Hip-Hop.Ru - Центральный сайт о Хип Хоп культуре в Рунете

Разговоры
  Hip-Hop.Ru Форум Пользователи Социальные группы Сообщения за день Баня Поиск Сообщения за день Все разделы прочитаны
Страница 1 из 15: 1234567811 Последняя »
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:01
  #1 (ПС)
Lightbulb  Для всех, кто подцепил вирус со скрином
Описание вируса и как с ним бороться

Когда мы заходим на сайт, нам через ошибку броузера (или еще как-то)
пихается такой файл upnp.exe
Он прописывается в реестр в раздел программ, загружающихся вместе с Вашим
компьютером.
Эта программа - скачиватель основной части трояна. Она загружает с определенных
сайтов разные файлы.

Данный троян - прокси сервер, используется для того, чтобы другой человек мог производить различные действия от Вашего IP-адреса. Например, рассылать спам.
Также сожержит возможность загружать на Ваш компьютер другие программы и запускать.

В результате в папке C:\windows\system32 появляются следующие файлы:
unpn.exe
rsvp32_2.dll - сам троян
sporder.dll
trj35_1.tmp
trj35_2.tmp
uin.txt - сюда записываются все UIN ICQ
adv.txt - текст сообщения для отправки по ICQ

Эти файлы нужно удалить. Обычно они обнаруживаются, когда уже загружены системой и
используются ей, и удалить их просто нажав Del не получится.
Как удалить:

Сделайте это антивирусом. Обычно есть такая возможность у большинства антивирусов,
когда какой-то файл можно пометить как "нехороший", и он будет удален после
перезагрузки, еще до загрузки операционной системы.
ИЛИ
Перезагрузитесь, и перед загрузкой операционной системы нажмите F8. Выберите
из списка загрузку в SafeMode (Безопасный режим). Эти файлы можно будет спокойно удалить.
ИЛИ
Перезагрузитесь с загрузочной дискеты, и удалите через DOS.

Но это еще не все. Дело в том, что rsvp32_2.dll прописывается в реестре как
поставщик услуг интернета, и после его удаления сеть не будет работать или будет работать с ошибками.
Переустановка операционной системы не поможет, поскольку эти параметры сохраняются.
Нам нужно самостоятельно отредактировать некоторые вещи в реестре.

Нажмите "Пуск" -> Выполинть. Введте regedit
Загрузится редактор реестра.
Откройте ветвь реестра
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке

%SystemRoot% - это переменная среды, содержащая пусть к системномй каталогу
обычно содержит "C:\windows
mswsock.dll - библиотека

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:
rsvp32_2.dll.system32\mswsock.dll
То есть загружается не системная библиотека, а библиотека вируса.
Поскольку мы удалили ее, система ее не находит, и сеть не работает.

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:
%SystemRoot%\system32\mswsock.dll

Нам необходимо проверить все разделы этой ветви и внести необходимые изменения, если нужно. Троян редактирует не все ветви.

У нас есть еще три ветви в реестре:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь также нужно проверить те же самые параметры, и внести изменения, если
необходимо.

Все! Перезагружаемся, и все работает. Чувствуем себя победителем и даже немного профессионалом.

Совет: Каждый раз перед выключением компьютера взгляните, что загрузится вместе с Windows
при следующей загрузке. Это можно сделать в программе Сведения о системе
Пуск -> Все программы -> Стандартные -> Служебные
В ней раздел "Программная среда"

Или могу посоветовать программу StartUp organizer.
Если есть что-то подозрительное, то удаляем из автозагрузки, и идем в поисковик для поиска информации по этой программе, чтобы понять, это вирус или полезная программа.
Удачи.

Rakim - Finest Ones (feat. Clark Kent)
offline
Ответить с цитированием
демонолог
Аватар для Tristan!
Сообщения: 3,351
Регистрация: 28.11.2005
Откуда: Донецк
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:25
  #2 (ПС)
пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:30
  #3 (ПС)
-Цитата от Святой источник Посмотреть сообщение
пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)
))) У меня эта хуета только через три дня стала ссылки к постам прибавлять

offline
Ответить с цитированием
демонолог
Аватар для Tristan!
Сообщения: 3,351
Регистрация: 28.11.2005
Откуда: Донецк
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:39
  #4 (ПС)
-Цитата от Раффи Посмотреть сообщение
))) У меня эта хуета только через три дня стала ссылки к постам прибавлять
я полчаса назад нажал на эту хуйню,написало что страницы такой нету.

я ещё комп не перезагружал.
можно чето предпринять?

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:43
  #5 (ПС)
-Цитата от Святой источник Посмотреть сообщение
я полчаса назад нажал на эту хуйню,написало что страницы такой нету.

