eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stran34 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Оффтоп —› очередная малварь вместо директ икс
Посл.ответ Сообщение


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 13 декабря 2016 21:45 New!
Цитата · Личное сообщение · #1

доброго времени суток!
друг захотел поиграть и скачал себе "директ икс". файл подписан ooo narzan. при запуске появляется окно распаковки инсталлятора setup.exe (директ икс). присутствует галосчка для установки браузера амиго. если снять галочку, то он всё равно ставится. так же ставится захар гейм браузер, куча всякого говна от мэйл.ру типа домашней страницы, поиска и т.д.
большая часть этого дерьмица удаляется достаточно легко, в реестре большую часть тоже легко отыскать. в итоге вроде всё в порядке, но постоянно пытается открыться браузер и перейти на страницу (саму страницу не грузил, нахер).

файлик тут: hXXp://rgho.st/87VtxWvHs

другу уже мозг промыл, беседу провёл, но эти окна с открытием сайта реально достают.
возможно помимо этого ещё что-то есть.

кто-нибудь, пожалуйста, гляньте его. на параллелс десктоп копать его тяжко, тупит нереально =(

Ранг: 299.6 (наставник)
Статус: Модератор
CrackLab

Создано: 16 декабря 2016 12:38 New!
Цитата · Личное сообщение · #2

Talula
попробуй установить на том же параллелс с монитором установки --> например этим <--, после перенести записанный лог и удалить по нему


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 16 декабря 2016 20:09 · Поправил: Talula New!
Цитата · Личное сообщение · #3

SReg, спасибо, но результат, можно сказать, такой же. да, почистил реестр ручками (правда не все ключи присутствовали из показанных). а папки с уг и без неё видно.

остаётся одна бесячая проблема: постоянно вылезает окошко "какой программой хотите открывать файлы типа http?" и если выбрать один из браузеров, то щемится по редиректам. и потом снова предлагает выбор.

Ранг: 245.9 (наставник)
Статус: Участник

Создано: 17 декабря 2016 07:25 New!
Цитата · Личное сообщение · #4

Talula, ищи adwcleaner_6.030.exe от известной конторы Malwarebytes. Офигенно выручает с прочисткой браузеров от говна, юзеры часто ловят хрень, которая прописывается в конфигах браузера и начинает редиректить, эта тулза знатно помогает


Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 17 декабря 2016 10:59 New!
Цитата · Личное сообщение · #5

вы так говорите, как будто малварь это плохо, а ведь она санитар, выпиливает долбаёбов из интернета, так ещё вам и денег даёт за работу ;)


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 17 декабря 2016 12:03 New!
Цитата · Личное сообщение · #6

specz, ну как санитар... сначала занесёт всякой шняги, а потом предлагает решения для удаления всякого говна =) с человека, с которым на двоих хату снимешь деньги брать как мерзко

TryAga1n пишет:
adwcleaner_6.030.exe от известной конторы Malwarebytes

на сайте Malwarebytes о такой программе не слышали... видел два сайта с этой прогой (с названием проги в адресе). вот фэйспалм, если одна из них сначала так же извлекает всякое фуфло, а потом будет лечить комп.

Ранг: 245.9 (наставник)
Статус: Участник

Создано: 17 декабря 2016 13:21 New!
Цитата · Личное сообщение · #7

Talula
Раз - --> Link <--
Два - --> Link <--

С мяском согласен, малварь - санитар леса


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 17 декабря 2016 13:41 New!
Цитата · Личное сообщение · #8

TryAga1n, уже нашёл, стянул, проверил. что-то нашёл, включая mail.ru updater, попросил ребут, создал карантин. а проблема осталась. постоянно щемится в браузер =(


Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 17 декабря 2016 14:58 New!
Цитата · Личное сообщение · #9

ну тогда по старинке тебе на virusinfo.info и avz конечно же.


