Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: gjf
Дата сообщения: 14.03.2010 21:55
LogachevAnd
Это значит, что диск, который Вы вставили, повреждён или не является загрузочным.
Автор: JulianaC
Дата сообщения: 16.03.2010 22:43
Словила сегодня порно-вирус.
Испугалась, комп заблокирован. Отправила смс. Убрала окно.
Пытаюсь сейчас разобраться.

Я в тотал командер открыла и посмотрела. У меня
"Shell" = "Explorer.exe runddll32.exe rqfp.kmo vkkrh"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"

Риестр я подчистила. Теперь в нем все нормально.
Файл runddll32.exe я на компе не нашла.
На что еще стоит обратить внимание?

Автор: ynbIpb
Дата сообщения: 16.03.2010 23:49

Цитата:
Отправила смс

Вы В своём уме?
Просто нет слов...
з.ы.
"Shell" = всё что после Explorer.exe надо стереть.
рундлл это не тело вируса, а средство его запуска.
нужно искать по названиям типа rqfp.kmo vkkrh, но вероятно оно самоуничтожилось.
Советую срочно звонить оператору и требовать возврата средств, списанных со счёта, так как это мошенничество и они обязаны отозвать платёж.
Автор: JulianaC
Дата сообщения: 17.03.2010 00:38

Цитата:
Советую срочно звонить оператору и требовать возврата средств, списанных со счёта, так как это мошенничество и они обязаны отозвать платёж.


И как это сделать?
Просто я так испугалась, что чуть в обморок не свалилась...
Автор: Scaramanga
Дата сообщения: 17.03.2010 01:03
JulianaC
Звоните оператору объясняете ситуацию как есть подробно. ... Они скажут что и как делать
Автор: nevermindiwwe
Дата сообщения: 17.03.2010 01:38
[q][/q]
к своему посту от 22:19 09-03-2010
Только сейчас из саппорта DrWeba пришла радостная весть что троян определяется как Угроза: Trojan.Winlock.1173
просто нету слов...
Автор: hohkn
Дата сообщения: 17.03.2010 08:22
JulianaC

Цитата:
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"

Может все же "C:\WINDOWS\system32\userinit.exe,"? Если не так, то нужно поправить.
Автор: JulianaC
Дата сообщения: 17.03.2010 08:32

Цитата:
Может все же "C:\WINDOWS\system32\userinit.exe,"? Если не так, то нужно поправить.


у меня так
C:\WINDOWS\system32\userinit.exe,
Автор: tahirg
Дата сообщения: 17.03.2010 08:43
Представляю свой вариант аварийного диска.

Основное предназначение борьба с последствиями Winlock


Год выпуска: 2010
Язык интерфейса: Русский
Платформа: BartPE
Размер: 183 MB (специально подгонялась по мини CD)
Таблэтка: Не требуется
Системные требования: Компьютер с 256Mb доступного RAM и выше

[more=Подробности]Microsoft Windows Preinstallation Environment (WinPE) представляет собой облегчённую («урезанную») версию Windows XP.
Поддерживает основные сетевые интерфейсы влючая WiFi и распространенные SATA/SCSI/RAID. Звуковых и видеодрайверов в этой сборке нет.
В составе сборке необходимые инструменты для удаления\лечения вирусов и их последствий.
Может выходить в сеть.

Состав-
    
ADSSpy - Альтернативные потоки
AntiAutorun - Выявление и удаление Autorun
Autoruns - Многоцелевой менеджер
BHORemover - Вьювер BHO обьектов     
CrucialADS - Поиск альтернативных потоков
Erd Commander 2005     
Erunt - Архиватор реестра     
FCleaner - Очистка временных папок     
HijackThis - Сканер спайваре, троянов     
LSPFix - Востановление обработки стека TCP     
PasswdRenew - Работа с профилями     
QuickKiller - Лечение после вирусов     
Razblocker - Разблокировщик функций     
RegWorks - Альтернативный редактор реестра     
StartupExtractor - Менеджер автозагрузки    
Toolbarcop - Просмотр ActiveX и Toolbar         
AVZ - Антивирусный сканер (свежесть 15.03.10)     
Dr.Web - Антивирус (свежесть 15.03.10)


Сборка базируется на родителе отсюда.
Выражаю свою признательность и благодарность за труд VasAlex и его команде.
Собственно я удалил всё лишнее по моему мнению, чуть доработал и обновил.

