вымогатель

0 он весил. там инжект, http://ip_odnokl жрет нормально а http://odnoklassniki.ru инжектит, хотел отдебажить - но слайдшоу

 

ТС, билдер зевса скачай - там есть функция "Remove Malware from that PC",или как-то так...

 

Malwarebytes Anti-Malware тебе в помощь

 

купи слона

 

В explorer.exe может быть инжект, смотри в Far. Так-же выполни в консоли route -f, потом перезагрузка.

 

а че там выводится?

 

Пусть подруга поставит антивирус Avirа AntiVir и AnVir Task Manager

 

Бляха муха... опять 25... и главное 3 листа флуда.. Винда winXP или Win7?
В любом случае виноват файл хост (hosts без разширения):
C:\WINDOWS\system32\drivers\etc\
В ХР находиться тут, в win7 чуток сложнее. Открывается через notepad (стандратные).

Чистим файл полностью - получаем результат.

 

Да неужели?!

 

да ты пророк=)
инжект слышал про такое?

 

Просвяти. Интересно будет послушать.

 

кста, наверное неплохое лаве поднимают... 300-400$/1K инсталллов точно дерут

 

по крайней мере не красиво, модератору так отвечать.
Мог бы и объяснить в чем я не прав.

 

потому что три листа не флуда, тс уже писал что хостс чист и сам понял что дело не в нем

 

он писал что хостс чист,значит это перехват функций.
фишка перехвата в том что:изменяется некоторый адрес процесса в результате чего тот выполняет функцию ТВОЮ,при вызове функции ,она работает вместо системной,и потом возвращает управление оригиналу,или не возвращает.

 

Суть понятна, но тем не менее.. по логике чтобы каким-то образом влиять на уже существующий процесс нужен другой процесс который собственно и будет влиять?
Или попросту происходит подмена системного исполняемого файла с новым описанием функции?

Часто встречалась ситуация когда файл хост попросту забит абзацами и если не обратить внимание на скролл редактора легко запутаться. Так же часто создается еще один файл с русской буквой O. Может ситуация всё же более простая?

 

просто происходит подгрузка длл-ки,а та уже все делает.объяснить это просто быстро нельзя,если хочь почитай.но по простому это так:
находятся адреса функций из нужной системной длл,
читаются данные из области памяти данного процесса,заменяется на длинный прыжок на нужную тебе функцию,и записываются новые данные в область памяти процесса.
(подумываю простенькую статейку про сплайсинг сделать,но хз еще).
да я думаю тс не глупый что бы не заметить пробелов в файле.

 

да заебали,проблемма решена уже,снежок помог моей подруги.

 

Пиши обязательно, будет интересно почитать. Спасибо за разъяснения, но вот на счет "почитай" немного в растерянности.. в гугле меня конечно не забанили но найти толкового ничего не смог. Можешь что привести в пример?

Ну в таком случае мог бы чуток получше раздел выбрать для этой темы, да и судя по его ответам в теме не всё так очевидно как ты говоришь.

 

http://wasm.ru/article.php?article=apihook_1