Есть у кого blocker.exe, или тот самый кодек, хочу поковырять...
» Windows заблокирован!
В понедельник поймал порно-баннер, который просит отправить СМС с номером M201517153 на номер 3381
Вирусяка жесткая, все для неё "подозрительные" процессы блокирует, если чё то не нравится выключает комп. Prkiller запускается, при просмотре инфы о процессе csrss моментально перезагруз. Разблокираторы не помогают.
Вирусяка жесткая, все для неё "подозрительные" процессы блокирует, если чё то не нравится выключает комп. Prkiller запускается, при просмотре инфы о процессе csrss моментально перезагруз. Разблокираторы не помогают.
Carlos69грузись с ливсиди , подключай реестр, смотри автозапуск и отключай, ну и можно поискать новые файлы по маске *.exe и поудалять их
Пипец как сильно усложнилась процедура разблокировки с помощью подбора кода, мне кажется, что эта тупиковый вариант лечения скоро задавят вирусописатели. Нужно решать проблемы как то кардинальне.
Свежие Номера 3381:
У касперского доходит до смеха описание картинок - [Шесть девушек на оранжевом фоне] и т.д.
)
У вэба кодов тьма, тьмущая и все сложнее с буквами стали появлятся варианты кодов разблокировки.
В ransomhide.exe вообще с запросом на буквы м201017325 например пока нет.
Свежие Номера 3381:
У касперского доходит до смеха описание картинок - [Шесть девушек на оранжевом фоне] и т.д.
) У вэба кодов тьма, тьмущая и все сложнее с буквами стали появлятся варианты кодов разблокировки.
В ransomhide.exe вообще с запросом на буквы м201017325 например пока нет.
IvANANvI
Ну так а что тут сложного? Выход один и тот же.
1. Если можно запустить софт с окном блокиратора - делаем логи, выкладываем, почистить можно.
2а. Если запускаться не удаётся - грузимся в безопасном режиме.
2б. Если безопасный заблокирован - грузимся с LiveCD.
И в 2а и в 2б заходим в папки:
Код: C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка
Ну так а что тут сложного? Выход один и тот же.
1. Если можно запустить софт с окном блокиратора - делаем логи, выкладываем, почистить можно.
2а. Если запускаться не удаётся - грузимся в безопасном режиме.
2б. Если безопасный заблокирован - грузимся с LiveCD.
И в 2а и в 2б заходим в папки:
Код: C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка
gjf
Вы про какие логи? Я что-то не в курсе.
Если вирус дает что-то запускать, то найти процесс в памяти и посмотреть откуда он там появился обычно не составляет труда. А вот делать логи, как я понимаю и из Вашей темы это конечно хорошо, но крайне долго, потом их надо выложить Вам, что практически не получится если комп один, а инет уже на нем не работает.
Вы про какие логи? Я что-то не в курсе.
Если вирус дает что-то запускать, то найти процесс в памяти и посмотреть откуда он там появился обычно не составляет труда. А вот делать логи, как я понимаю и из Вашей темы это конечно хорошо, но крайне долго, потом их надо выложить Вам, что практически не получится если комп один, а инет уже на нем не работает.
IvANANvI
Про те самые логи, Вы поняли правильно.
Если вредонос - это исполняемый файл, то там вообще лечить нечего. Если это - инжектируемая библиотека - то вылечить можно, если знаешь, где и что искать. Если это - драйвер, то вылечить без логов практически невозможно.
Добавим к этому "любимую" тенденцию кроме винлокера тащить за собой ещё пару друзей, типа ZBot и TDL3.
В итоге получаем искомое: коль уж заразился и хочешь вылечиться - придётся потратить время.
А на счёт отсутствия доступа к интернет - сейчас думаю над прикручиванием фичи отправки логов по e-mail, Если это окажется актуальным - наверное, так и сделаю.
Добавлено:
Цитата:
Если же инет ВООБЩЕ не работает - то тут уж точно ничем не помочь А как Вы здесь тогда помощь попросите? 
Про те самые логи, Вы поняли правильно.
Если вредонос - это исполняемый файл, то там вообще лечить нечего. Если это - инжектируемая библиотека - то вылечить можно, если знаешь, где и что искать. Если это - драйвер, то вылечить без логов практически невозможно.
