По-моему пораметр реестра DataBasePath данного типа вирусы еще не трогали, теперь надо ждать расположения файлика хост где нибудь далеко в другом месте.
» Windows заблокирован!
Цитата:
По-моему пораметр реестра DataBasePath данного типа вирусы еще не трогали, теперь надо ждать расположения файлика хост где нибудь далеко в другом месте.
мне попадались такие экземпляры(( сразу не мог понять из за чего так... вроде host чистый, а нет нет все равно сайты заблочены...
Хотя avz наверно должен был учитывать этот путь...
На днях попался свежак просиЛ денег на веб-мани через киви-платежи. Жалко что гады стали блокировать функцию - загрузка с потдержкой командной строки. Хорошая была приблуда в винде для борьбы с нечистью.
пробовал в биосе менять время на полгода вперёд,помогало
Утверждение из шапки:
"Все информеры требующие для разблокировки пополнения некоего счета моб.телефона снимаются вводом любых 12-14 цифр с последующим лечением системы антивирусными программами."
Теперь помогает редко. Даже любой номер с чека Билайна. Походу просто развод на деньги.
"Все информеры требующие для разблокировки пополнения некоего счета моб.телефона снимаются вводом любых 12-14 цифр с последующим лечением системы антивирусными программами."
Теперь помогает редко. Даже любой номер с чека Билайна. Походу просто развод на деньги.
Наспех заделал [more=шпору]
Баннер в фон:
BIOS перевод даты/времени (полгода вперёд/назад)
Win+U (экранная лупа)-Справка-Параметры-Параметры интернета-Упр-е св-ми обозревателя-Управление куками-Просмотреть файлы-Окно проводника!!!
вызов ДЗ (Ctrl+Alt+Del) в св-вах — поверх всех окон
Word – любой текст — Пуск — завершение работы — отмена
Загрузка с зажатой клавишей Shift
Создать ограниченного пользователя (зайти под ним и работать под администратором)
Безопасный режим: F5/F8 или запустить xp(vista,7)-safeboot.reg
очистить
со всех дисков в корневом каталоге — md.exe, blocker.exe, blocker.bin
(так же в C:\Documents and Settings\All Users\Application Data)
C:\WINDOWS\Temp
C:\Documents and Settings\user\Local Settings\Temp
(Пуск - Настройка - Панель управления - Система - Вкладка "Дополнительно" - кнопка "Переменные и среды". В верхнем окне для пользователя, в нижнем общие. Переменные TEMP и TMP.)
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя
Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
Проверять в первую очередь. (и когда локальные диски стали съёмными):
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit д.б. только C:\WINDOWS\system32\userinit.exe, (с запятой в конце)
в Shell д.б. только explorer.exe
в UIHost д.б. только logonui.exe
Все лишнее удалить (в Autoruns процессы в Winlogon: usrinit.exe и userinit.exe. Usrinit.exe удалить, и сам файл из папки windows/system32/usrinit.exe)
Проверить реестр на наличие библиотеки AppInit_DLL HKEY_CURRENT_USER\Software\MICROSOFT\WINDOWS NT\CurentVersion\Windows
HKEY_LOCAL_MACHINE\Software\MICROSOFT\WINDOWSNT\CurentVersion\Windows
Очистить значение строкового параметра AppInit_DLL (но не сам параметр).В реестре ищем *.lib, - удаляем их до появления надписи "Записей не обнаружено".
Проверить путь, д.б.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
из реестра (инфа об автозагрузке) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Проверить надстройки/дополнения/плагины браузеров:
IE (lib.dll, Особенно если Издатель не проверен)
Для ИЕ версии 6 и выше: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Надстройки -> Надстройки, используемые в Internet Explorer. Отключите все, хотя бы временно.
-IE
Свойства обозревателя->Подключения->Настройка и Настройка сети: возможно присутствие "левых" прокси-серверов! Удалите.
