• Объявления

windowsdefendпро и прочая куетень...

Обсуждаем операционные системы, прикладные программы и прочее программное обеспечение. Не обсуждаем взлом программного обеспечения.

Модератор: Starley440

  • Объявления

Автор
Сообщение
Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

windowsdefendпро и прочая куетень...

Сообщение Starley440 » 09 мар 2010, 10:59

"Нас атакует дерьмо!..."(С) х.ф. Хакеры
#375

В коде присутствуют "украинские руки" и код расчитан только на Россию.
Видели когда нить BSOD в окне? Бывает и такое: :mega_lol:
#375

Код могу предоставить (ибо успел сдёрнуть до того, как антивирус его пристрелил).
Поведётесь - будет вам минус 1200 рублей со счёта в телефоне и спайварь в компе.Плюс к тому, в сервисе, если ума хватит СМС-ку отправить, реализована система продления подписки. Т.е. с вашего счёта потом ежедневно по полтинику срывать будут. И большая вероятность получить ScreenLock на весь экран.
Большинство пользователей подходит к этому критично и тупо сносят систему и переустанавливают. Но можно загрузиться с какого нибудь "реаниматора" и за тем натравить антивирусник. (Скорее всего найдётся файл MD5.exe в папке system32 и кучка авторанов)

Способов борьбы несколько:
1. Из диспетчера задач снимать браузер из процессов.
2. При помощи антивирусника или фаервола блокировать подобные адреса (Работают ребята как стахановцы. У меня уже штук 8 адресов набралось, откуда это говно лезет. :tooth: НОД32 эту заразу в "блокировании HTML адресов" режет)
3. Заюзать какой нибудь плагин или дополнение к браузеру, чтобы блокировать эту хрень. (У меня под Мозиллой стоит AdBlocker)

Приколы:
- Потрясающе, но под IE8 и Оперой (десятой, кажется) эта ерундень не выскакивает. Показывает сразу "Домен закрыт".
- Окно от Windows XP не смотря на операционку в которой вы работаете. (У меня на Убунте такое вылезло :mega_lol: )
- Количество дисков-папок и их названия не соответствует действительности.
Последний раз редактировалось Starley440 09 мар 2010, 11:10, всего редактировалось 1 раз.
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
wenzel
Истинный Фанат
Истинный Фанат
 
Сообщения: 2935
Зарегистрирован:
04 май 2009, 09:07
Откуда: Санкт-Петербург
Моя Страница: Посмотреть Мою Страницу

Сообщение wenzel » 09 мар 2010, 11:09

Starley440
знаем такие приколы, встречались :)

Телефончик на который они просят смс надо отправить ОБЭП, или сообщить об этом оператору сотовой связи.
Может это, конечно, и пройдет даром, но все же... Себя хотя бы потешить можно :grin: :cry:
Подпись не нужна.

Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

Сообщение Starley440 » 09 мар 2010, 11:14

wenzel писал(а):Starley440
знаем такие приколы, встречались :)

Телефончик на который они просят смс надо отправить ОБЭП, или сообщить об этом оператору сотовой связи.
Может это, конечно, и пройдет даром, но все же... Себя хотя бы потешить можно :grin: :cry:


Действительно ... разве что в милицию написать кляузу. "Она всегда помогает" :mega_lol:
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

Сообщение Starley440 » 22 мар 2010, 11:41

Баян тут прицепился...
#375

При прилипании этой куйни "кантрол-альт-дел" не поможет. Окно открывается и тут же сворачивается в трей, откуда не дает его достать.
В безопасном режиме получите ошибку DCOM и перезагрузку через минуту.

Есть файловый менеджер FAR и в нем Ctrl+F1(F2) далее выбираем 4(Список процессов). Ищем plugin.exe и жмём на нем F8. Окно тихо дохнет. На себе испробовал только что.

Т.к. антивирусник нихрена с этой дрянью не делает, ибо запускается если сам случайно в баннер тыкнул, а путь, откуда запускается эта фигня, постоянный, то имеет смысл поступить так:

Заходим Пуск - Панель управления - Администрирование - Политики ограниченного использования программ - Дополнительные правила. В правом окне тыкаем правой кнопкой мыши и выбираем Создать правило для пути.
Жмём обзор и выбираем C:\Program Files\plugin.exe . Уровень безопасности - не разрешено. Описание - Окно с голыми бабами ;) .

