Шикарно!

[madmaxthesniper]

Сегодня наткнулся на вирус.

Не знаю как он запустился, но заранавшись, он вытер Семантик и с удобством расположился. Как обычно: два екзешника, смотрящие друг за другом с произвольными именами, несколько длл-ок, которые тоже генерятся рандомли, ограничения на запуск регедита, (!) редактирование фолдер опшанс (нельзя выставить например просмотр скрытых и системных файлов) и главный модуль, "бугор", который эту котовасию запускает по новой, если я выставил "денай эвериуан" на пермишшаны файлов-процессов.

Проблема в одном. "Бугор" запускается из Ресайкл Бин. Т.е. по всем параметрам файл удален. Но он есть. Как Ильич.

Как Винда позволяет такое делать - ума не приложу. Но факт фактом. Оно запускается и прекрасно сводит на "нет" все усилия вычистить заразу из регистра.

Нет, вычистить можно. Но компьютер в Джерси, 150 миль от нас, и человеку надо работать. Времени нет. Поставил IPSec фиреволл на ремоут порт 25, бо как эта зараза периодически развлекалась, рассылая спам по миру, а мой провайдер на меня ругался, и сделал ему новый комп.

А теперь поразжигаю. Таких ёбаных программистов надо вешать прилюдно на городской площади. И не снимать пока совсем не сгниют.

Comments

[bwana-max.livejournal.com]

Что то похожее было недавно. Так же сидело в корзине. Форфронт микрософтовый (не дешевый,сцуко!) все исправно видел, удалял и буквально тут же обнаруживал вновь.
Убилось только посредством бесплатной (!!!) CureIT от Др.Веба.
А вешать - это примитивно и скучно. Человек головой работал всёж.

[satansclaws.livejournal.com]

Ой, таки ви шо, из по ФАРа ни разу корзину не смотрели?

Винда при "удалении" файла в корзину мувает его в каталог РецайклБин\ (Рецайкл\хеш-имя юзера\ - если НТя) и переименовывает его, выдавая ему индексное имя.
В отдельном файле, расположенном там же, она хранит изначальнео имя, путь и какие-то еще данные о файле.

Соответственно, при просмотре проводником винда для каждого реального файла из корзины ищет описание в спец-файле.
Если нашла - рисует этот файл в красивом виде. Если нет - тупо игнорит.

[madmaxthesniper.livejournal.com]

Времени не было.

Ссука-винда при нетворк доступе показывает локальную корзину (sic!), поэтому надо смотреть на самой машине. А там настройки фолдеров "пофиксаны" вирусом. Занимает какое-то время раскопать в инете ресетталку.

[satansclaws.livejournal.com]

кстати, ФАР для таких вещей еще удобен тем, что имеет свой менеджер процессов, в котором показывается много полезной информации (строка запуска, родитель процесса...)

[madmaxthesniper.livejournal.com]

Это не совсем нужно. За три минуты я и так понял, кто родитель, кто отпрыск и где они сидят. А толку?

[satansclaws.livejournal.com]

А вообще, вирусописцы - двигатель пргресса.

Я бы никогда не узнал, например, что ХРюше можно подменить буут.ини на бинарник - и винда его выполнит при загрузке - если бы не развлекался, вычищая какой-то вирь со своего компа. (к слову, посадил его туда я же за 5 минут до этого - специально, чтоб поразвлекаться. Просто запустил анфиксед вложение с рандомного мыла.)

ЗЫ и таки да, CureIt - рулит

[bwana-max.livejournal.com]

ФАР хорошо. Но это когда Вы IT-уполномоченый по предприятию. Будучи юзером со стандартными правами и стандартными же навыками никто ставить что либо не даст.

[satansclaws.livejournal.com]

А что его ставить?
Он просто с запуска прекрасно работает.
Разве что, параноидальный админ запретил запись в реестр - тогда он не сможет сохранить настройки и, может, часть плагинов не сможет работать...