AVZ:
Hosts – удалить всё кроме 127.0.0.1 localhost
(Windows XP -> C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K -> C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98 \ ME -> C:\WINDOWS )
Дать имя AVZ как iexplore.exe
Файл-Восстановление системы-(кроме: Полное пересоздание настроек SPI (опасно) и Очистить ключи Mount Points & Mount Points2)
Мастер поиска и устранения проблем
Очистка cash браузеров
Восстановление системы
Пуск -> Выполнить -> msconfig.
На вкладке Общие нажать Запустить восстановление системы.
Или C:\WINDOWS\system32\Restore\rstrui.exe
Разблокировка диспетчера задач:
Пуск -> Выполнить -> gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить «Не задана». (В свойствах — переключатель «включён» - поставить «отключён» или «не задан»)
Или
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра:
Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в «не задана».
заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru
host на наличие изменений!
Пуск - Выполнить - %SystemRoot%\system32\drivers\etc\hosts или для x64 - %SystemRoot%\SysWOW64\drivers\etc\hosts
или вставить команду прямо в адресную строку проводника и открыть файл блокнотом, (все лишнее - удалить!на Висте и Семёрке в папке /etc не прописывается текстовой файл hosts (hosts.txt)):
или - C:\Windows\System32\drivers\etc\, файл hosts и ещё какой то текстовой hosts.txt (удалить)
Восстановление параметров файла hosts по умолчанию
проверьте ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath
д.б. значение %SystemRoot%\System32\drivers\etc
В hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки удалить. Установить атрибут «только для чтения»
Если на HDD есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалить.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт.
Если в host чисто, но на сайты НЕ заходит - проверить статические маршруты: Удалить все статические маршруты - команда в консоли route -f Может потребоваться перезагрузка!
ДЛЯ Win XP:
Код
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
ДЛЯ VISTA+Win 7:
Код
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
FIREFOX - Инструменты-Настройки-Дополнительно-Сеть-Настроить- «Без прокси»-ОК
-Запоминаем ip адрес (НТТР прокси) (77.78.240.167)
-Удаляем в окошечке запись с этим ip , так же удаляем запись в нижнем окошке –Не использовать прокси для - в этом окне пишем - localhost, 127.0.0.1
ПОЧИСТИТЬ РЕЕСТР
1)- Пуск-Выполнить – regedit-ОК-Правка-Найти
-в поиске вбиваем ip адрес этого прокси и удаляем все ключи с этим айпишником
2) Пуск-Выполнить- regedit-ОК или
- Мой компьютер-Локальный диск С- Windows- regedit.exe
3)на Виста и Win 7
Пуск- Все программы-Стандартные-Выполнить – regedit-ОК- Правка-Найти- ip адрес этого прокси ( -77.78.240.167) - удаляем все ключи с этим ip.
Правой кнопкой мыши выделяем сначала ключ ProxyServer, появляется окошечко,жмём-Изменить и стираем значение ключа, жмём ОК, то же самое проделываем с ключом ProxyOverride
Далее ищем следующую ветку реестра: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
В правой части ключи ProxyServer и ProxyOverride д.б.пустыми!-удалить значения ключей ProxyServer и ProxyOverride.
В планировщике заданий удалить неизвестные и/или подозрительные задания!
Для 7, например, -> Панель управления \ Все элементы панели управления \ Администрирование \ Планировщик заданий
или %windir%\system32\taskschd.msc - из адресной строки проводника.
Для WinXP -> Панель управления \ Назначенные задания
или %windir%\tasks - из адресной строки проводника.
Реестр Windows + Автозагрузка
1)Пуск -> Выполнить -> mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
2)Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
пропал доступ в интернет:
AVZ - Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Так же: Сервис — Менеджер Winsocks SPI -поиск ошибок- автоматическое исправление
Или: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Сброс параметров...
Или: Пуск - Выполнить - вводим команды: netsh int ip reset c:\iplog.txt
В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды.
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет. Установленные в винде переменные можно посмотреть в Пуск – Выполнить – ввести cmd – set.