я ещё комп не перезагружал.
можно чето предпринять?
хуй его знает.
Попробуй сделать как в топ-посте расписано.

offline
Ответить с цитированием
демонолог
Аватар для Tristan!
Сообщения: 3,351
Регистрация: 28.11.2005
Откуда: Донецк
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:44
  #6 (ПС)
-Цитата от Раффи Посмотреть сообщение
хуй его знает.
Попробуй сделать как в топ-посте расписано.
в вин32 таких файлов нету

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 15:48
  #7 (ПС)
-Цитата от Святой источник Посмотреть сообщение
в вин32 таких файлов нету
какой нах вин32?
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром

offline
Ответить с цитированием
демонолог
Аватар для Tristan!
Сообщения: 3,351
Регистрация: 28.11.2005
Откуда: Донецк
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 16:00
  #8 (ПС)
-Цитата от Раффи Посмотреть сообщение
какой нах вин32?
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром
нету таких) походу мне повезло

offline
Ответить с цитированием
few
-
Сообщения: 12,601
Регистрация: 22.01.2005
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 16:28
Домашняя страница Instagram
  #9 (ПС)
-Цитата от Святой источник Посмотреть сообщение
пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)
там уже автозамена стоит на форуме, там у тебя не открылась ссылка просто

offline
Ответить с цитированием
高級會員
Сообщения: 7,110
Регистрация: 04.04.2006
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 17:30
  #10 (ПС)
Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.

offline
Ответить с цитированием
активный пользователь
Сообщения: 2,990
Регистрация: 27.08.2006
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 18:07
ВКонтакте
  #11 (ПС)
Помню был у меня этот вирус, я создавал тему, но ее админы удалили))
ФБляч, ну короч я винду переставил
, исавчас не че ни тапитт

offline
Ответить с цитированием
активный пользователь
Сообщения: 2,990
Регистрация: 27.08.2006
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 18:07
ВКонтакте
  #12 (ПС)
я говорю ни че не тупит

offline
Ответить с цитированием
активный пользователь
Сообщения: 2,990
Регистрация: 27.08.2006
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 18:08
ВКонтакте
  #13 (ПС)
извиняюсь, просто глючит

offline
Ответить с цитированием
маячек+
Аватар для SvG (ViRec.)
Сообщения: 3,910
Регистрация: 21.09.2006
Откуда: space
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 18:15
Домашняя страница ВКонтакте Live Journal MySpace
  #14 (ПС)
А у меня она в аське рассылает другим хотя я даже не подозреваю об этом!
Придется удалить..

offline
Ответить с цитированием
О_О
Аватар для Cheez
Сообщения: 7,939
Регистрация: 22.04.2005
Откуда: Луганск
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 22:32
ВКонтакте MySpace
  #15 (ПС)
-Цитата от Раффи Посмотреть сообщение
))) У меня эта хуета только через три дня стала ссылки к постам прибавлять
такая хуета может влезть в мобилу?

offline
Ответить с цитированием
orange
Аватар для 3looby
Сообщения: 2,859
Регистрация: 04.07.2006
Откуда: Там, где вместо фонарей, мохнатые пальмы
Старый пост, нажмите что бы добавить к себе блог 17 марта 2007, 23:03
ВКонтакте Live Journal
  #16 (ПС)
-Цитата от Arnie Посмотреть сообщение
Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.
ну ты лол ваще. чувак грамотно расписал все... руки выпрями и вперед

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 16:38
  #17 (ПС)
Arnie, ну проще-не проще, а 20 минут возни, и всё нормально. Без загонов.
-SVG-, она именно через асю и действует
Cheez, вряд ли
3looby,

offline
Ответить с цитированием
Bass Wondermaker
Аватар для Sashaslay
Сообщения: 8,164
Регистрация: 04.10.2006
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 16:54
  #18 (ПС)
а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он?

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 17:15
  #19 (ПС)
-Цитата от Dj [SL.AY] Посмотреть сообщение
а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он?
Нет, это системные файлы

offline
Ответить с цитированием
X
Аватар для Tinuccio
Сообщения: 4,768
Регистрация: 04.01.2007
Откуда: m
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 18:02
  #20 (ПС)
-Цитата от Arnie Посмотреть сообщение
Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.
да ну ты че.
проще комп новый купить

пс у меня его nod32 сразу впалил как я только на ссылку нажал

offline
Ответить с цитированием
☭Огонь по штабам!☭
Аватар для Double V
Сообщения: 16,311
Регистрация: 05.03.2002
Откуда: Soviet Tibet
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 18:07
Домашняя страница Live Journal
  #21 (ПС)
автор молодчага

темку прикрепить было бы хорошо... а то у меня у каждоговторого васе такая хуйня....

но чукча умный - чукча презерватив одевает на мышку, прежде чем ссылку нажать

offline
Ответить с цитированием
√4
Аватар для reyk
Сообщения: 1,010
Регистрация: 09.05.2006
Откуда: Рига
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 18:08
  #22 (ПС)
слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам

offline
Ответить с цитированием
заги бок
Аватар для MiG29
Сообщения: 1,440
Регистрация: 06.06.2002
Откуда: овотрофел
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 18:11
Домашняя страница ВКонтакте Live Journal MySpace
  #23 (ПС)
я чист.
алах акбар нод 32.

offline
Ответить с цитированием
just h-h baby)))
Аватар для Zeke
Сообщения: 1,293
Регистрация: 02.06.2006
Откуда: south
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 20:14
  #24 (ПС)
ага заебали уже в асю иврусы кидать

offline
Ответить с цитированием
fade
Аватар для Rinzai
Сообщения: 6,782
Регистрация: 01.11.2006
Откуда: 2M1207b/μ
Старый пост, нажмите что бы добавить к себе блог 18 марта 2007, 20:25
  #25 (ПС)
-Цитата от Zeke Посмотреть сообщение
ага заебали уже в асю иврусы кидать
Как правило, человек не видит, что кидается его контактам с его аккаунта)

-
слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам
он не сразу начинает выёбывать комп

Double V, нутк ёпт, через резиновый клапан хуй какой вирус подберется (:

offline
Ответить с цитированием
Страница 1 из 15: 1234567811 Последняя »
Ответ
Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы
Часовой пояс GMT +3, время: 12:43.