| Автор | Сообщение |
|---|
Морозик Ламер
Сообщения: 500
|
Что за хрень стартует с виндой msw 32 и pokapoka 75??? И просятся в интернет. 
Удаляешь их из автозагрузки,вычищаешь из реестра
(поиск по названию). а они снова появляются даже до перзагрузки.
Как бороться?
|
|
Moriaan Участник
Сообщения: 1177
|
Для начала нужно вычистить резидентную часть из памяти, после этого удалить из автозагрузки, реестра и с винта.
|
|
Mikkey Участник
Сообщения: 1060
|
|
pal Гость 194.105.*.*
|
Вчера словил такуюже хрень,ручками одолеть не смог,забил в Google ,поиск вывел на какуюто прогу сейчас не помню пишу с работы, около 4 метров.Она с ним разобралась.
|
|
Гость Гость 84.52.*.*
|
А че за прога... плиииз ссылку если можно на мыло . А то тоже хрень эта завелась.
|
|
pal Гость 212.44.*.*
|
|
Moshkin Участник
Сообщения: 1213
|
Да это день вперед - день назад ! И эта дрянь уже в базах антивирей .
to Морозик : если не секрет , что у Вас на машине стоит ( Ad Aware , антивирус какой ) - что они не справились ?
|
|
Морозик Ламер
Сообщения: 500
|
Moshkin, Это у соседа два сына балбеса.. Доктор Веб стоит ,но не отловил.
Я поставил Ad Aware -6 но тоже не ловит. Mikkey, дал ссылку,спасибо ему.
Как я понял ,с помощью проги Авторанс, я заблокировал запись этой проги
в автозагрузку и больше не беспокоит она.
|
|
Moshkin Участник
Сообщения: 1213
|
Ха ! Я так и понял , у него вечно на несколько дней опоздание поезда ! В былые времены MAIL.RU погорел из-за этого ...
Re: вот вам расплата за скорость .
|
|
shiriy Гость 195.19.*.*
|
ХЫ))) у мня pokapoka78.exe на WinXP))) жуткая весчь ))) прописывается в C:WINDOWSetb , собака (((
полечил Ad-Aware'й и Panda'ой, нифига не помогло.
удалил его нафик с помощью INFR@ CD PE 6.2 (Rus), перегрузился, всё чисто, но минут через 10 снова вылезла и каталог сделала и сама туда записалась и запустилась и снова по-ап окна показывает )). Блин чем лечить не пойму.
щас попробую вышеперечисленные
|
|
Гость 195.19.*.*
|
Избавился от проблемы с помощью старой доброй программы (Ad-Aware версии 6.0.181, Проф, Рус).
Делаем так:
1) ставим прогу
2) сканим комп и удаляем всё, что она найдёт, кста кое-чего ещё нашла у меня )))
3) Включаем встроенный в эту прогу модуль Ad-Watch, котрый позволяет запретить изменения данных реестра, т.к. pokapoka78.exe в реестре реально прописывается и причём после удаления всё равно через несколько минут воостанавливает свои данные. (естественно нужно настроить этот модуль, в чём проблем не возникнет, т.к. русификатор есть [поставить Ad-Watch в автозапуск с системой, чтоб сразу блокировал])
4) перегружаем комп в защищённом режиме (Save Mode). Для тех кто в танке (как впрочем и я :-) ), на WinXP SP2 защищённый режим можно включить, удерживая клавишу F5, когда спикает системный динамик при загрузке и появится заставка с наванием материнской платы (это у меня так, может и не появиться впринципе, но всё равно держим F5)
5) в этом защищённом режиме лезем в реестр (regedit.exe в папкке C:Windows) ищем там (Ctrl+F) все строки где есть "pokapoka**.exe" и удаляем их ко всем чертям. закрываем редактор реестра.
6) в этом же защищённом режиме ищем на компе все файлы, с названием pokapoka**.exe и тоже удаляем их нафик вместе с папками в которых он находится (если вдруг их несколько). На всякий случай я удалил все файлы, содержащие в названии "pokapoka**.exe".
7) перегружаем комп, автоматически он загрузится в нормальном рабочем режиме и будет блокировать изменения в реестре.
P.S. может быть у вас защищённый режим включается другим способом, варианты: Esc, F4, F5, F8 (может быть и другие, но я не встречал таких).
Где достать Ad-Aware? могу подсказать, спросите у меня по мылу например (мой_ник{с-о-б-а-к-а}mail.ru), обязательно подскажу.
Эти проги (в верхних сообщениях) мне не помогли, либо я с ними плохо разобрался ))), так что использовал то, что знал как примерно работает.
