Перейти к содержимому


- - - - -

Блочим блокеры


Сообщений в теме: 54

#1 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 23 июля 2010 - 17:50

Столкнулся в новым видом заразы. Кодов, на антивирусных ресурсах посвящённых разлочке, - туева хуча, перебирать или нет - дело ваше. Предлагается накинуть бабла на некий номер, чаще всего пчелайновский, код активации якобы будет в квитанции, которую выплюнет терминал. По моему хрень полная, но проверять не советую... ;)
Опробовал новый метод, коим хочу поделиться. :)
Скачиваем LiveCD от Веба. Размер около 150 метров. Закатать на CD этот образ(на DVD у меня не получилось, вернее - получилось, но не загрузился) и загрузиться с него. В автоматически загрузившемся сканере выбрать в Settings - Fast check, и покурить минут дцать. :) Найденную заразу естественно удаляем, предварительно проставив соответствующий флажок. После загрузки у меня пропадал проводник. Диспетчер задач как правило выключен. Кароч - чем кривее написан зловред, тем больше гемора при его ликвидации. Мне помогло сочетание клавиш Windows + U, который вызывает специальные возможности. Выбираем "Включить экранную лупу" и жмём на ссылку, отсылающую вас, к мелкомягким. Из появившегося браузера добираемся до любого файла, в частности Explorera. Ну а дальше всё просто. Чистка автозапуска и прописывание там эксплорера и разлочка Registry Editora командами
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v DisableRegedit /t REG_DWORD /d 0

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
DisableRegedit /t REG_DWORD /d 0

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
DisableRegistryTools /t REG_DWORD /d 0

Пока всё.
P.S> Писал впопыхах, что-то мог упустить. На все вопросы обязательно отвечу. :)

#2 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 23 июля 2010 - 18:41

Ты рассказал про один способ.
Теперь будь добр, расскажи про остальные стопицот. Их, сам понимаешь, "чуть более, чем до@#я".

#3 Vondert

    Почетный Павловчанин

  • Специалист
  • 2 661 сообщений
  • Пол:Мужчина
  • Город:Б единого МЖ

Отправлено 23 июля 2010 - 19:10

Sergafan
Странно что про виндовс -у знаешь, а про винд-р нет, проще наверное "выполнить задачу" запустить и врубить ехплоер.
Ещё я знаю как руками через блокнот поправить реестр, где собака зарылась, но счас не вспомню рыться надо.
Изображение
1. Я не прав
2. Если я прав, смотри первый пункт

#4 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 24 июля 2010 - 10:54

Vondert, ты выруби explorer.exe через стандартный диспетчер задач, а потом нажми винд-р. :) Правда из самого диспетчера задач "Файл - Выполнить" запускается, но с учётом того, что на инфицированных машинах Диспетчер задач отключается, репа была почёсана какое-то время. :)
Плюсом если реестр закрыт для редактирования блокнот не поможет. Только \Windows\System32\cmd.exe. Команды в первом посте.
Елесин, ну конечно же до@#я, только с учетом, того, что у каждого свои извращения. Поэтому способ с загрузкой в DOS Commander и ручным поиском exe файла по дате создания я опущу... ;) Описываю лишь самые оперативные из них.
Возвращаясь к Экранной лупе. Не все блокеры умеют нормально обрабатывать ситуацию с её вызовом, т.к. она имеет высокий приоритет, поэтому при первичном осмотре пациента имеет смысл сходу жмакнуть эту комбинацию и посмотреть на реакцию. В случае облома, а я последний раз обломался, возвращаемся тогда к первому посту и грузимся с LiveCD. Иначе же кликаем по ссылке и в запустившемся осле набираем Мой компьютер. Дальше идем либо \Windows\Regedit, в котором снимаем блокировку Диспетчера задач HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr"=0, с дальнейшим прибитием всех подозрительных процессов, либо, при наличии инета, на сайт Кашпировского или того же Вэба, где можно слить необходимый тулкит.
Добавлю, что Explorer прописывается в реестре параметром Shell ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ещё я вспомнил способ выковыривания напасти посредством загрузки в WinPE, но там присутствует определенный геморрой ввиду того, что антивирусные тулзы, которые зачастую распространяются ввиду SFC-архивов будут пытаться развернуться на диск X, который как раз и является диском WinPE. Поэтому этот способ я опущу.
Думаю, тема будет пополняться, по мере совершенствования заразы. :)

#5 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 25 июля 2010 - 20:52

Я уже думал на предмет систематизирования способов удаления заразы.
Но опустил руки примерно после 20-го способа помещения заразы в автозагрузку...

#6 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 25 июля 2010 - 21:15

Ну вот, начало положено. Ваши способы прошу тоже...

#7 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 25 июля 2010 - 21:25

Видел, как блокер прикидывается драйвером?
А видел, как он прячется в альтернативном ntfs-потоке текстового файла?

Вот, концептуальное описание двух случаев уже упомянуто.

#8 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 26 июля 2010 - 09:06

Таких ещё не видел, но думаю стратегия выкуривания будет одна и та же. Зараза, прячущаяся в потоках не нова, и её уже научились выковыривать. Но вообще, блокеры пишут пионеры и мне не до конца верится, что случай с потоком имеет место быть. :blink:
Если не сложно дай ссылочку на его анализ на virustotal.