[/more] критикуйте, добавляйте по возможности
BANNER
Восстановление реестра -Registry Reanimator
Восстановление реестра -Registry Reanimator
Баннер в фон:
BIOS перевод даты/времени (полгода вперёд/назад)
Win+U (экранная лупа)-Справка-Параметры-Параметры интернета-Упр-е св-ми обозревателя-Управление куками-Просмотреть файлы-Окно проводника!!!
вызов ДЗ (Ctrl+Alt+Del) в св-вах — поверх всех окон
Word – любой текст — Пуск — завершение работы — отмена
Загрузка с зажатой клавишей Shift
Создать ограниченного пользователя (зайти под ним и работать под администратором)
Безопасный режим: F5/F8 или запустить xp(vista,7)-safeboot.reg
очистить
со всех дисков в корневом каталоге — md.exe, blocker.exe, blocker.bin
(так же в C:\Documents and Settings\All Users\Application Data)
C:\WINDOWS\Temp
C:\Documents and Settings\user\Local Settings\Temp
(Пуск - Настройка - Панель управления - Система - Вкладка "Дополнительно" - кнопка "Переменные и среды". В верхнем окне для пользователя, в нижнем общие. Переменные TEMP и TMP.)
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя
Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
Проверять в первую очередь. (и когда локальные диски стали съёмными):
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit д.б. только C:\WINDOWS\system32\userinit.exe, (с запятой в конце)
в Shell д.б. только explorer.exe
в UIHost д.б. только logonui.exe
Все лишнее удалить (в Autoruns процессы в Winlogon: usrinit.exe и userinit.exe. Usrinit.exe удалить, и сам файл из папки windows/system32/usrinit.exe)
Проверить реестр на наличие библиотеки AppInit_DLL HKEY_CURRENT_USER\Software\MICROSOFT\WINDOWS NT\CurentVersion\Windows
HKEY_LOCAL_MACHINE\Software\MICROSOFT\WINDOWSNT\CurentVersion\Windows
Очистить значение строкового параметра AppInit_DLL (но не сам параметр).В реестре ищем *.lib, - удаляем их до появления надписи "Записей не обнаружено".
Проверить путь, д.б.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
из реестра (инфа об автозагрузке) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Проверить надстройки/дополнения/плагины браузеров:
IE (lib.dll, Особенно если Издатель не проверен)
Для ИЕ версии 6 и выше: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Надстройки -> Надстройки, используемые в Internet Explorer. Отключите все, хотя бы временно.
-IE
Свойства обозревателя->Подключения->Настройка и Настройка сети: возможно присутствие "левых" прокси-серверов! Удалите.
AVZ:
Hosts – удалить всё кроме 127.0.0.1 localhost
(Windows XP -> C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K -> C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98 \ ME -> C:\WINDOWS )
Дать имя AVZ как iexplore.exe
Файл-Восстановление системы-(кроме: Полное пересоздание настроек SPI (опасно) и Очистить ключи Mount Points & Mount Points2)
Мастер поиска и устранения проблем
Очистка cash браузеров
Восстановление системы
Пуск -> Выполнить -> msconfig.
На вкладке Общие нажать Запустить восстановление системы.
Или C:\WINDOWS\system32\Restore\rstrui.exe
Разблокировка диспетчера задач:
Пуск -> Выполнить -> gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить «Не задана». (В свойствах — переключатель «включён» - поставить «отключён» или «не задан»)
Или
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра:
Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в «не задана».
заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru
host на наличие изменений!
Пуск - Выполнить - %SystemRoot%\system32\drivers\etc\hosts или для x64 - %SystemRoot%\SysWOW64\drivers\etc\hosts
или вставить команду прямо в адресную строку проводника и открыть файл блокнотом, (все лишнее - удалить!на Висте и Семёрке в папке /etc не прописывается текстовой файл hosts (hosts.txt)):
или - C:\Windows\System32\drivers\etc\, файл hosts и ещё какой то текстовой hosts.txt (удалить)
Восстановление параметров файла hosts по умолчанию
проверьте ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath
д.б. значение %SystemRoot%\System32\drivers\etc
В hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки удалить. Установить атрибут «только для чтения»
Если на HDD есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалить.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт.
