Погуглив немного и прочитав пару статей на сайте хакер.ru сделал вывод - о деньгах можно забыть.
Так что кража webmoney это суровая реальность.
среда, 27 января 2010 г.
Кража webmoney денег
Новый 2010 год при поднес небывалую активность вирусов. Последствие вирусов оказались куда серьезнее. А случилось следующее. Решил я вчера оплатить пару счетов по средствам платежной системы WebMoney, но не смог. С моего виртуального кошелька были сняты почти все средства.
Погуглив немного и прочитав пару статей на сайте хакер.ru сделал вывод - о деньгах можно забыть.
Так что кража webmoney это суровая реальность.
Погуглив немного и прочитав пару статей на сайте хакер.ru сделал вывод - о деньгах можно забыть.
Так что кража webmoney это суровая реальность.
вторник, 26 января 2010 г.
Этот странный процесс FairyAds
Объект нашего исследования "Единый модуль рекламный сетей FairyAds".
Проявления его таковы:
1)Жутко грузит систему.
2)Постоянные поп-апы (само раскрывающиеся окна интернет браузера сайтов с неприличным содержанием).
Методы устранения таковы
Идем по пути:
ПУСК=>выполнить=>regedit (пишем в поле ввода) далее нажимаем клавишу ввода Enter.
Откроется редактор реестра. Комбинацией клавиш Ctrl+F вызываем окно поиска, далее вводим FairyAds. Найденые ключи удаляем из реестра. Перечень ключей приведен ниже.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Configs
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Limits
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}\InprocServer32]
(Default) = "C:\PROGRA~1\FieryAds\FieryAds.dll"
ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}]
(Default) = "FieryAds advertising module v1.4.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]
DisplayName = "The common module support Fiery network"
UninstallString = "%ProgramFiles%\FieryAds\FieryAdsUninstall.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Limits]
PRD = "10/12/2008"
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Configs]
DAF = 24 C5 50 2D AB 66 E3 40
LUPStart = 24 C5 50 2D AB 66 E3 40
LUCP = 24 C5 50 2D AB 66 E3 40
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds]
WID = "1"
DID = "0!1;0"
S = "BOOK"
После чистки реестра необходимо удалить саму FairyAds.
Перезагружаем компьютер.
Удаляем ниже перечисленные файлы и папки:
C:\Documents and Settings\[UserName]\Application Data\fieryads.dat
C:\Program Files\FieryAds\CommLayer.dll
C:\Program Files\FieryAds\FieryAds.dll
C:\Program Files\FieryAds\FieryAdsUninstall.exe
C:\Windows\System32\borlndmm.dll
Теперь на вопрос Что за процесс такой FairyAds у вас не вызовет удивления, расправиться с этой гадостью вам будет под силу.
P.S. В интернете много написано про эту заразу, это скорее статья для меня самого, да и сам блог тоже. Кому было интересно - я рад.
Проявления его таковы:
1)Жутко грузит систему.
2)Постоянные поп-апы (само раскрывающиеся окна интернет браузера сайтов с неприличным содержанием).
Методы устранения таковы
Идем по пути:
ПУСК=>выполнить=>regedit (пишем в поле ввода) далее нажимаем клавишу ввода Enter.
Откроется редактор реестра. Комбинацией клавиш Ctrl+F вызываем окно поиска, далее вводим FairyAds. Найденые ключи удаляем из реестра. Перечень ключей приведен ниже.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Configs
HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Limits
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}\InprocServer32]
(Default) = "C:\PROGRA~1\FieryAds\FieryAds.dll"
ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}]
(Default) = "FieryAds advertising module v1.4.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]
DisplayName = "The common module support Fiery network"
UninstallString = "%ProgramFiles%\FieryAds\FieryAdsUninstall.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Limits]
PRD = "10/12/2008"
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds\Configs]
DAF = 24 C5 50 2D AB 66 E3 40
LUPStart = 24 C5 50 2D AB 66 E3 40
LUCP = 24 C5 50 2D AB 66 E3 40
[HKEY_LOCAL_MACHINE\SOFTWARE\FieryAds]
WID = "1"
DID = "0!1;0"
S = "BOOK"
После чистки реестра необходимо удалить саму FairyAds.
Перезагружаем компьютер.
