83 ответов в этой теме

[JAGUAR3]

Не работает! Пишет что не достаточно прав, обратитесь к администратору. Нет доступа ни к командной строке ни к Эксплореру (который браузер)

А на этой машине есть еще пользователи? Если есть - как у них? Если нет - можно ли создать через "Мой компьютер" - "Управление" - "Локальные пользователи и группы"?

Та-же петрушка случилась у моего товарища, он позвал на помощь меня...
Я достал файлы из его машины, которые всё это сделали и запаковал в архивы, DrWeb их не видит, онлайн проверка тоже не дала результатов...
Удалив эти файлы из системы запустил восстановление с контрольной точки состояния до запуска этих файлов - помогло...
...но получается, это можно сделать только там, где включена служба восстановления...
отправил эти файлы на проверку, получил на мыло код, но не знаю что с ним делать (drweb.com #885325) ...
...и что делать с этими файлами, может ещё кому отправить???
файлы такие: install_flash_player.exe, за ним запускается автоматом gopa.EXE и в папке Windows появляется lol.exe, в постоянной автозагрузке...Удалив эти файлы смог только избавиться от огромной жопы, контрольную точку искал загрузившись с CD-LiteXP(реаниматор) - (ERD-comand...)
Знаю, что есть ещё что-то, что не давало загрузиться в безопасном режиме, но не нашёл...

[JAGUAR3]

Не работает! Пишет что не достаточно прав, обратитесь к администратору. Нет доступа ни к командной строке ни к Эксплореру (который браузер)

А на этой машине есть еще пользователи? Если есть - как у них? Если нет - можно ли создать через "Мой компьютер" - "Управление" - "Локальные пользователи и группы"?

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

[YVS]

JAGUAR3
Даже для "такой же петрушки" надо создавать отдельную тему.

отправил эти файлы на проверку, получил на мыло код, но не знаю что с ним делать (drweb.com #885325)

Вы все правильно сделали - опубликовали этот код http://forum.drweb.com/public/style_emoticons/default/smile.png

Удалив эти файлы из системы запустил восстановление с контрольной точки состояния до запуска этих файлов - помогло...

Т.е. удаление этих файлов не помогло?

[JAGUAR3]

JAGUAR3
Даже для "такой же петрушки" надо создавать отдельную тему.

отправил эти файлы на проверку, получил на мыло код, но не знаю что с ним делать (drweb.com #885325)

Вы все правильно сделали - опубликовали этот код http://forum.drweb.com/public/style_emoticons/default/smile.png

Удалив эти файлы из системы запустил восстановление с контрольной точки состояния до запуска этих файлов - помогло...

Т.е. удаление этих файлов не помогло?

удаление этих файлов позволило лишь увидеть картинку рабочего стола, без доступа...
но далее, загрузившись с CD и запустив восст с контрольной точки - винда запустилась...
Чуть не забыл, - у товарища установлен drweb-500-win-space, при этом, если в 07.30 уже доступ отсутствовал - обновление баз всё равно прошло в 09.ХХ...(может это тоже понадобится...)
...это я заметил сразу после восстановления системы...
и вот ещё откопал: в текстовичке ссылка, с которой всё началось...

Сообщение было изменено YVS: 18 Май 2009 - 11:09
Удалил опасный файл

[mrbelyash]

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

Как то не верится,что прямо таки все службы http://forum.drweb.com/public/style_emoticons/default/wink.png

[JAGUAR3]

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

Как то не верится,что прямо таки все службы http://forum.drweb.com/public/style_emoticons/default/wink.png

Если всё-же не жаль своего времени - можете для чистоты эксперримента установить где-нить (на отдельном диске) Windows+DrWeb и попробовать, запустив вышеуказанный "install_flash_player.exe"
Я лично буду пробовать, чтоб найти все тонкости этого "паразита"...
Проверил на вирус-тотал, вот результат: http://www.virustotal.com/ru/analisis/08bd...8110c424b592018
и вот второй на тотал, gopa.exe, он-же lol.exe: http://www.virustotal.com/ru/analisis/952c...ee360d03ab11399

[ast]

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

Как то не верится,что прямо таки все службы http://forum.drweb.com/public/style_emoticons/default/wink.png

Если всё-же не жаль своего времени - можете для чистоты эксперримента установить где-нить (на отдельном диске) Windows+DrWeb и попробовать, запустив вышеуказанный "install_flash_player.exe"
Я лично буду пробовать, чтоб найти все тонкости этого "паразита"...
Проверил на вирус-тотал, вот результат: http://www.virustotal.com/ru/analisis/08bd...8110c424b592018
и вот второй на тотал, gopa.exe, он-же lol.exe: http://www.virustotal.com/ru/analisis/952c...ee360d03ab11399

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

[v.martyanov]

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

Как то не верится,что прямо таки все службы http://forum.drweb.com/public/style_emoticons/default/wink.png

Если всё-же не жаль своего времени - можете для чистоты эксперримента установить где-нить (на отдельном диске) Windows+DrWeb и попробовать, запустив вышеуказанный "install_flash_player.exe"
Я лично буду пробовать, чтоб найти все тонкости этого "паразита"...
Проверил на вирус-тотал, вот результат: http://www.virustotal.com/ru/analisis/08bd...8110c424b592018
и вот второй на тотал, gopa.exe, он-же lol.exe: http://www.virustotal.com/ru/analisis/952c...ee360d03ab11399

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

Я сегодня очередной забавный вариант видел: quick batch compiler, батник меняет /etc/hosts, чтобы популярные сайты редиректились на страницу с просьбой отправить СМС.

