LogachevAnd
Это значит, что диск, который Вы вставили, повреждён или не является загрузочным.
Это значит, что диск, который Вы вставили, повреждён или не является загрузочным.
» Windows заблокирован!
Словила сегодня порно-вирус.
Испугалась, комп заблокирован. Отправила смс. Убрала окно.
Пытаюсь сейчас разобраться.
Я в тотал командер открыла и посмотрела. У меня
"Shell" = "Explorer.exe runddll32.exe rqfp.kmo vkkrh"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Риестр я подчистила. Теперь в нем все нормально.
Файл runddll32.exe я на компе не нашла.
На что еще стоит обратить внимание?
Испугалась, комп заблокирован. Отправила смс. Убрала окно.
Пытаюсь сейчас разобраться.
Я в тотал командер открыла и посмотрела. У меня
"Shell" = "Explorer.exe runddll32.exe rqfp.kmo vkkrh"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Риестр я подчистила. Теперь в нем все нормально.
Файл runddll32.exe я на компе не нашла.
На что еще стоит обратить внимание?
Цитата:
Отправила смс
Вы В своём уме?
Просто нет слов...
з.ы.
"Shell" = всё что после Explorer.exe надо стереть.
рундлл это не тело вируса, а средство его запуска.
нужно искать по названиям типа rqfp.kmo vkkrh, но вероятно оно самоуничтожилось.
Советую срочно звонить оператору и требовать возврата средств, списанных со счёта, так как это мошенничество и они обязаны отозвать платёж.
Цитата:
Советую срочно звонить оператору и требовать возврата средств, списанных со счёта, так как это мошенничество и они обязаны отозвать платёж.
И как это сделать?
Просто я так испугалась, что чуть в обморок не свалилась...
JulianaC
Звоните оператору объясняете ситуацию как есть подробно. ... Они скажут что и как делать
Звоните оператору объясняете ситуацию как есть подробно. ... Они скажут что и как делать
[q][/q]
к своему посту от 22:19 09-03-2010
Только сейчас из саппорта DrWeba пришла радостная весть что троян определяется как Угроза: Trojan.Winlock.1173
просто нету слов...
к своему посту от 22:19 09-03-2010
Только сейчас из саппорта DrWeba пришла радостная весть что троян определяется как Угроза: Trojan.Winlock.1173
просто нету слов...
JulianaC
Цитата:
Может все же "C:\WINDOWS\system32\userinit.exe,"? Если не так, то нужно поправить.
Цитата:
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Может все же "C:\WINDOWS\system32\userinit.exe,"? Если не так, то нужно поправить.
Цитата:
Может все же "C:\WINDOWS\system32\userinit.exe,"? Если не так, то нужно поправить.
у меня так
C:\WINDOWS\system32\userinit.exe,
Представляю свой вариант аварийного диска.
Год выпуска: 2010
Язык интерфейса: Русский
Платформа: BartPE
Размер: 183 MB (специально подгонялась по мини CD)
Таблэтка: Не требуется
Системные требования: Компьютер с 256Mb доступного RAM и выше
[more=Подробности]Microsoft Windows Preinstallation Environment (WinPE) представляет собой облегчённую («урезанную») версию Windows XP.
Поддерживает основные сетевые интерфейсы влючая WiFi и распространенные SATA/SCSI/RAID. Звуковых и видеодрайверов в этой сборке нет.
В составе сборке необходимые инструменты для удаления\лечения вирусов и их последствий.
Может выходить в сеть.
Состав-
ADSSpy - Альтернативные потоки
AntiAutorun - Выявление и удаление Autorun
Autoruns - Многоцелевой менеджер
BHORemover - Вьювер BHO обьектов
CrucialADS - Поиск альтернативных потоков
Erd Commander 2005
Erunt - Архиватор реестра
FCleaner - Очистка временных папок
HijackThis - Сканер спайваре, троянов
LSPFix - Востановление обработки стека TCP
PasswdRenew - Работа с профилями
QuickKiller - Лечение после вирусов
Razblocker - Разблокировщик функций
RegWorks - Альтернативный редактор реестра
StartupExtractor - Менеджер автозагрузки
Toolbarcop - Просмотр ActiveX и Toolbar
AVZ - Антивирусный сканер (свежесть 15.03.10)
Dr.Web - Антивирус (свежесть 15.03.10)
Сборка базируется на родителе отсюда.