Добавим к этому "любимую" тенденцию кроме винлокера тащить за собой ещё пару друзей, типа ZBot и TDL3.
В итоге получаем искомое: коль уж заразился и хочешь вылечиться - придётся потратить время.
А на счёт отсутствия доступа к интернет - сейчас думаю над прикручиванием фичи отправки логов по e-mail, Если это окажется актуальным - наверное, так и сделаю.
Добавлено:
Цитата:
потом их надо выложить Вам, что практически не получится если комп один, а инет уже на нем не работает
ВНИМАНИЕ! Если по-каким-то причинам Вам не ответили в теме или Вы не смогли прикрепить логи либо что угодно ещё - просьба отписываться на электронный ящик HelpMePlease<a>inbox.ru Обратите внимание: в письме обязательно указывать тему "HELP!!!" - в противном случае письмо доставлено не будет. Туда же следует отправлять карантин, если Вас об этом попросят. И будьте добры - указывайте в письме свой ник на форуме.
Если же инет ВООБЩЕ не работает - то тут уж точно ничем не помочь
А как Вы здесь тогда помощь попросите? Под неработоспособностью интернета я понимаю порчение вирусом настроек SPI/LSP и TCP/IP. В этом случае почта уже не поможе. Но как вариант можно прикрутить у кого маршруты или хостс проблемы.
IvANANvI
Цитата:
Цитата:
Если же инет ВООБЩЕ не работает - то тут уж точно ничем не помочь А как Вы здесь тогда помощь попросите?
gjf
Цитата:
с ноута, с телефона/кпк
Цитата:
Если же инет ВООБЩЕ не работает - то тут уж точно ничем не помочь А как Вы здесь тогда помощь попросите?
с ноута, с телефона/кпк
NPC
И с ноута, телефона, кпк уже нельзя закачать файлы или отправить почту?
И с ноута, телефона, кпк уже нельзя закачать файлы или отправить почту?
На ноуте заблокировалось все. В обычном режиме просит установить драйвер, пыталась, не распознает. А в безопасном - картинка с гей клубом и просит пополнить счет абонента билайн +79629332822. Искала в базах такого еще нет. Если придется переустанавливать систему с потерей данных брат убьет и меня.
lelay1977, а вариант со скачкой DrWeb LiveCD и лечением ноута с его помощью не пробовали? См. шапку темы "Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения."
Ссылка в моей подписи. Выполнять программы можете? Если нет - рекомендации выше.
На компе не скачивает ничего. Пробовала и др. веб, и авз, и т.д. Что -то не пойму в чем там дело скрипты может какие не так. На ноуте программы не выполняются. Полный блок. Как будто заходит в систему а потом пытается что то выполнять. диспетчера нет. Через биос ходила время меняла, с флешки дрова грузила - ошибку выдает.
lelay1977
Цитата:
и если так "клинически" обстоят дела
Цитата:
то вам один совет НАЙТИ ГРАМОТНОГО спеца, не из "соплят".
Цитата:
На компе не скачивает ничего. Пробовала и др. веб, и авз, и т.д. Что -то не пойму в чем там дело скрипты может какие не так
и если так "клинически" обстоят дела
Цитата:
Если придется переустанавливать систему с потерей данных брат убьет и меня
то вам один совет НАЙТИ ГРАМОТНОГО спеца, не из "соплят".
lelay1977
код для снятия этого баннера очень прост: набор любых цифр, но к сожалению не помню сколько их нужно, пробуйте вводить 8, 9, 10, 11, 12,13,14 любых цифр. (вроде как 10 любых цифр, ну не помню... блин)
Добавлено:
данный локер имеет конкретное имя Winlock.1675
код для снятия этого баннера очень прост: набор любых цифр, но к сожалению не помню сколько их нужно, пробуйте вводить 8, 9, 10, 11, 12,13,14 любых цифр. (вроде как 10 любых цифр, ну не помню... блин)
Добавлено:
данный локер имеет конкретное имя Winlock.1675
lelay1977
Попробуй скачать ERD Commander и в реестре почистить под ним.