#9 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 31 декабря 2010 - 18:42

Недавно для себя открыл такое средство удаления этой шняги как ERD Commander, представляющее из себя загрузочную оболочку ввиде WinPE. Позволяет залезть в недра "проблемной" Windows из под загрузочной прослойки. Всё что нужно, так это загрузиться с такого LiveCD содержащую оболочку ERD Commander, зайти в Управление компьютером дальше в оснастку AutoRuns и просто убрать галочку с вызывающего подозрение, пунктика. Времязатраты на эту операцию порядка 4-х минут. Good Luck! :)

#10 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 31 декабря 2010 - 18:49

Именно таким макаром люди за этот год заработали over 9000 рублей :-)

#11 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 31 декабря 2010 - 20:59

Ты в их числе, буржуй? :)

#12 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 31 декабря 2010 - 21:12

Нет. Я заработал на незнании людей, исправляя.

#13 Гость_ИМХО_*

  • Гость

Отправлено 31 декабря 2010 - 21:34

За последний месяц встретился с тремя блокнутыми ПК.
1 - баннер висел около 15 минут и исчезал. Здесь все просто.
2 - уже сложнее, даже винда не грузилась. Снимал винт и через 2 ПК сканировал. Причем КИС2010 этот подарок не находил. Касперовская утилитка помогла.
3 - только сегодня добил. Ноут. Это уже сложнее.
Зараза загружалась вместе с виндой.
Сделал вебовский LiveCD. но млин, лузер. как пользоваться - хз.
сканер встроенный ничего не нашел.
вебовскую утилитку как запустить - хз.
пошел работать руками через файл-менеджер.
Почистил различные папки - ноль эмоций.
только после того, как вычистил виндовский темп - винда загрузилась.
утилитой поймал гада.

Затем проблема - проводник выключен, прав на изменение любых системных настроек нет, редактор реестра не запускается, раб стол убит и пр.
чистый экран.
помог ХР твикер. быстро все галочки расставил - и оп-ля!
тесть проставится!

кстати, Windows + U не действовал. блокер усовершенствованный.
Работало сочетание W+L, но ничего не дало. Ни справка, ничего другого из нее не вылезало

#14 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 01 января 2011 - 11:00

Win + U давно не работает, вирьмейкеры не боты. Dr.Web зачастую идёт лесом, лучше пользоваться Rescue CD от Кашпировского. А ещё лучше, раз уж речь зашла о загрузочниках, пользуйся WinPE содержащим на борту ERD Commander. Удалишь ручками за несколько минут. И как я раньше не догадался... :)

#15 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 07 февраля 2011 - 23:13

Столкнулся с ботвой ввиде наглухо закупоренных сайтов производителей антивирусов. Сходу оговорюсь, что hosts был чист как школьница, свежий антивирь не пищал, а одноразовые сканеры от Web'a и KAV'a курили в сторонке. С другого компа воспользовался услугой от Кашпировского под названием Антивирусная служба 911, зарегался, выбрал интересующий раздел поддержки и меня начали мурыжить: "Выполните этот скрипт, выполните другой скрипт...", "Просканируйте в таком положении", "Доложите о результатах..." :wacko: Всё разрешилось на шаге №7, когда измученный Каспер посоветовал слить какую-то буржуйскую утилиту по удалению малвари, и после её сканирования слить результаты не куда-нить, а именно Касперу(пральна, чуваки из KAV хотя бы на чужих толковых продуктах поучатся ;)). Кстати утилитка та, забугорная, нашла >200 заражённых объектов(преимущественно в реестре), после очистки которых и последующего ребута, сайты аверов откупорились, как миленькие. :)

Сообщение отредактировал Sergafan: 07 февраля 2011 - 23:18


#16 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 08 февраля 2011 - 06:47

Просмотр сообщенияSergafan (7.2.2011, 23:13) писал:

Столкнулся с ботвой ввиде наглухо закупоренных сайтов производителей антивирусов. Сходу оговорюсь, что hosts был чист как школьница

А насколько чиста была таблица маршрутизации?
Пробовал ли ты очищать её вручную?

#17 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 08 февраля 2011 - 08:19

Такая ситуация наблюдалась на протяжении нескольких месяцев, сперва было как-то пофиг, а когда резко приспичило наведаться на сайты аверов, понял, что это надо исправлять. А за это время и DNS-кэш чистился и всё сбрасывалось-перенастраивалось и т.д. С других компов в сети эти ресурсы были доступны, т.е. сразу было понятно, что DNS-сервер и шлюз не при делах.

#18 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 08 февраля 2011 - 15:03

А таблицу маршрутизации - смотрел?

#19 Cepro

    Почетный Павловчанин

  • Модератор
  • 5 426 сообщений
  • Пол:Мужчина
  • Город:/dev/null
  • Интересы:Всё понемногу

Отправлено 08 февраля 2011 - 18:56

Честно - нет

#20 Елесин

    Почетный Павловчанин

  • Заблокированный
  • PipPipPipPip
  • 3 591 сообщений
  • Пол:Не определился

Отправлено 08 февраля 2011 - 21:35

А зря. Опыт подсказывает, что дело в таком случае как раз в ней.





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных