PDA

View Full Version : Други начини за изтриване на YOUR-DAD-NAKED-hahahaha.PIF



m3talmania
01-09-2009, 19:45
Така...Вчера ми се обажда една приятелка да ме викне да й изтрия вирус на име YOUR-DAD-NAKED-hahahaha.PIF Сядам аз на компютъра и ми стана ясно, че когато го е получила са започнали копирания и презаписвания на .ехе-та и изключително товарене и забиване на ОС. Разбрах, обаче, че този който го е пратил в този момент не си е бил вкъщи. Тва пък беше вече... Антивирусната не го засича ?? :? Въпроса ми е има ли начин да се махне това нещо без ръчно чистене ? :-o

n0x
01-09-2009, 21:03
шибай един пре инстал и толкоз

m3talmania
01-09-2009, 21:31
Аваст, Касперски, AVG, Панда не засичат. Естествено се досещате, че не е правена проверка по едно и също време де. :-D Питах, защото вчера ми се наложи да трия файлове стъпка по стъпка ръчно...Но това беше при моята приятелка. Като знам майка ми колко обича да приема файлове от непознати поразучих въпроса и по едно време реших да го изтегла специално този файл на виртуална машина да вида какво представлява без някой да ми мрънка на главата, но ме домързя... :oops:
n0x То ако се наложи ще прасна един систем рестор и толкоз. :D

n0x
01-09-2009, 21:43
мене както ме мързи до ся да съм преинстал или ресторнал :oops: 8-)

LizZz
01-09-2009, 22:22
Хохо от вчера се боря с тая простотия.. Полъгах се, че ще е нещо лесно за разкарване, но се оказа, че не е така...
Всъщност не е простотия - много добре си е написана програмата.
Едно слабо място - ако имаш повече от 50 абоната на скайпа не се изпраща, защото скайпа не я има тая възможност.
Ристор-а не би трябвало да помогне. Не съм пробвал.

Първо час и нещо съм го гонел да го засека със SpywareTerminator и да го блокна, като си мислех, че това ще реши проблема. Но пишка. Защото си прави нов стартов файл и пак се опитва да се стартира, при което пак трябва да го блокираш. От там го намерих откъде се стартира.
Влез във Folder Options и сложи тикче за да можеш да виждаш скритите системни папки и файлове, защото се е скрило добре. После :
Мy Computer>Documents and Settings>(името на юзъра)>Local settings(тази папка е невидима)>Temp и триеш всичко, което го има вътре. Главната ни цел с това занятие да разкараме файловете с трицифрени имена вътре. Трий всичко с Shift+Delete. Ник'ва милост!

Пробвай, ако не стане ще го мислим. :)

Иначе си е все едно ти го пращаш : отваря ти прозореца на скайпа, маркира всички абонати, изважда менюто с опциите (дясно копче на мишката), бавно мърда маркера до полето "изпращане на файл.." и изпраща файла. Аз съм в потрес.

Пазете се от такива лайна, особенно от шорткъти към MS-DOS program. 8-)

RiseGirl
01-10-2009, 06:23
ъъъъ тва май и аз съм го лепнала, голяма простотия

вижте какво намерих:
http://www.2-spyware.com/remove-your-dad-naked-hahahaha-pif.html

LizZz
01-10-2009, 08:37
ъъъъ тва май и аз съм го лепнала, голяма простотия

вижте какво намерих:
http://www.2-spyware.com/remove-your-dad-naked-hahahaha-pif.html
Тука само реклами на някви програми. Пише няколко файла и регистрита да се изтрият, ама аз не мога да ги намеря, че да ги изтрия.
Най-сигурното е като изтриете трицифрените файлове в Temp. Една позната се е оправила и с антивирусната, ама не знам как точно (Avira AntiVir).

