановлена успешно !
  12. >>> Код перехватчика нейтрализован
  13. Функция NtEnumerateValueKey (49) перехвачена (80587693->F74F5032), перехватчик spno.sys
  14. >>> Функция воcстановлена успешно !
  15. >>> Код перехватчика нейтрализован
  16. Функция NtOpenKey (77) перехвачена (80572BF4->F74D60C0), перехватчик spno.sys
  17. >>> Функция воcстановлена успешно !
  18. >>> Код перехватчика нейтрализован
  19. Функция NtQueryKey (A0) перехвачена (80578A14->F74F510A), перехватчик spno.sys
  20. >>> Функция воcстановлена успешно !
  21. >>> Код перехватчика нейтрализован
  22. Функция NtQueryValueKey (B1) перехвачена (80573037->F74F4F8A), перехватчик spno.sys
  23. >>> Функция воcстановлена успешно !
  24. >>> Код перехватчика нейтрализован
  25. Функция NtSetValueKey (F7) перехвачена (8058228C->F74F519C), перехватчик spno.sys
  26. >>> Функция воcстановлена успешно !
  27. >>> Код перехватчика нейтрализован
  28. Проверено функций: 284, перехвачено: 7, восстановлено: 7
  29. 1.3 Проверка IDT и SYSENTER
  30.  Анализ для процессора 1
  31.  Анализ для процессора 2
  32.  Анализ для процессора 3
  33.  Анализ для процессора 4
  34. CmpCallCallBacks = 0014512C
  35. Disable callback OK
  36.  Проверка IDT и SYSENTER завершена
  37. 1.4 Поиск маскировки процессов и драйверов
  38.  Поиск маскировки процессов и драйверов завершен
  39.  Драйвер успешно загружен
  40. 1.5 Проверка обработчиков IRP
  41. \FileSystem\ntfs[IRP_MJ_CREATE] = 8ABC61F8 -> перехватчик не определен
  42. \FileSystem\ntfs[IRP_MJ_CLOSE] = 8ABC61F8 -> перехватчик не определен
  43. \FileSystem\ntfs[IRP_MJ_WRITE] = 8ABC61F8 -> перехватчик не определен
  44. \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8ABC61F8 -> перехватчик не определен
  45. \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8ABC61F8 -> перехватчик не определен
  46. \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8ABC61F8 -> перехватчик не определен
  47. \FileSystem\ntfs[IRP_MJ_SET_EA] = 8ABC61F8 -> перехватчик не определен
  48. \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8ABC61F8 -> перехватчик не определен
  49. \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8ABC61F8 -> перехватчик не определен
  50. \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8ABC61F8 -> перехватчик не определен
  51. \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8ABC61F8 -> перехватчик не определен
  52. \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8ABC61F8 -> перехватчик не определен
  53. \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8ABC61F8 -> перехватчик не определен
  54. \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8ABC61F8 -> перехватчик не определен
  55. \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8ABC61F8 -> перехватчик не определен
  56. \FileSystem\ntfs[IRP_MJ_PNP] = 8ABC61F8 -> перехватчик не определен
  57.  Проверка завершена
 3.5.73.5.7
+
-
edit
 

Andrey_Kr

втянувшийся

Alek> С помощью AVZ все таки нашел какую то заразу - прогнал несколько раз каждый раз эта хрень воскресает под новым именем spnz.sys spuz.sys spno.sys

Напоминает драйвер daemon tools

Я так понимаю есть возможность запускать программы, меня интересует смогут ли стартовать HiJack и Gmer:
http://www2.gmer.net/gmer.zip
 3.63.6
1 2 3 4 5 6 7 8 9

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru