Порно баннер бадла
- Автор темы mer1k
- Дата начала
- Статус
1) сканить жесткий на другой машине (самый надежный вариант)
2) можно пробовать запустить свежескачаный CureIt - Dr.Web CureIt (долго будет сканить но точно найдет) зависит от версии и типа данной вредоносной программы, сталкивался с такими которые даже в безопасном режиме при попытке запустить антивирус бросают машину в перезапуск...
3) в основном сидят в папке темп, папку полностью удалить создав новую с таким же названием...
---------- Добавлено в 11:02 ---------- Предыдущее сообщение было написано в 10:59 ----------
данный номер прокатывает не со всеми версиями этих веред. программ
---------- Добавлено в 11:04 ---------- Предыдущее сообщение было написано в 11:02 ----------
Если ни чего не получается привозите жесткий просканю безвозмездно
2) можно пробовать запустить свежескачаный CureIt - Dr.Web CureIt (долго будет сканить но точно найдет) зависит от версии и типа данной вредоносной программы, сталкивался с такими которые даже в безопасном режиме при попытке запустить антивирус бросают машину в перезапуск...
3) в основном сидят в папке темп, папку полностью удалить создав новую с таким же названием...
---------- Добавлено в 11:02 ---------- Предыдущее сообщение было написано в 10:59 ----------
данный номер прокатывает не со всеми версиями этих веред. программ
---------- Добавлено в 11:04 ---------- Предыдущее сообщение было написано в 11:02 ----------
Если ни чего не получается привозите жесткий просканю безвозмездно
Valenok, хз когда я сталкивался с банером он полностью экран закрывал ничего видно небыло не пуска ничего, я лечил откатом времени и в другой раз на сайте касперского пароль подобрал...
как там на ощюпь можно что то сделать?
хз может через телек или дополнительный моник и можно, но не у всех есть такая возможность...
как там на ощюпь можно что то сделать?
хз может через телек или дополнительный моник и можно, но не у всех есть такая возможность...
Последнее редактирование:
http://www.drweb.com/unlocker/index/
http://support.kaspersky.ru/viruses/deblocker
Деблокеры и анлокеры от самого зловреда не спасают. Лечить потом надо все равно.
http://support.kaspersky.ru/viruses/deblocker
Деблокеры и анлокеры от самого зловреда не спасают. Лечить потом надо все равно.
сегодня системник в руки попал с баннером.
за распространение порнографии с ссылкой на УК требуют 400 рублев.
вместо userinit.exe программа подложила свой исполняемый файл, который в момент загрузки создавал другой исполняемый файл в папке Doc&Sett... и на рабочем столе выползал баннер.
проводник не активен, т.к. вместо проводника он прописывает сам баннер, диспетчер задач отключен.
исправлением параметра SHELL и удалением файла баннера не помогало.
параметр Userinit вроде не привлекал внимания, как присмотрелся к самому файлу понял в чем дело.
за распространение порнографии с ссылкой на УК требуют 400 рублев.
вместо userinit.exe программа подложила свой исполняемый файл, который в момент загрузки создавал другой исполняемый файл в папке Doc&Sett... и на рабочем столе выползал баннер.
проводник не активен, т.к. вместо проводника он прописывает сам баннер, диспетчер задач отключен.
исправлением параметра SHELL и удалением файла баннера не помогало.
параметр Userinit вроде не привлекал внимания, как присмотрелся к самому файлу понял в чем дело.
Я лечу такие чтуки так
1. Загружаемся с любого лайв CD
2. ищем поиском *avi.exe
3. удаляем всё что повылазило
4. перезагружаем комп. Комп загрузится без пуска и прочей лабудени жмем win+r в командной строке вводим explorer.exe далее на усмотрение либо ставим каспера и там есть функция восстановление после заражения, либо AVZ 4, ну еще можно попробовать восстановление системы средствами самой Виндовс
1. Загружаемся с любого лайв CD
2. ищем поиском *avi.exe
3. удаляем всё что повылазило
4. перезагружаем комп. Комп загрузится без пуска и прочей лабудени жмем win+r в командной строке вводим explorer.exe далее на усмотрение либо ставим каспера и там есть функция восстановление после заражения, либо AVZ 4, ну еще можно попробовать восстановление системы средствами самой Виндовс
Последнее редактирование:
Эта штука обычно загружается из системного ключа Winlogon, часто подменяя собой системный файл Userinit.exe, который отвечает за инициализацию входа в систему. Т.е. эта штука запускается еще до появления рабочего стола.