Удачи :oops:
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
wenzel
Истинный Фанат
Истинный Фанат
 
Сообщения: 2935
Зарегистрирован:
04 май 2009, 09:07
Откуда: Санкт-Петербург
Моя Страница: Посмотреть Мою Страницу

Сообщение wenzel » 22 мар 2010, 11:44

Starley440
слушай, а не спасет вариант если не работать с правами админа?
от некоторого разного нехорошего говна этот вариант весьма действенен ;)
Подпись не нужна.

Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

Сообщение Starley440 » 22 мар 2010, 11:49

wenzel писал(а):Starley440
слушай, а не спасет вариант если не работать с правами админа?


Если только создание локальных файлов запретить. А это в офисах не реально.
Она пошло в HKCU... run прописывается. Проще запуск этой программы совсем запретить на машине.
Проблема в том, что неизвестно, что эту хрень создаёт. Закачивается безвредная программа, чтобы кода в ней не было, а потом эта программа генерит этот самый плугин.ехе (который тоже не вирус, а банальный Наг-скрин).
Так что, с точки зрения антивируса - всё честно.
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
wenzel
Истинный Фанат
Истинный Фанат
 
Сообщения: 2935
Зарегистрирован:
04 май 2009, 09:07
Откуда: Санкт-Петербург
Моя Страница: Посмотреть Мою Страницу

Сообщение wenzel » 22 мар 2010, 11:56

Starley440 писал(а):Если только создание локальных файлов запретить. А это в офисах не реально.
Она пошло в HKCU... run прописывается. Проще запуск этой программы совсем запретить на машине.

если я не ошибаюсь то обычному пользователю запрещена запись в c:\program files (по крайней мере у меня тут запрещено)
так как он создается и запускается? :spy:
Starley440 писал(а):Проблема в том, что неизвестно, что эту хрень создаёт.

вариантов в общем-то не так много... браузер, jvm - первое что пришло в голову... Браузер (если там нет дыры, конечно :mega_lol: ) запускается с правами обычного пользователя, а потому не думаю что он может породить процесс, обладающий правами local-админа...
есть еще идеи?
Подпись не нужна.

Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

Сообщение Starley440 » 22 мар 2010, 12:02

При доменной сетке, нормальных настройках политик безопасности и прямых драйверах ruki.sys и golova.dll проблем не должно возникать. А вот домашним компьютерам вполне может пригодиться. Там все от РУТа работают :tooth:
Кстати, только что вытравил ветку в HKLM :? Это уже чисто ради животного интереса полез.
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
wenzel
Истинный Фанат
Истинный Фанат
 
Сообщения: 2935
Зарегистрирован:
04 май 2009, 09:07
Откуда: Санкт-Петербург
Моя Страница: Посмотреть Мою Страницу

Сообщение wenzel » 22 мар 2010, 12:06

Starley440 писал(а):Там все от РУТа работают

не все :tooth:
кстати, а как он в семерке/дристе проскакивает через UAC? или таки не проскакивает?
Подпись не нужна.

Аватара пользователя
Starley440
Супермодератор
Супермодератор
 
Сообщения: 1068
Зарегистрирован:
09 май 2009, 19:48
Откуда: Санкт-Петербург

Сообщение Starley440 » 22 мар 2010, 12:09

wenzel писал(а):
Starley440 писал(а):Там все от РУТа работают

не все :tooth:
кстати, а как он в семерке/дристе проскакивает через UAC?


Я у себя эту фигню отключил, чтобы окнами не бесила :lol:
У меня на семёрке не проскочил.
Кстати, третий NOD32 его не ловит. А вот ESS NOD32 его грохает без записи.
И четвертая версия с этой штукой борется успешно.
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...

Аватара пользователя
prick
*AMD OverClan*
 
Сообщения: 1272
Зарегистрирован:
05 май 2009, 22:54
Откуда: samara

Сообщение prick » 22 мар 2010, 18:29

wenzel писал(а):есть еще идеи?

не грузить с инета всякую хрень :lol: я обновляю проги с оффсайтов, всякие плагины тоже, сижу под админом :P если и зацеплю какую- нибудь дрянь, то зайду со 2-го жесткого резервной системой и поубиваю все лишнее
intel outside... -=AMD POWER FAN CLUB=-Phenom x4 945,Gigabyte MA770-UD3,Sapphire Radeon 4770
*AMD OverClan*



  • Объявления

Вернуться в Программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


  • Объявления
cron