Для работы Аvz4 и DR.Web 5 требуется не менее 200 мб виртуальной памяти.
Для этого рядом с кнопкой Пуск вы увидите иконку со значком i, кликаете и выставляете на любой локальный диск требуемое значение. Можно работать.

Почти все программы имеют функцию подключения к реестру заражённой машины.






Аvz4 и DR.Web могут себя обновить при наличии активного подключения к сети Интернет.
Ручная перепаковка DR.Web - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\DRWEB извлекаем DRWEB.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл DRWEB.wim, в строке получатель указываем папку куда будет разобран файл, применить. После распаковки переходим в ту папку.
Запускаем DrWebUpW.exe, который находится в распакованой папке, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла DRWEB, сжатие максимальное (более ничего не нужно писать и изменять), создать.
Новый файл DRWEB.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\DRWEB), соглашаясь на замену, сохраняем образ.

Ручная перепаковка Avz - потребуются два инструмента
UltraISO и GImageX
Устанавливаем UltraISO, открываем в нём образ диска, из папки VAPE\PePrograms\avz4 извлекаем avz4.wim, запускаем GImageX, переходим на вкладку "Применение", указываем источник на файл avz4.wim, в строке получатель указываем папку куда будет разобран файл, применить.



После распаковки переходим в ту папку. Запускаем Avz.exe -файл-обновление баз, произойдёт обновление баз.
Вновь запускаем GImageX, переходим на вкладку "Создать wim", источником будет ваша распакованная папка, получатель любое место, имя файла Avz4, сжатие максимальное (более ничего не нужно писать и изменять), создать.



Новый файл Avz4.wim через UltraISO вставляем в образ на то же место где он и находится (VAPE\PePrograms\avz4), соглашаясь на замену, сохраняем образ.[/more]


Извлечь из архива образ Iso и записать любой программой умеющей это делать (Nero)


http://rapidshare.com/files/363644654/Mini_LiveCD.part1.rar
http://rapidshare.com/files/363644657/Mini_LiveCD.part2.rar
пароль www.2baksa.net
Автор: Scaramanga
Дата сообщения: 17.03.2010 08:56

Цитата:
http://free.antivirus.com/hijackthis/
Version 2.0.2



HijackThis уже версии 2.0.3 beta есть (только вчера случайно в логах юзверов заметил;))

У нее с ним все в порядке.

JulianaCЯ вам выслал в личке скрипт исходя из ваших логов, его выполните и повторите логи, должно быть все чисто

с userinit у вас все порядка не трожте)
Автор: Lier
Дата сообщения: 17.03.2010 10:28
JulianaC

Цитата:
Звоните оператору объясняете ситуацию как есть подробно. ... Они скажут что и как делать

Если все же решитесь звонить, то после этого напишите, пожалуйста, как отреагировал оператор.
Автор: ynbIpb
Дата сообщения: 17.03.2010 11:54
А ещё лучше сделать запись резговора и выложить тут.
Автор: gjf
Дата сообщения: 17.03.2010 12:33
Lier
ynbIpb
Да реально вероятность возврата низкая. Звонить сразу надо было, а не смс отправлять. Теперь, когда время прошло, деньги списаны - повернуть всё вспять будет крайне сложно: где доказательства вымогательства?
Автор: Scaramanga
Дата сообщения: 17.03.2010 12:38
gjf смс с текстом таким то на номер такой то? Думаю очень просто узнать за что снимаются деньги на данном сервисе. И вроде у нас в стране уже были судебные разбирательства по этому поводу, вот только менталитет у нас такой что нифига никто не подает иски( поэтому и уживаются подобные "сервисы"
http://pazzive.livejournal.com/188661.html вот интересная статейка на эту тему побольше бы таких...
Автор: gjf
Дата сообщения: 17.03.2010 12:51
Scaramanga
Не будем устраивать долгий офф, но прямо скажу: если оператор откажет, иск подавать бессмысленно. Потому как политика будет следующая: клиент сознательно отправил смс, никакого блокера не было. Если бы были фотки (и желательно не цифровые) скрина с сообщением, фотка процесса отправки смс и отчёт о доставке - тогда да. А так - это только на добропорядочности оператора.
Автор: nevermindiwwe
Дата сообщения: 18.03.2010 01:59
Случился прецедент на заданную тематику: "Арбитраж Магаданской области оштрафовал на 30 тысяч рублей компанию МТС за неправомерное списание средств со счета абонента, использовавшего короткие SMS-номера. Это первый случай, когда виновным признают сотового оператора, а не контент-провайдера, заключившего с ним партнерское соглашение."
h__p://nnm.ru/blogs/girlfriendHudo/sotovogo_operatora_vpervye_oshtrafovali_za_chuzhie_platnye_sms/#cut
Автор: JulianaC
Дата сообщения: 18.03.2010 11:48