Для лечения я использую LiveCD сборку с ERD Commander, который позволяет просматривать реестр и папки компьютера с возможностью редактирования. Обычно достаточно установить нормальный файл Userinit.exe вместо поддельного.
Вариантов может быть много, потому что ключ к Userinit может быть изменен в реесте, сам файл может называться как угодно.
За это отвечает ветвь в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Обратите внимание на ключи Userinit
Настоящее значение C:\WINDOWS\system32\userinit.exe
Для лечения я использую LiveCD сборку с ERD Commander, который позволяет просматривать реестр и папки компьютера с возможностью редактирования. Обычно достаточно установить нормальный файл Userinit.exe вместо поддельного.
Вариантов может быть много, потому что ключ к Userinit может быть изменен в реесте, сам файл может называться как угодно.
За это отвечает ветвь в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Обратите внимание на ключи Userinit
Настоящее значение C:\WINDOWS\system32\userinit.exe
Как избавиться от вируса-блокировщика Windows или SMS-блокера или SMS-locker-а Trojan.Winlock.3266 (Номер "попрошайки" 8-911-726-15-07 89117261507 8(911)7261507 8(911)726-15-07) Актуально для 8-911-757-25-04 89117572504 8(911)757-25-04 8(911)7572504 и дригих 8(911)
Уже не первый раз борюсь с вирусами разблокировщиками, на этот раз мне попался Trojan.Winlock.3266.
Симптомы.
Вирус проявляет себя ПОСЛЕ входа пользователя в систему. Человек набирает логин и пароль для входа в Windows и через непродолжительное время получает следующую "картинку"
и насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона MTC
89112962428 . В случае оплаты суммы равной штрафу либо
превышающей ее на фискальном чеке терминала будет напечатан
код разблокировки. Его нужно ввести в поле в нижней части окна и
нажать кнопку «Разблокировать». После снятия блокировки Вы
должны удалить все материалы содержащие элементы насилия и
педофилии. Если в течение 12 часов штраф не будет оплачен, все
данные на Вашем персональном компьютере будут безвозвратно
удалены, а дело будет передано в суд для разбирательства по
статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к
незамедлительному удалению ВСЕХ данных, включая код
операционной системы и BIOS, с невозможностью дальнейшего
восстановления. "
8. Перейдите в раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon"
9. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая)!
10. Если параметры “Shell” и “Userinit” в порядке, найдите раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options" и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
ВНИМАНИЕ! Может сложиться такая ситуация, что вирус-winlocker удалил файл explorer.exe В таком случае скачайте его из этого архива. Инструкцию по восстановлению файла я вложил.
11. После того, как вы произвели вышеописанные действия, вы можете закрыть редактор, перезагрузить компьютер, выставить загрузку на жесткий диск и попробовать загрузиться. По идее, вы без проблем загрузитесь и спокойно войдете в свой профиль. УРА! :=)
Не обойдемся парой примечаний.
В данной инструкции был подробно расписан метод борьбы с конкретным вирусом, попавшимся мне. В дальнейшем, автор вируса может его усовершенствовать и, например, поменять названия файлов с заразой. Поэтому надо быть бдительным и понять сам принцип вылечивания системы. Если у вас возникнут какие-то сложности, затруднения, вопросы по своим конкретным случаям, или вам показался непонятным какой-либо шаг в моей инструкции не стесняйтесь, описывайте проблему в комментариях и я постараюсь вместе с вами ее решить
После вылечивания от этого вируса, может оказаться, что зараженными оказались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмит кнопку "Пуск"=>"Выпонить", наберите "sfc /scannow" и нажмите ОК. Если восстановить не удасться, не отчаивайтесь, пишите сюда в комментарии, какие системные файлы были заражены и удалены, я отошлю их чистые оригиналы.