Если в host чисто, но на сайты НЕ заходит - проверить статические маршруты: Удалить все статические маршруты - команда в консоли route -f Может потребоваться перезагрузка!
ДЛЯ Win XP:
Код
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
ДЛЯ VISTA+Win 7:
Код
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
FIREFOX - Инструменты-Настройки-Дополнительно-Сеть-Настроить- «Без прокси»-ОК
-Запоминаем ip адрес (НТТР прокси) (77.78.240.167)
-Удаляем в окошечке запись с этим ip , так же удаляем запись в нижнем окошке –Не использовать прокси для - в этом окне пишем - localhost, 127.0.0.1
ПОЧИСТИТЬ РЕЕСТР
1)- Пуск-Выполнить – regedit-ОК-Правка-Найти
-в поиске вбиваем ip адрес этого прокси и удаляем все ключи с этим айпишником
2) Пуск-Выполнить- regedit-ОК или
- Мой компьютер-Локальный диск С- Windows- regedit.exe
3)на Виста и Win 7
Пуск- Все программы-Стандартные-Выполнить – regedit-ОК- Правка-Найти- ip адрес этого прокси ( -77.78.240.167) - удаляем все ключи с этим ip.
Правой кнопкой мыши выделяем сначала ключ ProxyServer, появляется окошечко,жмём-Изменить и стираем значение ключа, жмём ОК, то же самое проделываем с ключом ProxyOverride
Далее ищем следующую ветку реестра: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
В правой части ключи ProxyServer и ProxyOverride д.б.пустыми!-удалить значения ключей ProxyServer и ProxyOverride.
В планировщике заданий удалить неизвестные и/или подозрительные задания!
Для 7, например, -> Панель управления \ Все элементы панели управления \ Администрирование \ Планировщик заданий
или %windir%\system32\taskschd.msc - из адресной строки проводника.
Для WinXP -> Панель управления \ Назначенные задания
или %windir%\tasks - из адресной строки проводника.
Реестр Windows + Автозагрузка
1)Пуск -> Выполнить -> mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
2)Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
пропал доступ в интернет:
AVZ - Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Так же: Сервис — Менеджер Winsocks SPI -поиск ошибок- автоматическое исправление
Или: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Сброс параметров...
Или: Пуск - Выполнить - вводим команды: netsh int ip reset c:\iplog.txt
В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды.
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет. Установленные в винде переменные можно посмотреть в Пуск – Выполнить – ввести cmd – set.
[/more] критикуйте, добавляйте по возможности
Знакомая словила такой баннер, но он сам потом куда-то исчез...
http://b-kill.ru/page/100-sposob-udalenija-porno-bannera-s-rabochego-stola#cut
Любопытный способ! Не знал о таком
Любопытный способ! Не знал о таком
Цитата:
Наспех заделал шпору критикуйте, добавляйте по возможности
Дополню:
Попадался зловред которые писал маршруты на 0.0.0.0
проверить роуты: route print
NaxAlex
DiZka
DiZka
Цитата:
Outpost Firewall Pro---защитит ли от баннеров вымогателей?
Защитит, 7-я версия предупреждает о намерениях зверька изменить реестр.
Ещё одна самодельная программа для борьбы с винлокерами от Flint: Ссылка
Цитата:
Цитата:
Написал недавно маленькую тулзу, смысл в следующем:
Если есть доступ к дискам зараженной системы можно закинуть ее в папку Автозагрузка, после перезапуска тулза через 10 сек ищет активное окно с которым работает пользователь (это будет окно блокировщика), получает ID потока которому принадлежит окно, по ID потока получает ID процесса, далее по ID процесса получает имя процесса и записывает его в файл C:\Deblocker_Log.txt. Далее завершает процесс и поток блокировщика (в этот момент должен будет прозвучать сигнал бипером ~ 4 c). Далее создает новый рабочий стол и запускает в нем процесс Explorer.exe. Если все эти телодвижения сработают можно будет продолжить лечить зараженную систему, имя засранца должно будет известно в C:\Deblocker_Log.txt
Добрый день!
