Гугль - хуйло! ла-ла-ла-ла-ла
С нами с 22.02.03
Сообщения: 1378
Рейтинг: 1478
|
Добавлено: 13/10/06 в 09:07 |
A d u l t писал: | Может быть это в Win98 или на FAT32 папка называется RECYCLED, но в WinXP на ntfs она точно RECYCLER |
Так и есть походу.
Цитата: |
On FAT drives, the directory that stores files in the Recycle Bin is called C:\RECYCLED, but on NTFS drives, its name is C:\RECYCLER. Why the name change?
The FAT and NTFS Recycle Bins have different internal structure because NTFS has this thing called "security" and FAT doesn't. All recycled files on FAT drives are dumped into a single C:\RECYCLED directory, whereas recycled files on NTFS drives are separated based on the user's SID into directories named C:\RECYCLER\S-....
|
http://blogs.msdn.com/oldnewthing/archive/2006/01/31/520225.aspx
|
|
|
|
С нами с 28.02.06
Сообщения: 44
|
Добавлено: 14/10/06 в 19:48 |
Да, последняя ссылка в тему. Похоже все дело не в винде, а типе файловой системы.
Дома у меня FAT32 - потому и козина RECYCLED
А на работе NTFS - отсюда корзина RECYCLER появилась (видимо когда-то там был FAT32, и вторая папка RECYCLED с тех пор оставшись)
Тогда вопрос с корзинками закрыт.
|
|
|
|
С нами с 16.10.06
Сообщения: 3
|
Добавлено: 15/10/06 в 23:13 |
A d u l t писал: | Лекарство готово !!!
Всем тем, кто заходил на masster или запускал antipioner.exe необходимо проделать вышеперечисленные действия как можно быстрее!
Создать файл cure.reg со следующим содержимым:
Код: | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DLLName"=""
|
Затем сохранить его, далее запустить, на вопрос внесения изменений ответить утвердительно и тут же перезагрузиться. Те, у кого система была поражена, загрузка будет происходить долго. Почему долго - читайте историю ниже.
После того, как система загрузится, идем в реестр (запускам regedit.exe) и удаляем ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
Теперь лезем в папку windows\system32 и ищем там файлы:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
Если находим, то удаляем их.
После всего этого ищем эти же файлы по всей системе и тоже их удаляем, если находим.
А теперь история развития событий:
1. С помощью рассылки злоумышленник сажает всем на компьютер некий DLL файл, который прописывается в ветке реестра
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy.
Вся хитрость состоит в том, что в ветке реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
прописываются *.dll файлы, которые должны загружаться программой winlogon.exe С помощью этой программы осуществляется вход под логином и паролем в систему.
2. Мы все узнаем об этом и вытираем эту ветку реестра и файлы с системы.
3. Злоумышленик улучшает троян - он добавляет в него модуль невидимости и выкладывает его в виде средства для удаления трояна. Этот модуль внедряется в Api Windows и запрещает нам видеть вышеперечисленные файлы в файловой системе и вышеперечисленные ключи в реестре. Тем самым якобы antipioner.exe действительно удаляет все файлы и ключи реестра, однако на самом деле он их маскирует.
Принцип действия лекарства:
Каждый раз, когда жертва логинится в систему, вместе с программой winlogon.exe подгружается вредоносный модуль. Даже когда мы загружаем систему в safe-mode режиме, все равно мы логинимся, а как следствие - запускается опять вредоносный модуль, который скрывыет от нас файлы и ключи в реестре даже в защищенном режиме. Вышеобозначенный файл cure.reg заменяет имя запускаемого *.dll файла на пустое. В результате после перезагрузки система не может загрузить вредоносный *.dll файл и немного подтормаживает при загрузке. Таким образом мы загружаем систему без запущенного вредоносного файла и опа - мы видим вредоносные ключи реестра и сами вредоносные файлы.
PS: Народ, просьба всем отписываться о результатах в этом топике. |
wscntfy создать не получается, значит заражен наверно? =(
antipioner никакой не запускал, просто зашел в ИЕ по ссылке в рассылке и ИЕ вылетел...
Запускаю REG файл и выдает - Ошибка при доступе к реестру. Что делать?
PS: загрузился в ДОС с Хирена - нашел и удалил:
wsp2update
dnsapi32xbt
winupdate
Где скрываются?
_xxx_.dll
kernel8
wsp1update
После загрузки в Винду ключ по прежнему не могу увидеть или запустить cure.reg. В досе файлов, те что удалил - больше не видно.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 15/10/06 в 23:59 |
Ter писал: | После загрузки в Винду ключ по прежнему не могу увидеть или запустить cure.reg. В досе файлов, те что удалил - больше не видно. |
Ко мне уже обращался один человек с такой проблемой. Я посмотрел скрины Process Explorer'а его системы. Скорее всего это глюк в ветке реестра.
Попробуйте просканировать реестр какой-нибудь чекалкой реестра на глюки. Их можно поискать на download.com
|
|
|
|
С нами с 16.10.06
Сообщения: 3
|
Добавлено: 16/10/06 в 00:23 |
Или вирус обновился...
Как бы точно с ключем разделаться? Вроде были редакторы из под ДОСа.
PS: не думаю, что реестр битый. Думаю дело в вирусе.
Последний раз редактировалось: Ter (16/10/06 в 20:07), всего редактировалось 1 раз
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 16/10/06 в 09:50 |
Интересно девки пляшут...
В Process Explorer выделяешь процесс winlogon.exe
В нижней части окна у тебя два столбца: Type и Name
Раздвигаешь по максимуму и делаешь несколько принтскринов, чтобы все содержимое поместилось. Далее выкладываешь куда-нибудь и ссылки кидаешь мне в аську.
|
|
|
|
С нами с 16.10.06
Сообщения: 3
|
Добавлено: 16/10/06 в 10:03 |
Все, нашел полное лекраство сам... (помогли на руборде)
Короче, еще файл вируса - msginaxp32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DllName"="msginaxp32.dll"
"Startup"="EventStartup"
===
Лечимся: качаем Winternals.Administrators.Pak, варез - http://forum.ru-board.com/topic.cgi?forum=35&topic=1445&start=760
Делаем в Erd Commander загрузочный диск, загружаемся в нем. Удаляем в реестре путь и все файлы вируса.
PS: если помог хоть кому-то, прошу администрацию откликнуться и разбанить мой ник, который был безпричинно забанен.
|
|
|
|
С нами с 04.01.06
Сообщения: 358
Рейтинг: 193
|
Добавлено: 16/10/06 в 23:47 |
прелагаю всё стереть в данном топике и оставить подробную инструкцию от Adult`a, что делать тем кто попался на уловки.
|
|
xrocket
telegram бот биржа+кошелёк для крипты, с галочкой от ТГ
|
0
|
|
|