Выражаю свою признательность и благодарность за труд VasAlex и его команде.
Собственно я удалил всё лишнее по моему мнению, чуть доработал и обновил.
Для работы Аvz4 и DR.Web 5 требуется не менее 200 мб виртуальной памяти.
Для этого рядом с кнопкой Пуск вы увидите иконку со значком i, кликаете и выставляете на любой локальный диск требуемое значение. Можно работать.
Почти все программы имеют функцию подключения к реестру заражённой машины.
Аvz4 и DR.Web могут себя обновить при наличии активного подключения к сети Интернет.
Ручная перепаковка DR.Web - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\DRWEB извлекаем DRWEB.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл DRWEB.wim, в строке получатель указываем папку куда будет разобран файл, применить. После распаковки переходим в ту папку.
Запускаем DrWebUpW.exe, который находится в распакованой папке, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла DRWEB, сжатие максимальное (более ничего не нужно писать и изменять), создать.
Новый файл DRWEB.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\DRWEB), соглашаясь на замену, сохраняем образ.
Ручная перепаковка Avz - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\avz4 извлекаем avz4.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл avz4.wim, в строке получатель указываем папку куда будет разобран файл, применить.
После распаковки переходим в ту папку. Запускаем Avz.exe -файл-обновление баз, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла Avz4, сжатие максимальное (более ничего не нужно писать и изменять), создать.
Новый файл Avz4.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\avz4), соглашаясь на замену, сохраняем образ.[/more]
Извлечь из архива образ Iso и записать любой программой умеющей это делать (Nero)
http://rapidshare.com/files/363644654/Mini_LiveCD.part1.rar
http://rapidshare.com/files/363644657/Mini_LiveCD.part2.rar
пароль www.2baksa.net
Основное предназначение борьба с последствиями Winlock
Год выпуска: 2010
Язык интерфейса: Русский
Платформа: BartPE
Размер: 183 MB (специально подгонялась по мини CD)
Таблэтка: Не требуется
Системные требования: Компьютер с 256Mb доступного RAM и выше
[more=Подробности]Microsoft Windows Preinstallation Environment (WinPE) представляет собой облегчённую («урезанную») версию Windows XP.
Поддерживает основные сетевые интерфейсы влючая WiFi и распространенные SATA/SCSI/RAID. Звуковых и видеодрайверов в этой сборке нет.
В составе сборке необходимые инструменты для удаления\лечения вирусов и их последствий.
Может выходить в сеть.
Состав-
ADSSpy - Альтернативные потоки
AntiAutorun - Выявление и удаление Autorun
Autoruns - Многоцелевой менеджер
BHORemover - Вьювер BHO обьектов
CrucialADS - Поиск альтернативных потоков
Erd Commander 2005
Erunt - Архиватор реестра
FCleaner - Очистка временных папок
HijackThis - Сканер спайваре, троянов
LSPFix - Востановление обработки стека TCP
PasswdRenew - Работа с профилями
QuickKiller - Лечение после вирусов
Razblocker - Разблокировщик функций
RegWorks - Альтернативный редактор реестра
StartupExtractor - Менеджер автозагрузки
Toolbarcop - Просмотр ActiveX и Toolbar
AVZ - Антивирусный сканер (свежесть 15.03.10)
Dr.Web - Антивирус (свежесть 15.03.10)
Сборка базируется на родителе отсюда.
Выражаю свою признательность и благодарность за труд VasAlex и его команде.
Собственно я удалил всё лишнее по моему мнению, чуть доработал и обновил.
Для работы Аvz4 и DR.Web 5 требуется не менее 200 мб виртуальной памяти.
Для этого рядом с кнопкой Пуск вы увидите иконку со значком i, кликаете и выставляете на любой локальный диск требуемое значение. Можно работать.
Почти все программы имеют функцию подключения к реестру заражённой машины.
Аvz4 и DR.Web могут себя обновить при наличии активного подключения к сети Интернет.