Кстати об антивирусе. Если бы на системе стоял нормальный антивирус, таких шуток с блокировкой, вполне возможно, удалось бы избежать. На сегодняшний день Антивирус Dr Web определяет и обезвреживает описанный SMS-блокировщик. Поэтому после боя с вирусом рекомендую скачать с сайта вечную сборку Доктора Веба от НАЗАРЕТ, не просящую ключа и полностью самообновляющуюся.
Надеюсь, написанное мной поможет вам в борьбе с вирусом и будет несложным и полезным!
UPD: Добавлена инструкция по записи Alkid на флешку.
UPD2: Для тех, у кого исчез файл explorer.exe скачайте его в архиве. Если вы не в Alkid, то войдите в него (пункты 1-5) и следуйте инструкции, которую я приложил в архиве.
Автор: komsomolec
Уже не первый раз борюсь с вирусами разблокировщиками, на этот раз мне попался Trojan.Winlock.3266.
Симптомы.
Вирус проявляет себя ПОСЛЕ входа пользователя в систему. Человек набирает логин и пароль для входа в Windows и через непродолжительное время получает следующую "картинку"
Текст, в зависимости от номера телефона, незначительно меняется, но это, в общем-то, не суть важно.
Во всех стандартых образцах
"Ваш компьютер заблокирован за просмотр, копирование и
тиражирование видеоматериалов содержащих элементы педофилииВо всех стандартых образцах
"Ваш компьютер заблокирован за просмотр, копирование и
и насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона MTC
89112962428 . В случае оплаты суммы равной штрафу либо
превышающей ее на фискальном чеке терминала будет напечатан
код разблокировки. Его нужно ввести в поле в нижней части окна и
нажать кнопку «Разблокировать». После снятия блокировки Вы
должны удалить все материалы содержащие элементы насилия и
педофилии. Если в течение 12 часов штраф не будет оплачен, все
данные на Вашем персональном компьютере будут безвозвратно
удалены, а дело будет передано в суд для разбирательства по
статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к
незамедлительному удалению ВСЕХ данных, включая код
операционной системы и BIOS, с невозможностью дальнейшего
восстановления. "
особенно радует пункт про код на фискальном чеке Но мы, конечно, не лохи, чтобы вестись на такое откровенное оболванивание, поэтому перейдем к алгоритму решения данной проблемы.
Инструменты.
Чтобы побороть эту заразу, нам надо будет поработать с файловой системой и реестром системы. Сделать это, имея одно синее окно тяжеловато, мы загрузимся не из-под зараженной операционной системы. Для этого воспользуемся замечательным диском - Alkid Live CD (11-05-2011), который можно скачать с этого сайта.
Алгоритм избавления.
1. Скачайте образ Alkid Live CD (11-05-2011)
2. Запишите образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной вам программой. Именной специальной программой, потому что если вы просто скопируете файл образа на диск, он не загрузится. Лично я записываю с помощью Nero.
Также можно образ записать на флешку. В таком случае, работать будет намного быстрее. У нас на сайте приведена простая и подробная инструкция по записи.
3. Выставите в BIOS первичную загрузку с диска (если быть точнее, то оптического привода) или флешки, если хотите загружать Alkid с нее. Существуют различные версии BIOS с различной организацией меню. Чаще всего, чтобы войти в BIOS, надо после включения компьютера (или ноутбука) нажать F10, или F8, или F6, или F2, или Del . После успешного входа в BIOS нужно найти раздел под названием вида "Boot Device Priority" или похожим и выбрать первичнымустройством оптический привод (или USB-устройство), с которого вы будете загружаться. После выбора не забудьте выйти, сохранив настройки (как правило, клавишей F10).
4. После применения настроек, компьютер начнет перезагружаться и, немедля, вставим диск в дисковод. Возможно, что появится сообщение типа: :If you want to boot from CD, press any key", в таком случае нажмем любую кнопку. Если сообщение не появится, то мы должны увидеть загрузочное меню нашего диска.