m3talmania
01-10-2009, 10:09
Оказва се, че вируса, освен да се самопроизвежда и само въстановява, трие доста ценни неща от компа.Както видях в един форум изтрил е framedyn.dll от sistem 32 и това е направило систем рестора невъзможен. Разбрах вече с каква програма би трябвало да се махне - Malwarebytes. Дано не ми се налага да го махам това от моя комп. :lol:

Anf3tamin4o
01-10-2009, 18:11
Днес поговорих с човек, и той ми каза че този вирус действа на принципа на :
Ако има един заразен потребител то той ги изпраща на всичките абонати от там потребител Б дори и да не го е приел го изпраща на потребител В.Стана ми интересно как така без да го приеме го изпраща но факт.Не се учудвам вече от нищо


А за ръчно чистене за ентусиасти:
1. Трепят се процесите:
winservices.exe
wianamp100[1].exe
766.exe
2. Трие се в регистъра:
SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\Wind ows Service help
9CB65206-89C4-402c-BA80-02D8C59F9B1D
3. Изтриват се файловете:
winservices.exe
wianamp100[1].exe
766.exe






и пак в регистрите (start -> run -> regedit) Ctrl+F (find), ключова дума "naked", триете 1-вия резултат, отново Ctrl+F и триете нататък докато свърши сърчването в регистрите... накрая рестарт и всичко е ОК



пробвайте с Avira Ако не стане всичко описано до тук

VampireGirl666
01-10-2009, 18:40
Аз за малко се отървах от него,като инсталирах по-стара версия на скайп,но въпроса е че трябва да го премахна,така че много добра тема.Браво!

jambo_bs
01-10-2009, 19:48
Не се учудвам вече какво мислят за да печелят пари.Ако знаете в момента заради този вирус колко пари печелят собствениците на антивирусни :? ...... сами се сещайте кой прави най - много вируси.Този не беше с такава цел но наистина признавам че стана доста успешен (като вирус). Наистина има начин за изпращане на нещо по скайп без да си го приел.Всъщтност то използва пътя на p2p мрежите за достъп.Когато приемате нещо по скайп всъщтност питането за приемане е една глупост.Ако го няма това питане файла пак сам си намира къде да се сложи. Евала за вируса :grin:

m3talmania
01-10-2009, 20:04
Anf3tamin4o по твоя начин пробвах вчера и стана, а днес търсих как мога със някаква програма.( мързела не мори, а мъчи..)
Така или иначе ще го изтегла на виртуална ОС и ще разгледам колкото се може повече начини да го изтрия.
jambo_bs те антивирусните не го засичаха въобще като вирус... Авирата само. :-o След като вчера са ги подлудили от предупреждения вече файла е в листа, а аз мисля, че е написан на Visual C++ и после е криптиран. :-o

Anf3tamin4o
01-10-2009, 20:22
jambo_bs Печелят пари само в някой други държави не мисля че някой от Бг би тръгнал да плаща лиценз на антивирусна докато може да се изтегли някъде Free в интернета :)

n0x
01-10-2009, 23:11
хаваста за тва ли ми се обновява тука 8-)

thegmin
01-11-2009, 12:37
Някой иска ли да му го пратя? Някви тарикати се опитаха да ме заразят. :razz:

thegmin
01-11-2009, 12:42
Shit да се еба и тъпака, я моля някой да ми го прати, че без да искам го изтрих.

m3talmania
01-11-2009, 12:55
http://88.80.103.74/YOUR-DAD-NAKED-hahahaha.pif Мисля, че е това. :-o

thegmin
01-11-2009, 12:58
Няма такъв хост. Я ми го прати на скайп.

jambo_bs
01-11-2009, 14:15
jambo_bs Печелят пари само в някой други държави не мисля че някой от Бг би тръгнал да плаща лиценз на антивирусна докато може да се изтегли някъде Free в интернета :)

ммм да прав си 8) но знаеш ли тях колко ги ебе дали ти ще си купиш или не.Не си само ти на света .... :-o за информация на всеки който е заразен с вируса може да ме намери на скайпа (ако съм там) и да му кажа как да го махне . От сега казвам че няма да ви помагам за направата на вируси и други такива :wink:

ionicle
01-20-2009, 00:12
не съм казвал но ще повторя - можете да си плескате спокойно и без никаква антивирусна и firewall и да нямате никакви проблеми - стига да ЗНАЕТЕ какво правите :)

ако познавате както обичам да казвам, всяко дихание на компа си, няма начин да ви убегне нещо...

