Trojan.Winlock

[Шоколадный заяц]

Цитата:

Сообщение от Ork

Много даст! Ни одна системная библиотека не может быть просто так заменена. Тебе выскочит 20 предупреждений, и требование вставить диск с настоящей виндой. Поэтому это либо закос под системную службу, либо просто левый процесс. Кстати второй помощник - Process Explorer от того же разработчика. Он показывает все запущенные процессы, и загруженные библиотеки, в том числе и скрытые (в отличие от обычного таскменеджера). Вобщем мне этих инструментов было достаточно, чтобы справиться со всеми нештатно-вредоносными ситуациями. (ну и не исключая антивирь, который у меня каспер)

Валера, я не ошибся, написав в том посте, что была заменена некая библиотека в системных файлах. Я о том, что б восстановление запустить, подумал только после того, как вспомнил об этом факте. (Я слабо верю в "восстановление" и юзаю только от безнадеги или для восстановления системных файлов)
Я знаю, что и винда при замене ругается, и диск просит вставить. Однако тут все прошло гладко (даже предупреждения не было), что меня и удивило, а вернее сказать - успокоило. антивирь тоже промолчал.

[Ork]

Толян, ты так до конца и не понял, что у тебя произошло. Хотя тебе кажется, что понял. Давай попробую объяснить.

Во-первых. Почему ты решил, что это что-то системное? Это просто установилась программа, которая загружается первой (а порядок загрузки и задержки можно выставить в реестре, что она скорее всего и сделала). А сама программа выводит на экран надпись. Так почему же антивирус должен был ее заметить??? А вот например более серьезный пакет, типа где есть контроли доступа к реестру, мониторинг активности приложений и тп (у меня - кис), вот он-то как раз заметит и спросит дать ли соответствующие разрешения этой программе (доверенная она или нет). Установка прошла в результате левого служебного сообщения, которое можно сделать каким угодно. Программа спокойно установилась и прописалась в автозагрузку. Я не вижу ни одной причины, по которой должен был бы сработать антивирус (именно антивирус). Ну и так как это обычная программа, то и бороться с ней можно как с обычной программой.

[Шоколадный заяц]

Цитата:

Сообщение от Ork

Толян, ты так до конца и не понял, что у тебя произошло. Хотя тебе кажется, что понял. Давай попробую объяснить.

Во-первых. Почему ты решил, что это что-то системное? Это просто установилась программа, которая загружается первой (а порядок загрузки и задержки можно выставить в реестре, что она скорее всего и сделала). А сама программа выводит на экран надпись. Так почему же антивирус должен был ее заметить??? А вот например более серьезный пакет, типа где есть контроли доступа к реестру, мониторинг активности приложений и тп (у меня - кис), вот он-то как раз заметит и спросит дать ли соответствующие разрешения этой программе (доверенная она или нет). Установка прошла в результате левого служебного сообщения, которое можно сделать каким угодно. Программа спокойно установилась и прописалась в автозагрузку. Я не вижу ни одной причины, по которой должен был бы сработать антивирус (именно антивирус). Ну и так как это обычная программа, то и бороться с ней можно как с обычной программой.

Валера, я видел как при установке заменялась(-ись) библиотека(-ки) с адресом в \system32\
Программа http://2ip.ru/soft/startguard/?PHPSE...68b19a6e87ff61 так же не пискнула. Хотя она блокирует даже действия msconfig. Поэтому я предполагаю, что в автозагрузку ничего нового не прописалось, а вот замена загружаемой с чем-то библиотеки была. И уже через эту библиотеку оно и загружалось.

[Ork]

Толик! В систем32 очнь много чего находится! И не все является таким критически важным. Например, кодеки, драйвера периферии (там, конечно, вообще все дрова лежат). Они не мониторятся на предмет подмены. В эту папку может скопироваться все что угодно! Ты любую программу при желании можешь туда поставить. Что касается твоей программы, что это??? маленькая бесплатная утилитка неизвестного производителя? Ты серьезно считаешь, что она тебя от всего спасет??? Все-таки бесплатные продукты уступают платным и по возможностям, и по функциональности. Да и очевидно, человек, получающий деньги за свое детище, более заинтересован в создании хорошего инструмента (и соответственно в получении большей прибыли), нежели тот, кто знает, что сил угробит дофига, а все равно ничего не получит.

ЗЫ Исключение я знаю только одно! Эта программа была гвоздем какого-то номера какого-то журнала... то ли апгрейда, то ли еще какого... ее характеристикой являлась фраза "делает бесплатно то, что другие не делают за деньги" (это написано и на сайте). И это действительно так. Мне пришлось накачать кучу платных и бесплатных аналогов, чтоб решить свою проблему. Эта небольшая программка (причем версии 2-х летней давности) смогла сделать то, что не смогли сделать SoundForge 9, ни Audition (тогда у меня была версия только 1,5).

[Шоколадный заяц]

Цитата:

Сообщение от Ork

Толик! В систем32 очнь много чего находится! И не все является таким критически важным. Например, кодеки, драйвера периферии (там, конечно, вообще все дрова лежат). Они не мониторятся на предмет подмены. В эту папку может скопироваться все что угодно! Ты любую программу при желании можешь туда поставить. Что касается твоей программы, что это??? маленькая бесплатная утилитка неизвестного производителя? Ты серьезно считаешь, что она тебя от всего спасет??? Все-таки бесплатные продукты уступают платным и по возможностям, и по функциональности. Да и очевидно, человек, получающий деньги за свое детище, более заинтересован в создании хорошего инструмента (и соответственно в получении большей прибыли), нежели тот, кто знает, что сил угробит дофига, а все равно ничего не получит.

ЗЫ Исключение я знаю только одно! Эта программа была гвоздем какого-то номера какого-то журнала... то ли апгрейда, то ли еще какого... ее характеристикой являлась фраза "делает бесплатно то, что другие не делают за деньги" (это написано и на сайте). И это действительно так. Мне пришлось накачать кучу платных и бесплатных аналогов, чтоб решить свою проблему. Эта небольшая программка (причем версии 2-х летней давности) смогла сделать то, что не смогли сделать SoundForge 9, ни Audition (тогда у меня была версия только 1,5).

Валера, ну ты утверждаешь что у меня именно автозагрузка изменилась, так?

[Ork]

Цитата:

Сообщение от Шоколадный заяц

Валера, ну ты утверждаешь что у меня именно автозагрузка изменилась, так?

Я не могу ничего утверждать, так как я не смотрел твой компьютер. Но судя по моему опыту, это 90%. Дело в том, что это даже не нормальный вирус или добротный троян! Это наспех слепленная на коленке программулька для быстрого срубания небольшого количества бабла от тех, кто поведется и отошлет смс... Чтобы написать хороший вирус, или троян это надо ой как постараться...

[asvensen]

классный вирус))) на всем деньги делает народ)))))