Цитата:
Если все же решитесь звонить, то после этого напишите, пожалуйста, как отреагировал оператор.


Вчера позвонила в МТС. Вопрос решили за 1 час. Деньги были возвращены на мой счет, хотя сказали, что разбираться будут 10 дней.
Все у них там в компьютере отображено - сколько сняли и на какой номер...
Так что вернуть свои деньги очень реально, спасибо форуму за подсказку.
Автор: gjf
Дата сообщения: 18.03.2010 12:06
JulianaC
Ну я рад, что по этому делу есть сдвиг, и мои опасения оказались напрасными.
Автор: Vigorous
Дата сообщения: 18.03.2010 13:04
Ещё один трюк (когда нет под рукой дисков и т.п.)
как закрыть окно баннера-вымогателя (если не на весь экран)

1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del)
2. окно диспетчера закрыто баннером
3. правой кнопкой мыши по панели задач и выбираем "Окна сверху вниз"
4. закрываем баннер
5. чистим реестр и удаляем файлы

работает в большинстве случаев и практически голыми руками
Автор: Scaramanga
Дата сообщения: 18.03.2010 14:06
Vigorous а если банер на весь экран?)
Я спасаюсь комбинайцией WIN+U
Автор: Vigorous
Дата сообщения: 18.03.2010 14:10
Scaramanga

Цитата:
если банер на весь экран

в последнее время, мне не попадаются такие
Автор: gjf
Дата сообщения: 18.03.2010 18:06
Камрады, если у кого-то ситуация связана в блокером и решить её никак не удаётся - добро пожаловать в эту тему. Обращайте внимание на правила, они пока в первом сообщении, вскорости будут оформлены в шапку. Будем рады Вам помочь!
Автор: Vigorous
Дата сообщения: 18.03.2010 18:08
gjf
и эти темы можно закрывать...
Автор: Scaramanga
Дата сообщения: 21.03.2010 13:25
Добавьте зеркало на RansomHide в шапку. Софгет не пашет уже долго.
Автор: gjf
Дата сообщения: 21.03.2010 13:41
Vigorous
Ну мало ли - флейм по теме никогда не был запрещён! Если народ здесь всё решает быстрее и чётче - что ж, можете и не заходить
Автор: maxs113
Дата сообщения: 23.03.2010 10:21
Вот я каких отловил
http://i6.fastpic.ru/big/2010/0323/b5/4f3e7ada68e70d10ed94e8c34f9169b5.jpg
http://i6.fastpic.ru/big/2010/0323/11/77bff036e550d4064f984c4d28304011.jpg
http://i6.fastpic.ru/big/2010/0323/2d/853a67fc7326a1e93b5ab8559e119d2d.jpg

Сами гады
pass - virus

http://www.filehoster.ru/files/ex2322

у кого с этими зверьми проблемы могу помочь.
Автор: RAZORblade
Дата сообщения: 29.03.2010 22:09
господа свежее порно окно, просит
Отправьте смс с текстом aa75018 на номер 8353

веб не видит, в базах ответного номера нет, панель задач блокированна, никто ничего не подскажет?
Автор: gjf
Дата сообщения: 29.03.2010 22:14
RAZORblade
Заходите сюда, поможем.
Автор: RAZORblade
Дата сообщения: 30.03.2010 12:12
снял винт, подрубил к другой машине и дрвебом с последними обновлениями прогнал, помогло.
Автор: setwolk
Дата сообщения: 30.03.2010 12:32
RAZORblade
С Cureit или все же антивирусом установленным?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.