Ручная перепаковка DR.Web - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\DRWEB извлекаем DRWEB.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл DRWEB.wim, в строке получатель указываем папку куда будет разобран файл, применить. После распаковки переходим в ту папку.
Запускаем DrWebUpW.exe, который находится в распакованой папке, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла DRWEB, сжатие максимальное (более ничего не нужно писать и изменять), создать.
Новый файл DRWEB.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\DRWEB), соглашаясь на замену, сохраняем образ.
Ручная перепаковка Avz - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\avz4 извлекаем avz4.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл avz4.wim, в строке получатель указываем папку куда будет разобран файл, применить.
После распаковки переходим в ту папку. Запускаем Avz.exe -файл-обновление баз, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла Avz4, сжатие максимальное (более ничего не нужно писать и изменять), создать.
Новый файл Avz4.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\avz4), соглашаясь на замену, сохраняем образ.[/more]
Извлечь из архива образ Iso и записать любой программой умеющей это делать (Nero)
http://rapidshare.com/files/363644654/Mini_LiveCD.part1.rar
http://rapidshare.com/files/363644657/Mini_LiveCD.part2.rar
пароль www.2baksa.net
Цитата:
http://free.antivirus.com/hijackthis/
Version 2.0.2
HijackThis уже версии 2.0.3 beta есть (только вчера случайно в логах юзверов заметил;))
У нее с ним все в порядке.
JulianaCЯ вам выслал в личке скрипт исходя из ваших логов, его выполните и повторите логи, должно быть все чисто
с userinit у вас все порядка не трожте)
JulianaC
Цитата:
Если все же решитесь звонить, то после этого напишите, пожалуйста, как отреагировал оператор.
Цитата:
Звоните оператору объясняете ситуацию как есть подробно. ... Они скажут что и как делать
Если все же решитесь звонить, то после этого напишите, пожалуйста, как отреагировал оператор.
А ещё лучше сделать запись резговора и выложить тут.
Lier
ynbIpb
Да реально вероятность возврата низкая. Звонить сразу надо было, а не смс отправлять. Теперь, когда время прошло, деньги списаны - повернуть всё вспять будет крайне сложно: где доказательства вымогательства?
ynbIpb
Да реально вероятность возврата низкая. Звонить сразу надо было, а не смс отправлять. Теперь, когда время прошло, деньги списаны - повернуть всё вспять будет крайне сложно: где доказательства вымогательства?
gjf смс с текстом таким то на номер такой то? Думаю очень просто узнать за что снимаются деньги на данном сервисе. И вроде у нас в стране уже были судебные разбирательства по этому поводу, вот только менталитет у нас такой что нифига никто не подает иски( поэтому и уживаются подобные "сервисы"
http://pazzive.livejournal.com/188661.html вот интересная статейка на эту тему побольше бы таких...
http://pazzive.livejournal.com/188661.html вот интересная статейка на эту тему побольше бы таких...
Scaramanga
Не будем устраивать долгий офф, но прямо скажу: если оператор откажет, иск подавать бессмысленно. Потому как политика будет следующая: клиент сознательно отправил смс, никакого блокера не было. Если бы были фотки (и желательно не цифровые) скрина с сообщением, фотка процесса отправки смс и отчёт о доставке - тогда да. А так - это только на добропорядочности оператора.
Не будем устраивать долгий офф, но прямо скажу: если оператор откажет, иск подавать бессмысленно. Потому как политика будет следующая: клиент сознательно отправил смс, никакого блокера не было. Если бы были фотки (и желательно не цифровые) скрина с сообщением, фотка процесса отправки смс и отчёт о доставке - тогда да. А так - это только на добропорядочности оператора.
Случился прецедент на заданную тематику: "Арбитраж Магаданской области оштрафовал на 30 тысяч рублей компанию МТС за неправомерное списание средств со счета абонента, использовавшего короткие SMS-номера. Это первый случай, когда виновным признают сотового оператора, а не контент-провайдера, заключившего с ним партнерское соглашение."
h__p://nnm.ru/blogs/girlfriendHudo/sotovogo_operatora_vpervye_oshtrafovali_za_chuzhie_platnye_sms/#cut
h__p://nnm.ru/blogs/girlfriendHudo/sotovogo_operatora_vpervye_oshtrafovali_za_chuzhie_platnye_sms/#cut
Цитата:
Если все же решитесь звонить, то после этого напишите, пожалуйста, как отреагировал оператор.
