Страница 1 из 1

windowsdefendпро и прочая куетень...

Добавлено: 09 мар 2010, 10:59
Starley440
"Нас атакует дерьмо!..."(С) х.ф. Хакеры
[img]http://a-panov.ru/wp-content/uploads/2010/02/windowsdefendpro_com-300x226.jpg[/img]

В коде присутствуют "украинские руки" и код расчитан только на Россию.
Видели когда нить BSOD в окне? Бывает и такое: :mega_lol:
[img]http://www.tehnari.ru/imagehosting/2010/02/28/210444b8a6dbad7789.jpg[/img]

Код могу предоставить (ибо успел сдёрнуть до того, как антивирус его пристрелил).
Поведётесь - будет вам минус 1200 рублей со счёта в телефоне и спайварь в компе.Плюс к тому, в сервисе, если ума хватит СМС-ку отправить, реализована система продления подписки. Т.е. с вашего счёта потом ежедневно по полтинику срывать будут. И большая вероятность получить ScreenLock на весь экран.
Большинство пользователей подходит к этому критично и тупо сносят систему и переустанавливают. Но можно загрузиться с какого нибудь "реаниматора" и за тем натравить антивирусник. (Скорее всего найдётся файл MD5.exe в папке system32 и кучка авторанов)

Способов борьбы несколько:
1. Из диспетчера задач снимать браузер из процессов.
2. При помощи антивирусника или фаервола блокировать подобные адреса (Работают ребята как стахановцы. У меня уже штук 8 адресов набралось, откуда это говно лезет. :tooth: НОД32 эту заразу в "блокировании HTML адресов" режет)
3. Заюзать какой нибудь плагин или дополнение к браузеру, чтобы блокировать эту хрень. (У меня под Мозиллой стоит AdBlocker)

Приколы:
- Потрясающе, но под IE8 и Оперой (десятой, кажется) эта ерундень не выскакивает. Показывает сразу "Домен закрыт".
- Окно от Windows XP не смотря на операционку в которой вы работаете. (У меня на Убунте такое вылезло :mega_lol: )
- Количество дисков-папок и их названия не соответствует действительности.

Re: windowsdefendпро и прочая куетень...

Добавлено: 09 мар 2010, 11:09
wenzel
Starley440
знаем такие приколы, встречались :)

Телефончик на который они просят смс надо отправить ОБЭП, или сообщить об этом оператору сотовой связи.
Может это, конечно, и пройдет даром, но все же... Себя хотя бы потешить можно :grin: :cry:

Re: windowsdefendпро и прочая куетень...

Добавлено: 09 мар 2010, 11:14
Starley440
wenzel писал(а):Starley440
знаем такие приколы, встречались :)

Телефончик на который они просят смс надо отправить ОБЭП, или сообщить об этом оператору сотовой связи.
Может это, конечно, и пройдет даром, но все же... Себя хотя бы потешить можно :grin: :cry:
Действительно ... разве что в милицию написать кляузу. "Она всегда помогает" :mega_lol:

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 11:41
Starley440
Баян тут прицепился...
[img]http://talks.mark-itt.ru/forums/icons/forum_pictures/001252/1252535.jpg[/img]

При прилипании этой куйни "кантрол-альт-дел" не поможет. Окно открывается и тут же сворачивается в трей, откуда не дает его достать.
В безопасном режиме получите ошибку DCOM и перезагрузку через минуту.

Есть файловый менеджер FAR и в нем Ctrl+F1(F2) далее выбираем 4(Список процессов). Ищем plugin.exe и жмём на нем F8. Окно тихо дохнет. На себе испробовал только что.

Т.к. антивирусник нихрена с этой дрянью не делает, ибо запускается если сам случайно в баннер тыкнул, а путь, откуда запускается эта фигня, постоянный, то имеет смысл поступить так:

Заходим Пуск - Панель управления - Администрирование - Политики ограниченного использования программ - Дополнительные правила. В правом окне тыкаем правой кнопкой мыши и выбираем Создать правило для пути.
Жмём обзор и выбираем C:\Program Files\plugin.exe . Уровень безопасности - не разрешено. Описание - Окно с голыми бабами ;) .

Удачи :oops:

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 11:44
wenzel
Starley440
слушай, а не спасет вариант если не работать с правами админа?
от некоторого разного нехорошего говна этот вариант весьма действенен ;)

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 11:49
Starley440
wenzel писал(а):Starley440
слушай, а не спасет вариант если не работать с правами админа?
Если только создание локальных файлов запретить. А это в офисах не реально.
Она пошло в HKCU... run прописывается. Проще запуск этой программы совсем запретить на машине.
Проблема в том, что неизвестно, что эту хрень создаёт. Закачивается безвредная программа, чтобы кода в ней не было, а потом эта программа генерит этот самый плугин.ехе (который тоже не вирус, а банальный Наг-скрин).
Так что, с точки зрения антивируса - всё честно.

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 11:56
wenzel
Starley440 писал(а):Если только создание локальных файлов запретить. А это в офисах не реально.
Она пошло в HKCU... run прописывается. Проще запуск этой программы совсем запретить на машине.
если я не ошибаюсь то обычному пользователю запрещена запись в c:\program files (по крайней мере у меня тут запрещено)
так как он создается и запускается? :spy:
Starley440 писал(а):Проблема в том, что неизвестно, что эту хрень создаёт.
вариантов в общем-то не так много... браузер, jvm - первое что пришло в голову... Браузер (если там нет дыры, конечно :mega_lol: ) запускается с правами обычного пользователя, а потому не думаю что он может породить процесс, обладающий правами local-админа...
есть еще идеи?

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 12:02
Starley440
При доменной сетке, нормальных настройках политик безопасности и прямых драйверах ruki.sys и golova.dll проблем не должно возникать. А вот домашним компьютерам вполне может пригодиться. Там все от РУТа работают :tooth:
Кстати, только что вытравил ветку в HKLM :? Это уже чисто ради животного интереса полез.

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 12:06
wenzel
Starley440 писал(а):Там все от РУТа работают
не все :tooth:
кстати, а как он в семерке/дристе проскакивает через UAC? или таки не проскакивает?

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 12:09
Starley440
wenzel писал(а):
Starley440 писал(а):Там все от РУТа работают
не все :tooth:
кстати, а как он в семерке/дристе проскакивает через UAC?
Я у себя эту фигню отключил, чтобы окнами не бесила :lol:
У меня на семёрке не проскочил.
Кстати, третий NOD32 его не ловит. А вот ESS NOD32 его грохает без записи.
И четвертая версия с этой штукой борется успешно.

Re: windowsdefendпро и прочая куетень...

Добавлено: 22 мар 2010, 18:29
prick
wenzel писал(а):есть еще идеи?
не грузить с инета всякую хрень :lol: я обновляю проги с оффсайтов, всякие плагины тоже, сижу под админом :P если и зацеплю какую- нибудь дрянь, то зайду со 2-го жесткого резервной системой и поубиваю все лишнее