» Windows заблокирован!

PuPSuK
tshudini
и другие.
Что для обсуждения сборок на форуме тем нет чтоли. И по этой ошибке 7b куча понаписана. При чем здесь виндовс заблокирован?
PuPSuK тебе проще будет не вникая попробовать другую сборку которую тебе рекомендовали

Цитата:

ну ещё рисунок раб.стола

Как раз это никакой не СМС-развод и не вирус, а вполне легальная работа мелкософтовского средства проверки подлинности Windows (WGAN). Не надо было качать с апдейта все подряд, если ключ не валидный.

tshudini Сейчас Akam1 придет и скажет, что драйвера можно интегрировать и ЭнЛайтом и обязательно в ХР SP2, а то работать не будет. Еще и ссылку на драйвера даст - он у нас в этом спец. И сборка вроде как не нужна становится. Как это все будет работать после ЭнЛайта, такие как он почему-то всегда умалчивают.

Это уже в мозжечке, и спорить, выдвигать контраргументы и что-то доказывать бесполезно.

slay1212 Вы совершенно правы, сборка тут не при чем. Исключая, разве что то, что она не ставится - но это уже совсем другая история.

Господа! проблема! блок-вымагалка.получил сегодня ,после закачки обновления FlashPlayer 10! Вымогалка гласит так:
Доступ в сеть заблокирован! ПО Digital Access
Вам был предоставлен пробный...бесплатный ... на 1 час для просмо эротического
Пробный доступк просмотру эротического видео сроком на 1 час истек!
для активации ПО Digital Access, автоматического разблкирования сети и скрытия данного уведомления, необходимо отправить с моб.тел. смс-сообщение с текстом 131286353 на номер 1350

Все попытки что-либо делать блокирует.чере2часа ,после перезагрузки картинка исезла!
проверка CureIt : - ничего ненайдено., однако изменён HOSTS .
HOSTS выправили,но гнида где то сидит!
Кто сталкивался? Кто знает? Помогите!

WinXP SP2/ Opera 9.64

Для начала вводим код "6523".
Затем идем на сайт Dr.Web и качаем бесплатную утилиту Dr.Web CureIt! Делаем полную проверку вашего компьютера, перезагружаемся.
И после этого не ходим по порносайтам и не качаем подозрительные, неизвестные Вам программы.
Удачи!!!

Там же на сайте Dr.Web есть генератор,где вводим текст смс и получаем цифры разблокировки-после чего сканируем антивирусом

Цитата:

ПО Digital Access

http://www.google.com/search?hl=ru&safe=off&client=opera&rls=en&hs=YgJ&q=Digital+Access+virusinfo&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=&aq=f&oq=

frbr, закомая штука. многим юзерам уже вылечил.
в папке: C:\Documents and Settings\user\Cookies лежит ДЛЛка: userlib.dll, в папке TEMP лежит некий *.tmp файл, этот tmp файл запущен в виде процесса в двух экземплярах, которые друг дружку страхуют. диспетчер задач отключён через реестр.
вобщем я делал так: через альтернативный диспетчер процессов убиваю эти оба процесса одновременно (убить дерево, иначе не убить). потом убиваю ДЛЛку, если залочена разблокировать Unlocker' ом и файлы в TEMP чищу.
В новых версиях блочится интернет. лечится AVZ: Сервис\ Менеджер Winsocks SPI и убить там все ссылки на эту ДЛЛку

ynbIpb
именно новая версия, интернет заблочен! сразу проверил Cookis и TEMP! ничего подозрительного.навсякий удалил всё. проверил CureIt'ом : - ничего ненайдено., однако изменён HOSTS . HOSTS выправили,инет пощел. дальще Malwarebyt нащел 2руткита - удалил. -это вчера.
сегодня интернет блок!!!

Цитата:

сегодня интернет блок!!!

как проявляется?
коннект как положено есть, но ниодно приложение не выходит в инет?
Я написал как лечится. качай AVZ.

ещё раз проверил CureIt'ом : - ничего ненайдено., однако изменён HOSTS . вернуть HOSTS в первочал.состояние ? жму ОК - интернет появился!
проверяю AVZ по твоему рецепту , в AVZ: Сервис\ Менеджер Winsocks SPI только вот
это: C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\System32\mswsock.dll
но это родные .помоёму разумению,
да и воще всё стало хорошо!
только не сидмт -ли эта гадина глубоко в кишках...

Судя по всему засраная у тебя система. и блочит не смсвымогатель.
Не поленись, переустанови и используй на будующее бэкап системного раздела, например его можно создать программой Acronis True Image
Удачи.

ynbIpb
Спасибо тебе!
система свою люблю и холю,бэкапы есть, а смсвымогатель видимо я вручную вычистил,коли ни web ни kav его не вынюхали.
Спасибо ещё раз!