5. В загрузочном меню нас ожидают 2 пункта: загрузка LiveCD с драйверами и без драйверов, для нашего случая вполне хватит загрузки без драйверов, однако вы можете выбрать тот вариант, который вам больше нравится. В любом случае, если один вариант загрузки у вас "не пойдет", то, скорее всего, вы сможете загрузиться со второго варианта. Обращаю особое внимание, что, в зависимости от характеристик вашего компьютерного оборудования, загружаться диск может ДОЛГО, поэтому не нужно нервничать, загрузка может затянуться до 20 минут (однако, в основном, проходит быстрее).
Итак, наконец-то диск загрузился и мы видим перед собой окно операционной системы, которая установлена на оптическом диске. Как уже было сказано, она "начинена" специальными утилитами, помогающими решать проблемы с основной операционной системой.
6. Войдем в "Мой компьютер". Найдем диск, где у нас лежит зараженная операционная система (скорее всего, это будет, как обычно, C). На диске открываем папку Documents and settings (если у нас зараженная - это XP) или Users (если зараженная - Vista). В открытой папке находим и заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe". После удаления опять возвращаемся обратно в корень нашего диска, ищем папку "Windows", переходим в "system32" и находим и удаляем файл "userinit.exe". Далее в этой же папке находим файл с названием "03014D3F.exe", его мы не удаляем, а переименовываем в "userinit.exe" и оставлояем в покое. Теперь нам осталось опять перейти в папку с профилями (Documents and settings (если XP) или Users (если Vista)) и войти в папку All Users. В ней находим и входим в каталог "Application Data" и в нем удаляем файл под названием "22CC6C32.exe".
Все. ФИЗИЧЕСКИ вирус мы удалили, осталось подчистить следы его пребывания в нашей многострадальной операционной системе. Для этого нам и понадобится замечательная утилита на диске под названием "Редактор реестра".
7. Итак, нажмем кнопку "Пуск" (Кружочек с лепестками, в стиле Vista), выберем Программы => Администрирование => RegEdit (remote).
Теперь будьте предельно внимательны. Неосторожное редактирование реестра может привести к неполадкам в работе системы, поэтому внимательно читайте дальнейшие указания
Но мы, конечно, не лохи, чтобы вестись на такое откровенное оболванивание, поэтому перейдем к алгоритму решения данной проблемы.Инструменты.
Чтобы побороть эту заразу, нам надо будет поработать с файловой системой и реестром системы. Сделать это, имея одно синее окно тяжеловато, мы загрузимся не из-под зараженной операционной системы. Для этого воспользуемся замечательным диском - Alkid Live CD (11-05-2011), который можно скачать с этого сайта.
Алгоритм избавления.
1. Скачайте образ Alkid Live CD (11-05-2011)
2. Запишите образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной вам программой. Именной специальной программой, потому что если вы просто скопируете файл образа на диск, он не загрузится. Лично я записываю с помощью Nero.
Также можно образ записать на флешку. В таком случае, работать будет намного быстрее. У нас на сайте приведена простая и подробная инструкция по записи.
3. Выставите в BIOS первичную загрузку с диска (если быть точнее, то оптического привода) или флешки, если хотите загружать Alkid с нее. Существуют различные версии BIOS с различной организацией меню. Чаще всего, чтобы войти в BIOS, надо после включения компьютера (или ноутбука) нажать F10, или F8, или F6, или F2, или Del . После успешного входа в BIOS нужно найти раздел под названием вида "Boot Device Priority" или похожим и выбрать первичнымустройством оптический привод (или USB-устройство), с которого вы будете загружаться. После выбора не забудьте выйти, сохранив настройки (как правило, клавишей F10).
4. После применения настроек, компьютер начнет перезагружаться и, немедля, вставим диск в дисковод. Возможно, что появится сообщение типа: :If you want to boot from CD, press any key", в таком случае нажмем любую кнопку. Если сообщение не появится, то мы должны увидеть загрузочное меню нашего диска.
5. В загрузочном меню нас ожидают 2 пункта: загрузка LiveCD с драйверами и без драйверов, для нашего случая вполне хватит загрузки без драйверов, однако вы можете выбрать тот вариант, который вам больше нравится. В любом случае, если один вариант загрузки у вас "не пойдет", то, скорее всего, вы сможете загрузиться со второго варианта. Обращаю особое внимание, что, в зависимости от характеристик вашего компьютерного оборудования, загружаться диск может ДОЛГО, поэтому не нужно нервничать, загрузка может затянуться до 20 минут (однако, в основном, проходит быстрее).