Да, у вас может быть кроется другая версия покапоки, например 69-я или 75-я (как в этом посте), так что сначала определите какая именно версия и где она кроется в куче системных файлов. Определить какая именно прога легко через Диспетчер задач Windows (Ctrl+Alt+Del), найти покапоку тоже легко, используя поиск по компу (лично я пользовался TotalCommander'ом).
С уважением.
|
|
shiriy Гость 195.19.*.*
|
блин, это выше я, (shiriy) написал.
думал, что на форум автоматом зашёл ))))
С уважением.
P.S. да, в личку не пишите, т.к. может быть здесь больше и не появлюсь....
|
|
NiGhT_GhOsT Гость 84.204.*.*
|
Хотите убить эту тварь не качая никаких прог? =)
Значит так, обо всем по порядку.
1) Вирус это довольно "умный":
- удалять его из реестра нет смысла, через есколько милесекунд он снова там появится (живучая тварь, но ничего и на нее есть управа).
- удалить его с харда (сидит он в C:WINNTetb) тоже невозможно т.к. "этот файл используется"...
Только давайте без истерик все под контролем. Но нам понадобится либо другая ОС, либо любой мультигрузочный диск с файловым менеджером, ну или для знающих DOS соответственно последний. Перегружаем комп и грузимся в чем угодно, кроме зараженной винды. Далее хватаем гранату и с криком "умри тварь" убиваем ее/его! (удаляеем без возврата, никаких корзин). Теперь проверяем еще одну весчЪ (этот вирус был у меня в купе с еще одним: hhs.pif), как он себя сам называл "HTML Help System", я долго смеялся, когда прочитал, как его обозвал создатель, но сделан он не менее умно: выглядит как ЯРЛЫК! но при попытке вызвать информацию о том, к какой проге он принадлежи делает бяку - ошибку. Его смысл как я понял просто грузить трафик и соответственно снижать скорость работы интернета. ОНО сидит в C:WINNTsystem32.
Теперь грузим операционку и удаляем этих гадин из автозапуска РЕЕСТРА!
Для тех кто незнает: Пуск->Выполнить->regedit
Идем по ветке HKEY_LOCAL_MACHINE---->SOFTWARE---->MICROSOFT---->WINDOWS---->CurrentVersion---->Run
Все компьютер и информация на нем спасена.
Хотите скажу, что делает пока-пока?
Он копирует инфу с Вашего компьтера и отправляет ее некоему Ахмеду в Египет, по крайней мере IP адреса на которые этот вирус шлет инфу принадлежат этому человеку. Вот, отсюда вывод - ставьте себе фаервол! и никакие вирусы даже не попадут на ваш компьютер. Сам хороший: Outpost.
Всем спасибо за внимание, не болейте всякими гадостями
|
|
shiriy Гость 195.19.*.*
|
NiGhT_GhOsT, а говоришь не грузить никаких программ ))))))
всё равно надо что-то ставить, чтоб эта тварь снова через пару минут на комп не залезла.
почистить-то естественно нужно всё.
Пы.Сы. у мня какой-то eliteЧЁТОТАМ.exe вкупе с ним шёл и так же автопатом прописывался и в реестре и в папке sistem32, но в папке его не было, вот что интересно )))
|
|
Moshkin Участник
Сообщения: 1213
|
Вот счас мы будем говорить ,где и куда что садится ...  Об этом есть куча ресурсов ... А сдесь только программное обеспечение .
RE: плюс : печатать нужно понятно ...
|
|
Гость 212.220.*.*
|
Вот и уменя тоже на днях завелась подобная тварь, аж заблокировала Каспера и при этом удалить невозможно было, комп стал тормозить. А далее ещё интересней! Появилась папочка на локальном(С) под названием:Sistem.1st, где были прописаны (вскрыты) почта, все пароли и т.д.и в конце:ALL files pizdets  пришлось всё сносить, а после ключик 5.0.227 пришлось ставить другой  пока полёт нормальный
|
|
igor Участник
Сообщения: 175
|
|
johanh Участник
Сообщения: 113
|
И где это вы таких зверушек тягаете?
У меня на компе полезной инфы нет.Пока не тормозят -работаю.А дальше на снос.
Это чтож вся резина дырявая?
|
|
igor Участник
Сообщения: 175
|
У меня тоже ничего полезного! А эти атаки задолбали
|
|
johanh Участник
Сообщения: 113
|
|
Гость 212.220.*.*
|
|
pal Гость 194.105.*.*
|
Да.Кроме того она помоему под этот троян заточена.
|
|
Гость 195.122.*.*
|
| NiGhT_GhOsT писал: |
Хотите убить эту тварь не качая никаких прог? =).....