Здравствуйте. Опять же, проблемка. Вчера ночером обнаружил очередной вирус вымогатель "iMAX Download Manager". Сейчас пытался его лечить. С успехом почистил папочки temp и файл System32\userinit.exe
Теперь у меня дальше заставки рабочего стола дело не идет. Ни через обычный режим, ни через безопасный, ни через режим последней успешной загрузки.
В последний раз когда загрузить удалось вылезла новая ошибка. Точно не вспомню, но суть такая: через ..секунд компьютер выключится из-за ошибки. Сохраните свои документы. И идет обратный отсчёт времени от 59 секунд.
Вопросы:
1. Как запустить машину? Как добиться того чтобы загрузить рабочий стол?
2. Как избавиться от этой "минутной ошибки"?
3. Как снести эту вирусягу?

1. Вернуть userinit.exe, это системный файл.
3. Проверить через CureIt и AVZ

ema85, нужно загрузиться с загрузочного диска, который позволяет работать с файлами и положить в папку System32 заведомо чистый (оригинальный) файл.
Например в моей Windows XP Pro SP3:
userinit.exe версия 5.1.2600.5512, размер 26,0 КБ (26 624 байт)
MD5: 4F88778DD0CD6B99FCDA408E16B36AE7

з.ы.
А также можно посмотреть его наличие в папке: C:\WINDOWS\system32\dllcache (там хранятся резервные копии важных файлов). Если вирус его не покоцал, то можно ручками скопировать в system32

Блин, а если нет загрузочного диска? Другие способы войти в систему и положить файл есть?

1. Попробовать войти в безопасном режиме F8 (может запустится)
2. Скачать образ загрузочного диска и закатать на болванку на другом компьютере.
3. Снять Жёсткий диск, подоткнуть его к другому компьютеру и там провести все манипуляции (заодно просканировать антивирусами).

ema85
Загружаться придется с лайф сд полюбому, включать отображение скрытых системных файлов и убирать длл из Док сет, систем 32 - они все одного размера ~ 133 600 kb, по другому никак, да в реестре Winlogon подменен на sdra64.exe лежит в system32 - тоже убить и скрытая папка lowsec - там lokal.ds, user.ds - ее тоже убить

Воспользуйтесь Еrd comander-ом ,посмотрите загрузившись с диска в "управлении" что прописалось в автозагрузку ,там все жутко наглядно,и редактором реестра все убрать в реестре и сами файлы тоже.Это позволяет съэкономить время в случае порнобаннера обычно достаточно.Часто дописывается какая нибудь кака в ключе userinita.С sdra64.exe так и было,но дело в том,что этого мало,пришлось перебивать систему в обоих случаях порнобаннера. др web не помог,avz разблокировал реестр и диспетчер процессов,но ненадолго,а потом перестал запускатся.Смотрел в sistem 32 измененые в последний день файлы,был что то типа драйвера ati,не стал трогать,потом оказалось что это вирусня из той же оперы.

Сегодня по своей глупости заразил компьютер такой хренью - выскочило окно с требованием отправить СМС на номер для разблокировки.
Помимо окна:
- невозможно запустить диспетчер задач
- полностью блокирован доступ в Интернет

С помощью плагина (Task manager) к TotalCommander выяснил, что появились два левых процесса: Kui103. Запущены они были из папки TEMP двумя файлами Kui103, один с расширением *.tmp, у второго расширение не запомнил.

Что делал:

Для удаления окна:

1. Запустил систему с диска LiveCD (можно со второй системы, если стоит) и очистил папку TEMP (для большей уверенности можно также удалить все файлы с расширением *.tmp из папки C:\Document and Settings).

Для разблокировки запуска Диспетчера задач:

1. Запускаем редактор реестра
2. Забиваем в поиск - DisableTaskMgr
3. Ищем все строки и изменяем, где необходимо, значение параметра с 1 на 0

Для разблокировки Интернета:

1. Удалил в папке C:\Document and Settings\%USER%\Cookies файл userlib.dbb (расширение было именно *.dbb, а не *.dll).
2. Перезагрузился (Интернет еще не работает).
3. Запустил AVZ.
4. В запущенном AVZ идем: СЕРВИС - Менеджер Winsock SPI
5. В открывшемся окне идем на закладку Поиск ошибок (у меня была куча ошибок с ссылкой на отсутствующую userlib.dll)
6. Внизу слева жмем Автоматическое исправление найденных ошибок
7. Перезагружаемся и радуемся рабочей системе.