Попробуй скачать ERD Commander и в реестре почистить под ним.
lelay1977
На этот форум зайти можете? Программы на заражённом компьютере запускать (не качать - запускать) получается? Если да - то скачайте вот эту версию AVZ (она не на оффсайте, туда по идее доступ не должен блокироваться). Запустите и соберите логи, как описано в теме в моей подписи. HiJackThis можете не запускать. Два лога сканирования разместите в теме из подписи или пошлите на мой адрес (как это сделать - тоже есть в той теме в шапке).
На этот форум зайти можете? Программы на заражённом компьютере запускать (не качать - запускать) получается? Если да - то скачайте вот эту версию AVZ (она не на оффсайте, туда по идее доступ не должен блокироваться). Запустите и соберите логи, как описано в теме в моей подписи. HiJackThis можете не запускать. Два лога сканирования разместите в теме из подписи или пошлите на мой адрес (как это сделать - тоже есть в той теме в шапке).
Смогла зайти в ноут с зажатым шифтом. пытаюсь найти файлы через проводник blocker.exe и bin не находит. подскажите что делать???
lelay1977
Ну раз Вы сами с усами, делайте, как пожелаете. Как сделать так, чтобы я смог вам помочь, я уже сказал.
Ну раз Вы сами с усами, делайте, как пожелаете. Как сделать так, чтобы я смог вам помочь, я уже сказал.
Спасибо всем огромное!!! Помогло введение кода из любых 12 цифр в безопасном режиме. Простите нас глупых юзеров. Торопливых и невнимательных. постараемся в следующий раз быть осторожнее и снабдиться лекарствами.
Цитата:
Помогло введение кода из любых 12 цифр в безопасном режиме
Это первый шаг, теперь чистите комп от "хвостов".
Ой кстати цифры не любые а от 1 до 12 без пробелов!!!
gjf
Цитата:
Я чаще всего помощи не прошу, а наоборот помогаю. Очень часто по телефону. Ваше стремление помогать тоже ценю. Но в 80 % случаев AVZ запустить не удается. Даже ввиде пифа. Очень часто помогает запустить startf.exe из комплекта проекта uVS http://dsrt.jino-net.ru, уже упоминаемого мной здесь.
Цитата:
Если же инет ВООБЩЕ не работает - то тут уж точно ничем не помочь А как Вы здесь тогда помощь попросите?
Я чаще всего помощи не прошу, а наоборот помогаю. Очень часто по телефону. Ваше стремление помогать тоже ценю. Но в 80 % случаев AVZ запустить не удается. Даже ввиде пифа. Очень часто помогает запустить startf.exe из комплекта проекта uVS http://dsrt.jino-net.ru, уже упоминаемого мной здесь.
IvANANvI
Я пару сообщений назад давал ссылку на AVZ. И там всё дело не только в расширении в виде pif, это не обычный AVZ. Он будет запускаться в 99% случаев.
Оставшийся 1% просто потребует некоторых ключей в строке
Я пару сообщений назад давал ссылку на AVZ. И там всё дело не только в расширении в виде pif, это не обычный AVZ. Он будет запускаться в 99% случаев.
Оставшийся 1% просто потребует некоторых ключей в строке
ynbIpb
Знакомый хватанул такой. Инфа как нельзя кстати пришлась
Знакомый хватанул такой. Инфа как нельзя кстати пришлась
Подхватила сегодня окошко. Его можно подвигать, но оно блокировало кое-какие программы: эксплорер, модзилу, не дало посмотреть в тотал командоре объекты автозапуска. Просит смс на номер 5121 с текстом 1011308
вот сейчас с работы нашла кое-какие коды, но боюсь, что они могут не подействовать.
На компе запускается др.веб, avp, но они не находят вирусов. окно висит.
можно ли с кем-то связаться вечером например по скайпу в поисках помощи, если коды не помогут. напишите пожалуйста в личку.
вот сейчас с работы нашла кое-какие коды, но боюсь, что они могут не подействовать.
На компе запускается др.веб, avp, но они не находят вирусов. окно висит.
можно ли с кем-то связаться вечером например по скайпу в поисках помощи, если коды не помогут. напишите пожалуйста в личку.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.