Товарищ подхватил блокировщик windows, в окне предлагается оплатить на счет 9258930379 в платежном терминале QIWI, пробежался по ссылкам деактиваторов - нет похожих примеров. Поскажите как лечить?
Товарищ подхватил блокировщик windows, в окне предлагается оплатить на счет 9258930379 в платежном терминале QIWI, пробежался по ссылкам деактиваторов - нет похожих примеров. Поскажите как лечить?
vai73
http://www.drweb.com/unlocker/index/
+79258930379
попробуйте варианты предлагаемые... даже если и нет вашего номера, то может быть ответ.
Если всё таки номера нет... то читаем тему.
http://www.drweb.com/unlocker/index/
+79258930379
попробуйте варианты предлагаемые... даже если и нет вашего номера, то может быть ответ.
Если всё таки номера нет... то читаем тему.
Цитата:
Поскажите как лечить?
1. Чистить руками по дате.
2.
Цитата:
читаем тему.и пробуем чистить.
3. Идем на
Цитата:
Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.и выполняем всё что нужно.
4. Ищем того кто может это сделать и платим ему за работу.
NaxAlex
спасибо за +79258930379, код сработал
спасибо за +79258930379, код сработал
кто бы поделился Internet Security и eKAV Antivirus обнаружил ..........
Winlock.938
Можно в ЛС образцы
Winlock.938
Можно в ЛС образцы
ynbIpb
Цитата:
интересная идея. учитывая скорость изменения кода вирусняка и возможность выловить и отправить каку на исследование.
Цитата:
имя засранца должно будет известно в C:\Deblocker_Log.txt
интересная идея. учитывая скорость изменения кода вирусняка и возможность выловить и отправить каку на исследование.
Сегодня ходил на вызов. Обнаружил новую разновидность:
Всё очень примитивно: Юзер скачивает xxx_video.exe, запускает и моментально он появляется, запускает гейский сайт, прописывается в ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Что необычно он не блокирует всю систему, но ограничивает движение мыши в пределах только своего окна.
Лечение: Win+D его сворачивает, потом горячими клавишами добрался до TotalCommander, там с флешки стартанул ProcKill и убил.
Всё очень примитивно: Юзер скачивает xxx_video.exe, запускает и моментально он появляется, запускает гейский сайт, прописывается в ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Что необычно он не блокирует всю систему, но ограничивает движение мыши в пределах только своего окна.
Лечение: Win+D его сворачивает, потом горячими клавишами добрался до TotalCommander, там с флешки стартанул ProcKill и убил.
вчера клиент позвонил и сказал, что словил новый вид "баннера"
только теперь он просит отослать не СМС, а заплатить через терминал на такой-то счет, где искать инфу о разблокировке, старые "ресурсы", на данный момент, подобной инфой не обладают?
Добавлено:
на всякий случай номер счета: 004245166949
только теперь он просит отослать не СМС, а заплатить через терминал на такой-то счет, где искать инфу о разблокировке, старые "ресурсы", на данный момент, подобной инфой не обладают?
Добавлено:
на всякий случай номер счета: 004245166949
Jans
не новый уже Разные терминалы и кошельки мне уже несколько месяцев попадаются... готовых кодов нет, поэтому руками через Live CD
не новый уже
Разные терминалы и кошельки мне уже несколько месяцев попадаются... готовых кодов нет, поэтому руками через Live CDynbIpb
Цитата:
Стоило исходнику попасть в паблик как пошли клоны с единственными изменениями: номер для пополнения и текст мессаги. Изменить что то в самом коде никто и не пытается/ума не хватает
Что странно - работает клава. Операционка W7?