[YVS]

Я сегодня очередной забавный вариант видел: quick batch compiler, батник меняет /etc/hosts, чтобы популярные сайты редиректились на страницу с просьбой отправить СМС.

Совсем обленились http://forum.drweb.com/public/style_emoticons/default/smile.png

[JAGUAR3]

Отрубаются абсолютно все службы, никакого доступа никуда, ни одна програмулинка не запускается..., ни установить, ни добавить, ни изменить что-либо...

Как то не верится,что прямо таки все службы http://forum.drweb.com/public/style_emoticons/default/wink.png

Если всё-же не жаль своего времени - можете для чистоты эксперримента установить где-нить (на отдельном диске) Windows+DrWeb и попробовать, запустив вышеуказанный "install_flash_player.exe"
Я лично буду пробовать, чтоб найти все тонкости этого "паразита"...
Проверил на вирус-тотал, вот результат: http://www.virustotal.com/ru/analisis/08bd...8110c424b592018
и вот второй на тотал, gopa.exe, он-же lol.exe: http://www.virustotal.com/ru/analisis/952c...ee360d03ab11399

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

Не понял, это как?

[v.martyanov]

Я сегодня очередной забавный вариант видел: quick batch compiler, батник меняет /etc/hosts, чтобы популярные сайты редиректились на страницу с просьбой отправить СМС.

Совсем обленились http://forum.drweb.com/public/style_emoticons/default/smile.png

Да не то слово! Скоро можно будет классическое "Отошлите это письмо всем своим знакомым и трижды отформатируйте жесткие диски" наблюдать...

[ast]

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

Не понял, это как?

троян ждет код 667895, если его ввести, то он самоудаляется

[Borka]

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

Не понял, это как?

троян ждет код 667895, если его ввести, то он самоудаляется

Куда ввести-то? http://forum.drweb.com/public/style_emoticons/default/unsure.png

[JAGUAR3]

мде, какая человек с альтернативными умственными способностямиская поделка. пароль для разблокировки захаркоден = 667895

Не понял, это как?

троян ждет код 667895, если его ввести, то он самоудаляется

Куда ввести-то? http://forum.drweb.com/public/style_emoticons/default/unsure.png

На сколь я понял - на фотографии жопы!!!
Но лучше сделать так, чтоб мой любимый DrWeb просто не позволял запускаться таким фишкам...

[YVS]

Куда ввести-то?

 lock.jpg   33,78К   113 Скачано раз

[Borka]

Куда ввести-то?

 lock.jpg   33,78К   113 Скачано раз

А! Я так понял, что на экране ничего нет.

[YVS]

А! Я так понял, что на экране ничего нет.

Кроме поля ввода еще есть фотография *опы.
Вырезана цензурой http://forum.drweb.com/public/style_emoticons/default/smile.png

[JAGUAR3]

Куда ввести-то?

 lock.jpg   33,78К   113 Скачано раз

А! Я так понял, что на экране ничего нет.

Это маленькая часть того, что на экране...
Мне сейчас в личку сообщили, что - "Каспером, все три файла ловит как: Trojan-Ransom.Win32.Agent.av
А Доктор пока ни ловит ни один файл" ...
Обидно как-то, я ведь ярый противник Каспера...(т.е. не признаю его...)

[YVS]

Мне сейчас в личку сообщили, что - "Каспером, все три файла ловит как: Trojan-Ransom.Win32.Agent.av

На самом деле файлов всего два http://forum.drweb.com/public/style_emoticons/default/smile.png

А Доктор пока ни ловит ни один файл" ...
Обидно как-то, я ведь ярый противник Каспера...(т.е. не признаю его...)

Просто к ним сэмпл раньше попал

[JAGUAR3]

Мне сейчас в личку сообщили, что - "Каспером, все три файла ловит как: Trojan-Ransom.Win32.Agent.av

На самом деле файлов всего два http://forum.drweb.com/public/style_emoticons/default/smile.png

А Доктор пока ни ловит ни один файл" ...
Обидно как-то, я ведь ярый противник Каспера...(т.е. не признаю его...)

Просто к ним сэмпл раньше попал

На самом деле файлов всего два
...согласен, два из них - одно и то-же по содержимому, только в разные места устанавливаются под разными именами...