Удаляем ниже перечисленные файлы и папки:
C:\Documents and Settings\[UserName]\Application Data\fieryads.dat
C:\Program Files\FieryAds\CommLayer.dll
C:\Program Files\FieryAds\FieryAds.dll
C:\Program Files\FieryAds\FieryAdsUninstall.exe
C:\Windows\System32\borlndmm.dll
Теперь на вопрос Что за процесс такой FairyAds у вас не вызовет удивления, расправиться с этой гадостью вам будет под силу.
P.S. В интернете много написано про эту заразу, это скорее статья для меня самого, да и сам блог тоже. Кому было интересно - я рад.
воскресенье, 17 января 2010 г.
что за процесс в windows Crypserv
На вопрос что за процесс Crypserv. exe нашел только не следующее пояснение Crypkey License Service. Я пока зашел в тупик. Будем искать дальше.
Что за процесс asc
Что за процесс asc в диспетчере задач появился, хотя вчера его не было. В начальной загрузке компьютера он минут на 5 загрузил процессор на все 100 процентов. Вот какой вопрос стоял у меня на повестке дня. И я принялся искать корни всего происходящего.
Первым делом я проанализировал, какие программы были установлены за последние два дня. Кроме как Outpost Firewall Pro и Deamon Tool еще было установлено пару игрушек, но их я исключил сразу. Начал исследовать первый вариант. И как в воду я глядел. Процесс ASC оказался ничто иное, как программа для обновления фаервола, так что особо опасаться не стоит. На вопрос, что за процесс asc в диспетчере задач теперь не вызывает у меня ничего подозрительного.
Первым делом я проанализировал, какие программы были установлены за последние два дня. Кроме как Outpost Firewall Pro и Deamon Tool еще было установлено пару игрушек, но их я исключил сразу. Начал исследовать первый вариант. И как в воду я глядел. Процесс ASC оказался ничто иное, как программа для обновления фаервола, так что особо опасаться не стоит. На вопрос, что за процесс asc в диспетчере задач теперь не вызывает у меня ничего подозрительного.
суббота, 16 января 2010 г.
Что за процесс sdra64 в Windows Xp
Настал новый день и начались новые трудности. На сегодняшний день меня интересовала одна проблема, из за которой я не мог работать на компьютере. А все виной был вирус который прикинулся процессом sdra64 . Что за процесс sdra64 и принялся изучать недруга.
Антивирус не смог его обнаружить, по этому все делалось руками и с помощью незаменимых утилит. Процесс sdra64 оказался трояном, который поселился по адресу c:\windows\system32\sdra64 .exe. Стандартный диспетчер задач он блокировал, по этому пришлось воспользоваться сторонним продуктом Process Explorer. Скачать Process Explorer с нашего дипозита или Скачать ProcessExplorer с стороннего сайта
Шаги устронения трояна sdra64.
1)В программе Process Explorer нажимаем комбинацию клавиш Ctrl+F и находим процесс sdra64 .exe.
2) Ищем его в Handlers, и правой кнопкой мыши закрываем процесс - Close Handler. На этом этапе происходит выгрузка его из памяти.
3) Далее с помощью утилиты ZbotKiller.exe (от Лаборатории Касперского) убиваем все процессы принадлежащие троянам. Вот их список:
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64 .exe
lowsec\\local.ds
lowsec\\user.ds
4) Далее идем по адрксу c:\windows\system32\ и удаляем без доли смущения файл sdra64 .exe. Сделайте видимыми скрытые и системные папки (Панель управления => Свойство папки => вид => "скрывать защищенные системные файлы" - убрать галочку с пункта и поставить галочку "показывать скрытые файлы и папки".) В этой же директории (c:\windows\system32\) находим папку lowsec и тоже удаляем её из системы.
5) Далее Пуск => Выполнить => пишем regedit и нажимаем Enter.
6)Ищем ветку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon
парметр userinit измените на следующее c:\windows\system32\userinit.exe все что после запятой удаляем.
7)Удаляем элемент sdra64 из авто загрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и все что содержит sdra64 удаляем на всегда.
Вот как я боролся с трояном sdra64. и я теперь знаю что за процесс sdra64.
Антивирус не смог его обнаружить, по этому все делалось руками и с помощью незаменимых утилит. Процесс sdra64 оказался трояном, который поселился по адресу c:\windows\system32\sdra64 .exe. Стандартный диспетчер задач он блокировал, по этому пришлось воспользоваться сторонним продуктом Process Explorer. Скачать Process Explorer с нашего дипозита или Скачать ProcessExplorer с стороннего сайта
Шаги устронения трояна sdra64.
