Вирус -вымогатель

[krot]

(или как он там правильно называется).... и как обычно, все ко мне. Но найти в интернете удалось только то что номер принадлежит МТС Лениградской области. Номер 8-911-136-12-18. Кто-нибудь сталкивался с этим номером уже? Изменено 10 июля, 2011 пользователем krot

[KEPESH]

переведи в биосе время на месяц-два назад, загрузись и прогони дрвебом.

[Strange]

Соседи подцепили, обратились к тебе, значит ты в их глазах "немного разбирающийся в этом"? Так? Если не мудрить с биосом, то есть несколько вариантов же))) Порыться в автозагрузке (найти и удалить неизвестные файля типа 0.8763458234690450.exe), проверить безопасный режим(мож там нет баннера и опятьже прогнать СВЕЖИМ антивирусом), загрузиться с реаниматора и проверить тем же Cure It или Avz, вынуть винт и подключившись к другому так же проверить...

[Stitch]

знакомый номер

если там сообщение про "просмотр п...но страниц", то надо править реестр, удалять файл в папке user\application и заменить на оригинальные файлы userinit и taskmgr в windows\system32

посмотри дату создания/изменения файлов этих, она должна быть старой

[Strange]

надо править реестр, удалять файл в папке user\application и заменить на оригинальные файлы userinit и taskmgr в windows\system32

 

не факт, хотя этим

посмотри дату создания/изменения файлов

 

проверить можно

 

Раньше все лечилось ПРОСТО. в Program File садился plugin.exe и вопрос решался простым удалением, сейчас все сложнее, но ты ж не знаешь, как на том конкретном компе)))

[krot]

Биос, безопасный режим - нифига. Все равно вылазит окно блокировки. Еще и CD привод накрылся. Сейчас попробую создать загрузочную влешку DRWeb просканировать.

[Nazarich]

по сайту др вэба полазь, там есть помощь Изменено 11 июля, 2011 пользователем Nazarich

[вампир3512]

нету нифига)))) щас такую же хрень устраняю))))

[db74]

они уже не привязанны к одному номеру в этом сообщении номер телефона меняется при каждой загрузке

лечится только загрузкой слайф диска или ердшкой чистим реестр и меняем таскменеджер т.к он тоже заражен

недавно лечил такой

[Саныч]

1. грузимся в безопасном режиме с поддержкой командной строки

2. пишем regedit - запускаем редактор реестра

3. в ветке HKEY_LOCAL_MACHINE =>SOFTWARE=>Microsoft=>Windows NT=>CurrentVersion=>Winlogon=>Userinit => должно стоять C:\WINDOWS\system32\userinit.exe

4. проверить наличие файлов на диске:

- c:\WINDOWS\system32\logonui.exe

- c:\WINDOWS\system32\userinit.exe

Вирус может удалить или переименовать эти файлы.

 

как правило помогает

[Grin]

мало информации

[Gimlie]

где берут такие локеры?

[el tequila]

попробуй утилитку uvs она маленькая, но много чего умеет

 

Удаление баннера:

Для того, чтобы это осуществить нам понадобится: CD диск или флешка (если флешка то еще и программа UltraISO) Образ -Win7PE_uVS.iso

1. Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск и в нем файл Win7PE_uVS.iso то НЕ правильно)

В меню выбираем или загрузка с CD-DVD привода или с флешки Flash

2. После загрузки появится окно:

Выберите в нем TotalCommander и нажмите GO

3.Далее ищем свою флешку (она подписана как Win7PE_32), и открываем папку uVS на ней. В папке ищем файл start.exe и запускаем.

Если грузитесь с диска в папку uVS заходить не нужно. Все дело в том, что программа создает временные файлы, и на диск они никаким образом записаться не смогут поэтому выдает ошибку. Чтобы этого избежать необходимо запустить файл start.cmd находящийся в корне диска возле папки uVS

4. В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система), после чего на кнопке "Выбрать каталог Windows" появится надпись в скобках (выбран C:\WINDOWS). Далее жмем "Запустить под текущим пользователем"

5. Когда откроется окно, нажимаем вкладку "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики" и нажимаем на кнопке №12 "Сброс ключей Winlogon в начальное состояние. "Останется удалить подозрительные файлы, т.е те, что бросаются в глаза, например xxx_video_3242.exe или ~rdr813.tmp

P.S Можно вставить диск, когда система загружена и баннер вылез. Программа свернёт его и далее следует проделать процедуру описанную выше.