.....Но нам понадобится либо другая ОС, либо любой мультигрузочный диск с файловым менеджером, ну или для знающих DOS соответственно последний. Перегружаем комп и грузимся в чем угодно, кроме зараженной винды...... |
Вместо другой ОС сойдет безопасный режим, заходим через него и производим все вышеописанные действия.
|
|
pal Гость 194.105.*.*
|
Вот пруха,вроде по порно сайтам не лазаю, только избавился от pokapoka 75,бац уже сидит ILT.EXE по моему свеже писанный троян(в рунете инфы не нашёл).F-port прощелкал ,стенки не имею.Троян похожий ,но выкорчевывается легче.
|
|
Dimon2 Гость 213.159.*.*
|
И кто ети проги пишет! У меня pokapoka79,чем лечить не знаю!
|
|
pokapoka Гость 83.237.*.*
|
Сегодня скачал Black and White 2 nocd, там вроде была релизная информация, я что-то не проверив запустил её от админской учетки.
Короче это была pokapoka70 и ещё какой-то медиа бар.
Медибар и всё что запущенно от его нитки кильнулось без проблем.
Все файлы pokapoka я обнаружил в system32 по след. признаку: на них стояли все 4 атрибута RHAS (read only, скрытый, архивный, системный) Как ни странно, 4 бинарника вируса являлись единственными файлами с такими атрибутами.
2 из этих бинарников были запущенны, я их кильнул.
Далее я кильнул саму pokapoka, но она перезапустилась.
Фаерволл засек что во все процессы были заинжекчены дллки nt_hide70.dll и xud_70.dll
Это хорошо, я временно полностью отрубил доступ всем процессам.
Я хотел вручную ан_инжектнуть эти дллки, но pokapoka подгружала их назад, а они подгружали pokapoka.
Тогда я просто на уровне acl листов NTFS запретил доступ к %windir%etb, директории где лежала эта pokapoka.
(Это уже было не обязательно) После чего дополнительно удалил из реестра автозагрузочную запись pokapok-и и ресетнул машину, чтобы pokapoka не успела себя назад прописать. Хотя так как доступ к etb закрыт pokapoka не могла даже запустится, и всё это было уже не обязательно.
------------
Короче, как удалить pokapoka:
Нужно вычистить все записи в автозагрузке относящиеся к файлам покапоки из %windir%system32
кроме самой покапоки (так как она себя назад пропишет).
После чего нужно в NTFS-ных св-вах в explorer-е закрыть доступ к %windir%etb
Можно спокойно уходить в ребут... далее чистить реестр, открывать назад etb и удалять оттуда всё...
----
Инфа по pokapoka, так же известной, как elitebar
http://securityresponse.symantec.com/avcenter/venc/data/trojan.eliteba ...
Удалялка
http://www.forospyware.com/t12492.html
(нужно там зарегистрироваться)
-----
Интересный факт, одна из записей покипоки в реестре -
"I downloaded pirated Software from P2P and now I post my Hijack log whining"
Какой автор pokapok-и хитрый 
|
|
КОСМОС® Новичок
Сообщения: 9
|
Чистой воды троян... Я считаю что лучшая прога, которая позволит тебе избавиться от этого говна это - Ad-aware 6.0 (могу переслать если хочешь). Перезагружаешся в безопасный режим и дрючишь трояна во все щели. После этого нужно пройтись дополнительно каким-нибудь антивирусом.
|
|
pоkapoka Гость 83.237.*.*
|
а я руками уже всё сделал
|
|
Квазар Участник
Сообщения: 225
|
Всем привет!
Почитал тут...
Интересно где вы этих вирусов цепляете.
Подскажите как они выражаются/проявляются хоть в общих чертах.
Я собираюсь скачивать обновления(автообновления) с Виндовс Упдате, там есть вероятность чего нибудь такого хапнуть?!!
Благодарю за ответ заранее.
|
|
ВикторС Участник
Сообщения: 64
|
доавтообновляешься, дядя Билли грохнет твою винду
лучшее - враг хорошего!
|
|
Квазар Участник
Сообщения: 225
|
Что ж тогда делать.
Знакомый у меня каждый день автообновляет: Вчера например 18 обновлений, сегодня 16 и спросил у него, говорит работает все как часы.
Кто прав?!!!
|
|
Moshkin Участник
Сообщения: 1213
|
ВикторС,  
------------------------------
А кто вообще винду обновляет ?
|
|
Реклама Показывается для незарегистрированных пользователей |
|