Вчера позвонила в МТС. Вопрос решили за 1 час. Деньги были возвращены на мой счет, хотя сказали, что разбираться будут 10 дней.
Все у них там в компьютере отображено - сколько сняли и на какой номер...
Так что вернуть свои деньги очень реально, спасибо форуму за подсказку.
JulianaC
Ну я рад, что по этому делу есть сдвиг, и мои опасения оказались напрасными.
Ну я рад, что по этому делу есть сдвиг, и мои опасения оказались напрасными.
Ещё один трюк (когда нет под рукой дисков и т.п.)
как закрыть окно баннера-вымогателя (если не на весь экран)
1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del)
2. окно диспетчера закрыто баннером
3. правой кнопкой мыши по панели задач и выбираем "Окна сверху вниз"
4. закрываем баннер
5. чистим реестр и удаляем файлы
работает в большинстве случаев и практически голыми руками
как закрыть окно баннера-вымогателя (если не на весь экран)
1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del)
2. окно диспетчера закрыто баннером
3. правой кнопкой мыши по панели задач и выбираем "Окна сверху вниз"
4. закрываем баннер
5. чистим реестр и удаляем файлы
работает в большинстве случаев и практически голыми руками
Vigorous а если банер на весь экран?)
Я спасаюсь комбинайцией WIN+U
Я спасаюсь комбинайцией WIN+U
Scaramanga
Цитата:
в последнее время, мне не попадаются такие
Цитата:
если банер на весь экран
в последнее время, мне не попадаются такие
Камрады, если у кого-то ситуация связана в блокером и решить её никак не удаётся - добро пожаловать в эту тему. Обращайте внимание на правила, они пока в первом сообщении, вскорости будут оформлены в шапку. Будем рады Вам помочь!
gjf
и эти темы можно закрывать...
и эти темы можно закрывать...
Добавьте зеркало на RansomHide в шапку. Софгет не пашет уже долго.
Vigorous
Ну мало ли - флейм по теме никогда не был запрещён!
Если народ здесь всё решает быстрее и чётче - что ж, можете и не заходить
Ну мало ли - флейм по теме никогда не был запрещён!
Если народ здесь всё решает быстрее и чётче - что ж, можете и не заходить Вот я каких отловил
http://i6.fastpic.ru/big/2010/0323/b5/4f3e7ada68e70d10ed94e8c34f9169b5.jpg
http://i6.fastpic.ru/big/2010/0323/11/77bff036e550d4064f984c4d28304011.jpg
http://i6.fastpic.ru/big/2010/0323/2d/853a67fc7326a1e93b5ab8559e119d2d.jpg
Сами гады
pass - virus
http://www.filehoster.ru/files/ex2322
у кого с этими зверьми проблемы могу помочь.
http://i6.fastpic.ru/big/2010/0323/b5/4f3e7ada68e70d10ed94e8c34f9169b5.jpg
http://i6.fastpic.ru/big/2010/0323/11/77bff036e550d4064f984c4d28304011.jpg
http://i6.fastpic.ru/big/2010/0323/2d/853a67fc7326a1e93b5ab8559e119d2d.jpg
Сами гады
pass - virus
http://www.filehoster.ru/files/ex2322
у кого с этими зверьми проблемы могу помочь.
господа свежее порно окно, просит
Отправьте смс с текстом aa75018 на номер 8353
веб не видит, в базах ответного номера нет, панель задач блокированна, никто ничего не подскажет?
Отправьте смс с текстом aa75018 на номер 8353
веб не видит, в базах ответного номера нет, панель задач блокированна, никто ничего не подскажет?
RAZORblade
Заходите сюда, поможем.
Заходите сюда, поможем.
снял винт, подрубил к другой машине и дрвебом с последними обновлениями прогнал, помогло.
RAZORblade
С Cureit или все же антивирусом установленным?
С Cureit или все же антивирусом установленным?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.