 

зы можно загрузицца с любого диска или флешки под виндой и запустить программу, тогда первые 3 пункта пропускаем

Изменено 12 июля, 2011 пользователем Mojito

[Grin]

где берут такие локеры?

 

не поверишь, в интернете

 

тут даже не обязательно на порносайты заходить, достаточно банер закрыть, тебя атоматом перекидывает и оп, вирус у тебя на компе деньги просит

[Strange]

тут даже не обязательно на порносайты заходить

 

самое СМЕШНОЕ, когда людей выручаешь от этой напасти, они так яростно оправдываются... говорят, мол, даже и не думали гей-порно смотреть и порнуху качать...

 

Беда в том, что сейчас действительно даже на сайтах с мультиками, казалось бы, безобидными, можно подхватить эту гадость. И не верьте, что есть антивирусы, которые НИКОГДА не пропустят это... Лучшая защита от этих баннеров - это отсутствие интернета, дисководов 3,5", USB-портов.. да и в принципе, компа)))

 

Абсолютно реально на детский запрос "фотография киски" получить в ответ такооооое....

[Nazarich]

самое СМЕШНОЕ, когда людей выручаешь от этой напасти, они так яростно оправдываются... говорят, мол, даже и не думали гей-порно смотреть и порнуху качать...

 

ага, причем скольких я лечил, все одно и то же говорят, даже друзья)))

стесняются видать)))

[Strange]

стесняются видать)))

 

)))вчера мне коллега говорит, я смотрю, ты ж знаешь... но педики мне неинтересны, я смотрю другие и проверенные сайты

[Gimlie]

вопщем, firefox+adblock наше все.

[Strange]

вопщем, firefox+adblock наше все.

 

ВАШЕ все...

 

у меня Google Chrome + NOD32 (4.2.71.3)+ Comodo

 

Ни одного косяка... Но опять же, если руки растут оттуда же, откуда и ноги, а в черепной коробке отсутствует положенное вещество, то хоть 10 антивирусов и 15 файерволов.. результат будет один(((

[DirektorStadiona]

пытался разок знакомому вылечить. сляд хард, поставил к себе и прогнал антивирем.

поставил обратно и винда по прежнему просила пароль, только уже без баннера, а стандартное окно входа в систему.

короче пришлось винду ставить

[Strange]

короче пришлось винду ставить

 

hiren's boot CD вам в помощь))) Пароль же можно просто удалить, если это пароль пользователя... Необязательно его угадывать-подбирать...

[RaZZboyNiK]

Удаляется вирус просто. Сначала правим реестр (для этого грузим ERD Commander) после этого находим по пути в реестре тело после чего удаляем его, только после этого стоит проверять антивирусом. так как некотрые разновидности такого вируса херят таблицу партиции и прочее при попытке его удалить. И все данные становятся недоступными.

Кому нужна будет помощь приезжайте - свердловский 21 оф 103, выправляю винду для КК за соки пиво воду.

Если что проконсультирую в личке. В принципе в инете много уже про них написано. Избавиться можно и самому.

П.С, кстати редко подходят готоввые коды с сайтов антивирей. все ручками приходитсья делать.

[Strange]

Удаляется вирус просто. Сначала правим реестр (для этого грузим ERD Commander) после этого находим по пути в реестре тело после чего удаляем его...

 

Друг, во ты шутник... Аппендицит так-то тож просто вырезается. Если ты УМЕЕШЬ это делать. Тут-то, судя по всему, не все так продвинуто, поэтому человек пытался найти решение "на русском языке")))

[RaZZboyNiK]

Друг, во ты шутник... Аппендицит так-то тож просто вырезается. Если ты УМЕЕШЬ это делать. Тут-то, судя по всему, не все так продвинуто, поэтому человек пытался найти решение "на русском языке")))

 

Понял пардон...

Но собсна я написал если что пусть приходят приезжают помогу ) а такнада бы инструкцию наваять

[вампир3512]

на сайте касперского есть програмулька хорошая, скачиваешь, запускаешь, она сама заливается на флэху, флэху в пораженный комп, загрузка с усбы, и вуаля затраты времени 10-15 минут, ну и потом почистить обычным антивирем, и никуда лезть не нада)))))