1)В программе Process Explorer нажимаем комбинацию клавиш Ctrl+F и находим процесс sdra64 .exe.
2) Ищем его в Handlers, и правой кнопкой мыши закрываем процесс - Close Handler. На этом этапе происходит выгрузка его из памяти.
3) Далее с помощью утилиты ZbotKiller.exe (от Лаборатории Касперского) убиваем все процессы принадлежащие троянам. Вот их список:
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64 .exe
lowsec\\local.ds
lowsec\\user.ds
4) Далее идем по адрксу c:\windows\system32\ и удаляем без доли смущения файл sdra64 .exe. Сделайте видимыми скрытые и системные папки (Панель управления => Свойство папки => вид => "скрывать защищенные системные файлы" - убрать галочку с пункта и поставить галочку "показывать скрытые файлы и папки".) В этой же директории (c:\windows\system32\) находим папку lowsec и тоже удаляем её из системы.
5) Далее Пуск => Выполнить => пишем regedit и нажимаем Enter.
6)Ищем ветку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon
парметр userinit измените на следующее c:\windows\system32\userinit.exe все что после запятой удаляем.
7)Удаляем элемент sdra64 из авто загрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и все что содержит sdra64 удаляем на всегда.
Вот как я боролся с трояном sdra64. и я теперь знаю что за процесс sdra64.
Что за процесс starwindservice в windows XP
Сегодня поговорим о таком процессе в Windows XP как StarWindService.
Процесс StarWindService .exe является приложением Alcohol 120%, клторый дает возможность "расшаривать" смонтированные виртуальные диски в сети. Абсолютна безопасна... по крайней мере сейчас. Случается что после установки Alcohol 120% в следствии работы службы StarWindService возникают проблемы с записью плюсовых дисков (+R) на некоторых DVD-R/RW приводах, как произошло это с моим NEC ND 2510A. Выход из этой ситуации был прост до безобразия, необходимо в программе Alcohol 120 убрать галочку с пункта (Настройки - Эмуляция - Игнорировать тип носителя) после этого все заработало как и прежде. А что вы знаете про службу starwindservice? Если не затруднит вас оставляйте комментарии, я ведь человек, а человеку свойственно ошибаться.
Процесс StarWindService .exe является приложением Alcohol 120%, клторый дает возможность "расшаривать" смонтированные виртуальные диски в сети. Абсолютна безопасна... по крайней мере сейчас. Случается что после установки Alcohol 120% в следствии работы службы StarWindService возникают проблемы с записью плюсовых дисков (+R) на некоторых DVD-R/RW приводах, как произошло это с моим NEC ND 2510A. Выход из этой ситуации был прост до безобразия, необходимо в программе Alcohol 120 убрать галочку с пункта (Настройки - Эмуляция - Игнорировать тип носителя) после этого все заработало как и прежде. А что вы знаете про службу starwindservice? Если не затруднит вас оставляйте комментарии, я ведь человек, а человеку свойственно ошибаться.
Что за процесс presentationfontcache.exe в Windows Xp
Добрый день мой провожаемый читатель. Сей блог завести заставило меня одно не хорошее обстоятельство. В мой компьютер проник какой-то вирус и заблокировал всю систему. Я всю ночь провел в поисках решения этой задачи, и мои результаты были положительны. После я решил проверить все службы на предмет их безопасности, и вот результаты моего маленького расследования.
Начнем с такой службы как PresentationFontCache.exe.
Этот экзешник не что иное как кэш шрифтов Windows Presentation Foundation. Его задача
ускорять работу приложений Windows Presentation Foundation кешируя данных шрифтов.
Windows Presentation Foundation - графическая (презентационная) подсистема входящая в состав .NET Framework 3.0, в Viste предустановлен, в Windows ХР появляется после установки .NET Framework 3.0. Вот и все. Теперь я знаю что за процесс PresentationFontCache.exe.
Начнем с такой службы как PresentationFontCache.exe.
Этот экзешник не что иное как кэш шрифтов Windows Presentation Foundation. Его задача
ускорять работу приложений Windows Presentation Foundation кешируя данных шрифтов.
Windows Presentation Foundation - графическая (презентационная) подсистема входящая в состав .NET Framework 3.0, в Viste предустановлен, в Windows ХР появляется после установки .NET Framework 3.0. Вот и все. Теперь я знаю что за процесс PresentationFontCache.exe.
Подписаться на:
Сообщения (Atom)