Далее запускаем любимый антивирус с последними базами и тщательно сканируем.
Удачи!!

У моего знакомого был почти такой же случай сегодня. Позвонил ко мне и говорит что лазил по интернету и закинуло его на какойто порносайт.Налазив вдоволь он грузанул комп.После приветствия windows, на весь экран вылезло сообщение в котором сообщалось Оплатите заказанное порно видео. Ни деспетчер, ни реестр ни что не реагировало, а также в safe mode также нелязя было зайти.
Погуглив немного наткнулся на решение:
также как и MorzeCBPзашел через Live CD в реестр. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в значении Shell был путь что то около того
C:\Documents and Settings\User\Application Data\Opera\Opera\....... Где то там был файл xxx_video.avi.exe
Поменяв на стардантное explorer.exe и удалив xxx_video.avi.exe, система загрузилась на ура.

sysinternals.com а там Autoruns
А вот уже из этой проги можно удобно снести к чертям всё лишнее из userinit и shell и других (ВСЕХ) мест где поднакакал вирус или ещё кто Это правда можно запусить только на больной машине если удалось добраться до эксплорера или тотала
ema85
Это окошко с секундами можно отключить из консольки или тотала или из "выполнить" набрав команду shutdown -a

Цитата:

А вот уже из этой проги можно удобно снести к чертям всё лишнее из userinit и shell

Цитата:

После приветствия windows, на весь экран вылезло сообщение

а если не получаеться войти в систему?

udaffchik
Если на весь экран (мне пападался с синим экраном) то тут уже только лайфсиди или веник на другой копм воткнуть.
Благо писатель этой дряни в моём случае не сильно старался прятать вирь и он был в корне диска( я подозреваю что он прописался в реестре с того места где его скачали и запустили)

kpuk

Цитата:

то тут уже только лайфсиди

Цитата:

У моего знакомого был почти такой же случай сегодня....система загрузилась на ура!!!

Я так и сделал

2 udaffchik:

а как ты добрался в реестр виндовса, чтоб изменить ветку? я через лив СД попадаю на реестр этого же Эмулятора, пробывал через Рам СД, но к сожелению низнаю как добраться до Реестра винды (чтоб проверить и изменить) а не Эмуляторов.

Подскажите Пожалуста, поконкретнее как вы это делаете ( а то
((( зашел через Live CD в реестр. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в значении Shell был путь что то около того
C:\Documents and Settings\User\Application Data\Opera\Opera\....... Где то там был файл xxx_video.avi.exe
Поменяв на стардантное explorer.exe и удалив xxx_video.avi.exe" )))

как бы понятно что нужно сделать , а вот как (поконкретнее) сделать, не очень

kutar
у меня в лайв сиди есть программа registry reanimator. Вот через неё я правил реестр.

Эх вызвали сегодня на винлокер, смс вымогатель.
Вобщем такие симптомы: Посреди экрана окно с текстом типа: Вы нарушили лицензию Download mastera. тикает таймер 3 часа. Диспетчер задач заблокирован. при запуске какого либо EXE, запускается новое окно вымогателя (видимо перебиты ассоциации файлов). Самое интересное: палит заголовки окон, если в нём есть: AVZ, Total commander, process explorer, антивирус и тд. сразу выключает комп. Заметил особенность если EXE переименовать в explorer.exe, он разрешает ему запуститься. таким образом я пытался врубить зайцева, но он тутже палил по заголовку и вырубал его. И так я придумал как прочитать список процессов: с собой на флешке был скриптовый язык AutoIt, установил, набросал простенький скрипт по отображению процессов. спалил подозрительные: rundll.exe, убил окно пропало, но запустить AVZ по прежнему не даёт и сразу тушит комп.
Пришёл к выводу что комп кишит зверьём и это ещё какойто другой зверёг.
Под рукой не было свежего куреита и нормального лайвсиди.

Час бился с ним, так и не изловил. откатил бэкап акрониса.
Такого умного ещё не встречал. Чувствую будет эпидемия. (тут такойже у чувака попался)
з.ы.
посоветуйте какой лайвсиди получше для таких целей чтоб лечить инфецированные машины, чтоб в офлайнреестре копашиться и прочее.

kutar
Можно использовать WinPE с возможностью доступа к удаленному реестру. Поищи [more=здесь]http://forum.ru-board.com/topic.cgi?forum=35&topic=41713&glp[/more] или [more=здесь]http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=16436&start=2100#lt[/more].

ynbIpb
Любой с ERD COmmander'om
Мне к слову сказать тоже такой же сёдня попался.
Я комп с ним домой взял для исследования. если получится избавится напишу как прибить.