Добавлено:
Jans
пробуйте вводить любой набор цифр (от 8 до 16 цифирок).
Цитата:
Всё очень примитивно:
Стоило исходнику попасть в паблик как пошли клоны с единственными изменениями: номер для пополнения и текст мессаги. Изменить что то в самом коде никто и не пытается/ума не хватает
Что странно - работает клава. Операционка W7?
Добавлено:
Jans
пробуйте вводить любой набор цифр (от 8 до 16 цифирок).
Цитата:
Что странно - работает клава. Операционка W7?
Нет XP, видимо он тупо забыл про этут комбинацию))
ynbIpb
Цитата:
Кнопки ввода от 0 до 9 нужны для ввода ответа (виртуальная клава), так как клава должна блокироваться по полной и
это есть изначально. Оставил лазейку для себя или даже скомпилить нормально не могут Хотя, судя по тексту мессаги скорее всего чето закоментил лишнего, ибо с такой фантазией что то накодить нереально.
Цитата:
Нет XP, видимо он тупо забыл про этут комбинацию
Кнопки ввода от 0 до 9 нужны для ввода ответа (виртуальная клава), так как клава должна блокироваться по полной и
это есть изначально. Оставил лазейку для себя или даже скомпилить нормально не могут
Хотя, судя по тексту мессаги скорее всего чето закоментил лишнего, ибо с такой фантазией что то накодить нереально. Заметили как они делают акцент на гомосексуалистов? Видимо надежда на то, что человеку станет стыдно и он побоится вызвать специалиста.
Один из моих клиентов очнулся уже на пути к платёжному терминалу: Как они узнают что это я оплатил? Подобрал какойто чек и давай вбивать все цифры которые есть на чеке. Потом позвал меня.
Цитата:
Кстати тут и кодить то нечего. Я на Autoit написал себе нечто подобное чисто посмотреть на сколько это сложно и для опытов.
Один из моих клиентов очнулся уже на пути к платёжному терминалу: Как они узнают что это я оплатил? Подобрал какойто чек и давай вбивать все цифры которые есть на чеке. Потом позвал меня.
Цитата:
Стоило исходнику попасть в паблик
Кстати тут и кодить то нечего. Я на Autoit написал себе нечто подобное чисто посмотреть на сколько это сложно и для опытов.
Здравствуйте господа!
Возникла проблема у друга, постоянно сидел в контакте и словил какой то вирус, который напрочь заблокировал интернет! Когда пытаешься запустить браузер то на странице браузера выпадает окошечко касперского что типа ваш компьютер заблокирован из-за того что от вас исходило много спама, и ссылка на сайт вконтакте, самое интересное что сайт вконтакте и его главная страница натуральные, далее когда пытаешся войти под своим логином вылезает нечто следующее:
+++++++++++++++++++
Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Подробнее...
К сожалению, большое количество участников ВКонтакте привлекает спамеров – людей, которые массово отсылают пользователям рекламные, обычно мошеннические, сообщения. Теперь все компьютеры пользователей, с которых происходила рассылка спам-сообщений, будут требовать активации в целях предотвращения спам-рассылок и для обеспечения дальнейшей безопасности всей системы. После активации Вам предоставляется полноценный доступ к сервису, а также вводится защита от автоматической рассылки. Мы будем продолжать настраивать антиспам-фильтры, но уже сейчас количество спама должно резко сократиться!
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте смс c текстом 649052973 на номер 3353
В ответном сообщение Вы получите Ваш личный код активации.
+++++++++++++++++++
Попробовал через сайт касперсого, доктора веба подобрать код разблокировки - не подходят
Пытался проверить компьютер на вирусы, использовал cure it, avz в безопасном и livecd ничего не находит, однако cure it Говорит что файл Hosts модифицирован и он его восстановит, он его восстанавливает и все равно ничего не работает.
Прошу помощи господа!
Заранее спасибо большое!