HipHopBlond
01-21-2009, 18:52
мене както ме мързи до ся да съм преинстал или ресторнал :oops: 8-)

Щото си идеот без работа...

DaNTeS
01-21-2009, 19:16
Moq Avast go zase4e (kupen e :) ).

m3talmania
01-24-2009, 09:51
Нормално е антивирусните да го засичат вече. В крайна сметка научих това, което исках:

YOUR-DAD-NAKED-hahahaha.PIF

След стартирането му се създават следните файлове

C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\Desktop.ini
C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\winservices.exe

C:\WINDOWS\Prefetch\YOUR-DAD-NAKED-HAHAHAHA.PIF-1E79AD12.pf <- не е от важност..

Desktop.ini <- ini файл който служи за препратка за да не може да се влезе във директорйята тя прехвърля към друга дитектория

Пример: Desktop.ini

[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}


winservices.exe < това е ехе-то което върши целия хаулс касперски го хваща като Backdoor.Win32.Aqent.aatw

За да се стартира използва регистрите RegKey...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"

[HKEY_USERS\S-1-5-21-1177238915-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"
Изтриване... ммм скоро може да предложа скрипт ако някой не ме изпревари...

П.С.

Внимавайте какво приемате...

HipHopBlond
01-24-2009, 20:25
Нормално е антивирусните да го засичат вече. В крайна сметка научих това, което исках:

YOUR-DAD-NAKED-hahahaha.PIF

След стартирането му се създават следните файлове

C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\Desktop.ini
C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\winservices.exe

C:\WINDOWS\Prefetch\YOUR-DAD-NAKED-HAHAHAHA.PIF-1E79AD12.pf <- не е от важност..

Desktop.ini <- ini файл който служи за препратка за да не може да се влезе във директорйята тя прехвърля към друга дитектория

Пример: Desktop.ini

[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}


winservices.exe < това е ехе-то което върши целия хаулс касперски го хваща като Backdoor.Win32.Aqent.aatw

За да се стартира използва регистрите RegKey...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"

[HKEY_USERS\S-1-5-21-1177238915-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"
Изтриване... ммм скоро може да предложа скрипт ако някой не ме изпревари...

П.С.

Внимавайте какво приемате...


:lol: :lol: :lol: :lol: :lol:

Я се порови малко из чичо google и го питай, за какво служат - winservices.exe и desktop.ini-то Като си толко умен :lol: :lol: :lol:

m3talmania
01-24-2009, 20:43
:lol: :lol: :lol: :lol: :lol:

Я се порови малко из чичо google и го питай, за какво служат - winservices.exe и desktop.ini-то Като си толко умен :lol: :lol: :lol:
Ало това е цитат... Ти май не схвана, че това не е писано от мен. Но е писано от човек, който уважавам !! Иии съм момиче http://subs.sab.bz/forum/style_emoticons/default/hysteric.gif

ThEKiNgG
01-24-2009, 20:53
аз прая едно като ми влезнат вируси връщам времето на компа и готово без проблеми 8-)

m3talmania
01-24-2009, 21:00
аз прая едно като ми влезнат вируси връщам времето на компа и готово без проблеми 8-)
Ами да, но на няколко мои приятели им се е случило да липсва файла framedyn.dll от sistem 32 и това е било невъзможно. :razz: Трябваше да се праща тоя файл по скайпа... гадна работа... в крайна сметка вече видях и скрипта за направата на тоя вирус. Мина му времето. :P

n0x
01-24-2009, 21:12
ae mania ti na kolko si e

m3talmania
01-24-2009, 21:30
malka sym za6to 8-)