Итак, наконец-то диск загрузился и мы видим перед собой окно операционной системы, которая установлена на оптическом диске. Как уже было сказано, она "начинена" специальными утилитами, помогающими решать проблемы с основной операционной системой.
6. Войдем в "Мой компьютер". Найдем диск, где у нас лежит зараженная операционная система (скорее всего, это будет, как обычно, C). На диске открываем папку Documents and settings (если у нас зараженная - это XP) или Users (если зараженная - Vista). В открытой папке находим и заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe". После удаления опять возвращаемся обратно в корень нашего диска, ищем папку "Windows", переходим в "system32" и находим и удаляем файл "userinit.exe". Далее в этой же папке находим файл с названием "03014D3F.exe", его мы не удаляем, а переименовываем в "userinit.exe" и оставлояем в покое. Теперь нам осталось опять перейти в папку с профилями (Documents and settings (если XP) или Users (если Vista)) и войти в папку All Users. В ней находим и входим в каталог "Application Data" и в нем удаляем файл под названием "22CC6C32.exe".
Все. ФИЗИЧЕСКИ вирус мы удалили, осталось подчистить следы его пребывания в нашей многострадальной операционной системе. Для этого нам и понадобится замечательная утилита на диске под названием "Редактор реестра".
7. Итак, нажмем кнопку "Пуск" (Кружочек с лепестками, в стиле Vista), выберем Программы => Администрирование => RegEdit (remote).
Теперь будьте предельно внимательны. Неосторожное редактирование реестра может привести к неполадкам в работе системы, поэтому внимательно читайте дальнейшие указания
8. Перейдите в раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon"
9. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая)!
10. Если параметры “Shell” и “Userinit” в порядке, найдите раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options" и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
ВНИМАНИЕ! Может сложиться такая ситуация, что вирус-winlocker удалил файл explorer.exe В таком случае скачайте его из этого архива. Инструкцию по восстановлению файла я вложил.
11. После того, как вы произвели вышеописанные действия, вы можете закрыть редактор, перезагрузить компьютер, выставить загрузку на жесткий диск и попробовать загрузиться. По идее, вы без проблем загрузитесь и спокойно войдете в свой профиль. УРА! :=)
Не обойдемся парой примечаний.
В данной инструкции был подробно расписан метод борьбы с конкретным вирусом, попавшимся мне. В дальнейшем, автор вируса может его усовершенствовать и, например, поменять названия файлов с заразой. Поэтому надо быть бдительным и понять сам принцип вылечивания системы. Если у вас возникнут какие-то сложности, затруднения, вопросы по своим конкретным случаям, или вам показался непонятным какой-либо шаг в моей инструкции не стесняйтесь, описывайте проблему в комментариях и я постараюсь вместе с вами ее решить
После вылечивания от этого вируса, может оказаться, что зараженными оказались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмит кнопку "Пуск"=>"Выпонить", наберите "sfc /scannow" и нажмите ОК. Если восстановить не удасться, не отчаивайтесь, пишите сюда в комментарии, какие системные файлы были заражены и удалены, я отошлю их чистые оригиналы.
Кстати об антивирусе. Если бы на системе стоял нормальный антивирус, таких шуток с блокировкой, вполне возможно, удалось бы избежать. На сегодняшний день Антивирус Dr Web определяет и обезвреживает описанный SMS-блокировщик. Поэтому после боя с вирусом рекомендую скачать с сайта вечную сборку Доктора Веба от НАЗАРЕТ, не просящую ключа и полностью самообновляющуюся.
Надеюсь, написанное мной поможет вам в борьбе с вирусом и будет несложным и полезным!
UPD: Добавлена инструкция по записи Alkid на флешку.
UPD2: Для тех, у кого исчез файл explorer.exe скачайте его в архиве. Если вы не в Alkid, то войдите в него (пункты 1-5) и следуйте инструкции, которую я приложил в архиве.
Автор: komsomolec
- Статус