Возникла проблема у друга, постоянно сидел в контакте и словил какой то вирус, который напрочь заблокировал интернет! Когда пытаешься запустить браузер то на странице браузера выпадает окошечко касперского что типа ваш компьютер заблокирован из-за того что от вас исходило много спама, и ссылка на сайт вконтакте, самое интересное что сайт вконтакте и его главная страница натуральные, далее когда пытаешся войти под своим логином вылезает нечто следующее:
+++++++++++++++++++
Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Подробнее...
К сожалению, большое количество участников ВКонтакте привлекает спамеров – людей, которые массово отсылают пользователям рекламные, обычно мошеннические, сообщения. Теперь все компьютеры пользователей, с которых происходила рассылка спам-сообщений, будут требовать активации в целях предотвращения спам-рассылок и для обеспечения дальнейшей безопасности всей системы. После активации Вам предоставляется полноценный доступ к сервису, а также вводится защита от автоматической рассылки. Мы будем продолжать настраивать антиспам-фильтры, но уже сейчас количество спама должно резко сократиться!
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте смс c текстом 649052973 на номер 3353
В ответном сообщение Вы получите Ваш личный код активации.
+++++++++++++++++++
Попробовал через сайт касперсого, доктора веба подобрать код разблокировки - не подходят
Пытался проверить компьютер на вирусы, использовал cure it, avz в безопасном и livecd ничего не находит, однако cure it Говорит что файл Hosts модифицирован и он его восстановит, он его восстанавливает и все равно ничего не работает.
Прошу помощи господа!
Заранее спасибо большое!
NordBoB, нужно собирать логи с компа и в эту тему: Помощь при лечении компьютера от вирусов
Благодарю!
NordBoB
Цитата:
Зашел в эту ветку опять потому как только что вернулся от компа с этой же заразой. )
Добавлю что файл хост изменен таким вот предложением- " не жмитесь, смс стоит 150 рублей а вызов программиста(!) обойдется в 500 рублей" и смайлик. Приколисты пля.
На машине стоял аваст 5 фри. Доступ к диспетчеру и реестр не заблокирован. Выход в интернет с любого браузера кидает на вконтакте. Но! Портабельная мозилла ходит по закладках а в вкотакты викидывает если забить что нить в поиск. Вымогатель позволил удалить Аваст и поставить КИС 9, но ключ не дал скачать пробный-ошибка системы..Обновил базы с флешки- каспер не нашел ничего. AVZ тоже не смог обновиться. Такая вот инфа.
ПС. Кроме поиска выкидывало в вконтакте если заходить по закладкам на ру-борд Видать знают эту контору По остальным вроде свободно.
Цитата:
Пытался проверить компьютер на вирусы, использовал cure it, avz в безопасном и livecd ничего не находит, однако cure it Говорит что файл Hosts модифицирован и он его восстановит, он его восстанавливает и все равно ничего не работает.
Зашел в эту ветку опять потому как только что вернулся от компа с этой же заразой. )
Добавлю что файл хост изменен таким вот предложением- " не жмитесь, смс стоит 150 рублей а вызов программиста(!) обойдется в 500 рублей" и смайлик. Приколисты пля.
На машине стоял аваст 5 фри. Доступ к диспетчеру и реестр не заблокирован. Выход в интернет с любого браузера кидает на вконтакте. Но! Портабельная мозилла ходит по закладках а в вкотакты викидывает если забить что нить в поиск. Вымогатель позволил удалить Аваст и поставить КИС 9, но ключ не дал скачать пробный-ошибка системы..Обновил базы с флешки- каспер не нашел ничего. AVZ тоже не смог обновиться. Такая вот инфа.
ПС. Кроме поиска выкидывало в вконтакте если заходить по закладкам на ру-борд
Видать знают эту контору По остальным вроде свободно.вроде как краем глаза гдето видел инфу, что зловреды научились менять расположение настоящего файла hosts в системе, а на старом месте остаётся типа чистый.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.