Ранг: 149.7 (ветеран)
Статус: Участник

Создано: 18 декабря 2016 17:25 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #10

авторансом пересмотри загрузку, все невиндовые записи проверяй на (бес)полезность
если тяжко, то там же сохрани полный список автозагрузки и выложи куда-нибудь
мож у кого и появится мысль где зараза засела


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 18 декабря 2016 19:06 New!
Цитата · Личное сообщение · #11

запусти файл на варе под песочницей и посмотри, куда гадит, если лень мониторами отслеживать.


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 19 декабря 2016 07:00 New!
Цитата · Личное сообщение · #12

TryAga1n пишет:
С мяском согласен, малварь - санитар леса

вот хз, честно... им (юзверям) похуй становится. комп один хер уже тупит. и начинают вообще забивать на элементарные правила, плодят вирусы у себя и распространяют их на флэшках и через сеть.

-=AkaBOSS=- пишет:
авторансом пересмотри загрузку

статус "Тот ещё Lamer" шутка, уж что-что, а автозагрузка первая на осмотре была.

Gideon Vi пишет:
запусти файл на варе под песочницей

какие песочницы? у меня мак - тут параллелс десктопа хватает только кейген запустить.

проверил утилитой от доктор вэб, адв клинер, малвэрбайтовским авиром (он потом хром залочил почему-то), каспером (установлен, на следующий день узрел в файле гадость). все (кроме вэба) выдали вердикты, лечили, удаляли, просили ребут и т.д. от этой дряни не осталось ни одной папки, ни одного ярлыка, ни одного файла, ни одной записи в реестре, ни одного плагина для браузера. проблема только одна и она очень напрягает - каждые 15-20 минут по два-три раза с перерывом в минуту появляется окно. кино, сука, нормально не посмотреть.

Ранг: 245.9 (наставник)
Статус: Участник

Создано: 19 декабря 2016 07:07 New!
Цитата · Личное сообщение · #13

Talula, и все же я считаю, что гадость прописана в конфигах браузера. Решение - полный реинсталл браузера с очисткой всех хвостов. Ну и опять же, для проверки скачай любой portable браузер и посмотри кинцо в нем, уверен никакие окна не полезут
p.s.: советую так же проверить DNS серверы, ибо некоторые малвари любят их переписывать


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 19 декабря 2016 07:12 New!
Цитата · Личное сообщение · #14

TryAga1n, браузер закрыт, когда эта херня появляется. система пытается запустить файл типа http и спрашивает, в каком приложении его открывать (тупорылые фишки вин 8.1)

смотрел планировщик заданий. либо там всё норм, либо хорошо замаскировали.

вообще есть подозрение, что эта тварь пропатчила один из системных файлов/процессов, но не должен ли был тогда каспер спалить это?


Ранг: 149.7 (ветеран)
Статус: Участник

Создано: 19 декабря 2016 16:23 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #15

Talula пишет:
автозагрузка первая на осмотре была.

не всё сразу хорошо просматривается. некоторая хрень умеет копировать VersionInfo из реальных системных файлов, чтобы не выделяться на их фоне.

Talula пишет:
спрашивает, в каком приложении его открывать (тупорылые фишки вин 8.1)

тупорыло было бы, если бы она их без спросу в браузере открывала.

Talula пишет:
есть подозрение, что эта тварь пропатчила один из системных файлов/процессов

sfc /scannow ?

btw, в безопасном режиме реклама тоже появляется?
а с отключённым интернетом?

я правильно понимаю - после загрузки винды, даже если ничего не нажимать, всё равно начинается самодеятельность?
если так, то я всё же рекомендовал бы выложить список автозагрузки, снятый авторансом.
и заодно полный список процессов в момент появления окна, хотя бы скриншотами.

гадание не помогает, а на виртуалке у меня такого эффекта достичь не удалось.

TryAga1n пишет:
скачай любой portable браузер и посмотри кинцо в нем

хз конешн, как там на самом деле, но не все люди смотрят фильмы в браузерах.


Ранг: 316.5 (мудрец)
Статус: Участник

Создано: 20 декабря 2016 09:20 New!
Цитата · Личное сообщение · #16

gmer-ом просканте авторан.
 eXeL@B —› Оффтоп —› очередная малварь вместо директ икс

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0


Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS