IvANANvI
Да, но такой вариант через Radmin не катит, увы...
Да, но такой вариант через Radmin не катит, увы...
» Windows заблокирован!
gmot
да интересно, обязательно попробую. Лишь бы сработало залипание клавиш.
да интересно, обязательно попробую. Лишь бы сработало залипание клавиш.
народ! к сведению - http://anti-winlock.ru/
gmot
Цитата:
Чаще всего окошко залипания клавиш всё ровно остаётся за банером и его не видно... Так что не очень хороший способ.
Цитата:
Вот здесь интересный способ, сам правда не проверял.
Чаще всего окошко залипания клавиш всё ровно остаётся за банером и его не видно... Так что не очень хороший способ.
Всем у кого клянчат пополнить счёт на Билайне,
просто с любого Билайновского чека вбивайте номерок какой он просит и всё!
Проверено, работает! Ну а далее займитесь антивирем.
И всё таки для браузера советую Mozillu, защита от дурака - плагины!
Удачи!
просто с любого Билайновского чека вбивайте номерок какой он просит и всё!
Проверено, работает! Ну а далее займитесь антивирем.
И всё таки для браузера советую Mozillu, защита от дурака - плагины!
Удачи!
max66ru
Не выложите парочку номеров. Не пользуюсь Билайном.
Не выложите парочку номеров. Не пользуюсь Билайном.
Люди, хелп плиз....
Висит баннер розовый фон, 3 девки сверху, говорит отправить смс на номер 5121 с кодом 7544*****
Последние 5 цифр постоянно генерируются новые при каждой перезагрузке компа, ссылки на декодеры с кодами, коды не помогли... Баннер блокирует абсолютно все, не могу ничего открыть, может кто может найти код от этого баннера ? Готов даже заплатить с вебмани в разумных пределах за помощь.
Если кто может помочь, напишите плиз тут или в ICQ: 518861
Висит баннер розовый фон, 3 девки сверху, говорит отправить смс на номер 5121 с кодом 7544*****
Последние 5 цифр постоянно генерируются новые при каждой перезагрузке компа, ссылки на декодеры с кодами, коды не помогли... Баннер блокирует абсолютно все, не могу ничего открыть, может кто может найти код от этого баннера ? Готов даже заплатить с вебмани в разумных пределах за помощь.
Если кто может помочь, напишите плиз тут или в ICQ: 518861
Kiteris
Прежде чем пытаться расстаться со своими монями, кепку изучить не пробовал?
Прежде чем пытаться расстаться со своими монями, кепку изучить не пробовал?
Sish, пробовал, я же написал все ссылки на декодировщики, пытался там найти нужный код, на именно такой текст нету кода, а похожие не подходят. LIVECD нету возможности записать, точнее будет только через 2-3 дня, а все остальное вирус напрочь блокирует, так что думаю поможет только код...
Добавлено:
Спасибо кто пытался помочь, саппорт dr.weba дал код подходящий, если кому потребуется.
Смс на номер 5121, текст 7544***** (последние 5 цифр при перезагрузке меняются), помог код: 8907956785
2ой код не подошел, но на всякий тоже выложу, они же мне прислали: 78585485
Добавлено:
Спасибо кто пытался помочь, саппорт dr.weba дал код подходящий, если кому потребуется.
Смс на номер 5121, текст 7544***** (последние 5 цифр при перезагрузке меняются), помог код: 8907956785
2ой код не подошел, но на всякий тоже выложу, они же мне прислали: 78585485
Цитата:
2ой код не подошел, но на всякий тоже выложу, они же мне прислали: 78585485
Знакомому как раз 78585485 помог )
Сегодня встретил блокер просит СМС на номер 5121, прописывается в userinit через запетую, а не в shell за место Explorer.exe как многие блокеры. Сначала даже и не заметил, тока со второй попытки разглядел что он в userinit подлец! )))
IvANANvI
Цитата:
В шапке ответ.
Цитата:
Не выложите парочку номеров. Не пользуюсь Билайном.
В шапке ответ.
знакомые поймали локера
прописался в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
но winlogon был с маленькой буквы и наверно была среди них русская буква т.к думаю не позволит машина создать одинаковые разделы
т.е в кусте было ДВА раздела Winlogon
в вирусном один параметр
"Shell" = "Explorer.exe, путь до вируса"
тело сидело в папке Internet Explorer и звалось install.exe
прописался в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
но winlogon был с маленькой буквы и наверно была среди них русская буква т.к думаю не позволит машина создать одинаковые разделы
т.е в кусте было ДВА раздела Winlogon
в вирусном один параметр
"Shell" = "Explorer.exe, путь до вируса"
тело сидело в папке Internet Explorer и звалось install.exe
tahirg
спасибо. посмотрела у себя. та же ситуация. 2 папки, одна с маленькой буквой.
спасибо. посмотрела у себя. та же ситуация. 2 папки, одна с маленькой буквой.
JulianaC
да на здоровье
попробовал создать раздел с английскими буквами, "индейское жилище"...
значит есть русская буква и второе - уроды как то нашли способ патчить реестр, чтобы машина подхватывала заражённый куст реестра
по всей видимости нужно ждать новостей от более грамотных спецов, которые укажут на хвосты(патч) в реестре, дабы заткнуть местечко
да на здоровье
попробовал создать раздел с английскими буквами, "индейское жилище"...
значит есть русская буква и второе - уроды как то нашли способ патчить реестр, чтобы машина подхватывала заражённый куст реестра
по всей видимости нужно ждать новостей от более грамотных спецов, которые укажут на хвосты(патч) в реестре, дабы заткнуть местечко
tahirg
А можно тело вируса который две ветки реестра создаёт?
А можно тело вируса который две ветки реестра создаёт?
gold_boy
неа
я по дурости удалил его
хотя надо было оставить
свежий веб его не детектил сегодня пойду к другим, похоже ситуация один в один
выловлю зверьё
неа
я по дурости удалил его
хотя надо было оставить
свежий веб его не детектил сегодня пойду к другим, похоже ситуация один в один
выловлю зверьё
tahirg
Потом залей куданить для исследования.
Потом залей куданить для исследования.
Сегодня младший брат схватил баннер, но уже с просьбой пополнить счёт такого то абонента на 390 рублей и тогда с чека ввести код и мол баннер разблокируется.
Он мне всё заблокировал, пришлось переустанавливать систему.
Как бороться с таким баннером?
Он мне всё заблокировал, пришлось переустанавливать систему.
Как бороться с таким баннером?
Mikola84
Вот только как раз приехал... подобный баннер убирал, загрузившись винда нериагировла ни на что, ни диспетчер, ни одно окно не давала открыть, метод Shift тоже безрезультатно, номера в базе не было, безопасный не работал...
Загрузился с флешки, с точки восстановления восстановил ресстр Sowtware, System и пользовательский NTUSER.DAT со вчера...
Загрузил винду, почистил систему AVZ и HiJackThis, поставил на антивирусную проверку и поехал домой
операция занял считанные минуты...
Вот только как раз приехал... подобный баннер убирал, загрузившись винда нериагировла ни на что, ни диспетчер, ни одно окно не давала открыть, метод Shift тоже безрезультатно, номера в базе не было, безопасный не работал...
Загрузился с флешки, с точки восстановления восстановил ресстр Sowtware, System и пользовательский NTUSER.DAT со вчера...
Загрузил винду, почистил систему AVZ и HiJackThis, поставил на антивирусную проверку и поехал домой
операция занял считанные минуты...я точно знаю, что словила эту фигню на сайте www.keep4u.ru при попытке посмотреть фото.
Кому интересно, http://keep4u.ru/imgs/s/070522/8912ca11060ea854ed.jpg
можно попробовать его там словить.
после него у меня стало 2 папки в реестре.
Кому интересно, http://keep4u.ru/imgs/s/070522/8912ca11060ea854ed.jpg
можно попробовать его там словить.
после него у меня стало 2 папки в реестре.
Товарищи!
Какую прогу посоветуете против баннеров (из бесплатных)?
Какую прогу посоветуете против баннеров (из бесплатных)?
Вот залил файлы с зарождённого компа где была вторая ветка Winlogon но в ней был тока один параметр, этот параметр тоже содержал путь к вирусу, в оригинальной ветке Winlogon тоже были прописаны пути к вурусу. Все файлы на данный момент касперским не детектятся.
http://ifolder.ru/18399328 (пароль 123)
http://ifolder.ru/18399328 (пароль 123)
gold_boy
вынужден разочаровать
у друга оказалось всё банальней в темпе bldjad.exe
удалил и забегал комп
вынужден разочаровать
у друга оказалось всё банальней в темпе bldjad.exe
удалил и забегал комп
tahirg
В архиве что залил выше тоже тока в temp пишет файл, "Winlogon2" нету. Но я с включенным каспером запускал, может если без него попробывать.
NaxAlex
Расскажи поподробней как ты восстанавливать реестр с точки восстановления, с помощью liveCD (или флешки без разницы) интересует сам процесс.
В архиве что залил выше тоже тока в temp пишет файл, "Winlogon2" нету. Но я с включенным каспером запускал, может если без него попробывать.
NaxAlex
Расскажи поподробней как ты восстанавливать реестр с точки восстановления, с помощью liveCD (или флешки без разницы) интересует сам процесс.
Mikola84 (20:46 02-07-2010)
Цитата:
Товарищи! Какую прогу посоветуете против баннеров (из бесплатных)?
Нетчарт Фильтр
358
человек наверно имел ввиду локеры ввиде банеров
а ваш совет от банеров в ишаке...
человек наверно имел ввиду локеры ввиде банеров
а ваш совет от банеров в ишаке...
gold_boy
Процесс простой, я им часто пользуюсь, влом винды раз за разом ведь переустанавливать, чистка кэшев, темпов и прочего всего хлама, не всегда помогают...
Заходим в System Volume Information/_restore{*}/RP* и смотри последний каталог дату. заходим в выбранный RP* и идём в папку snapshot там есть наши реестры _REGISTRY_MACHINE_SOFTWARE, _REGISTRY_MACHINE_SYSTEM иногда еще приходится пользоваться и _REGISTRY_MACHINE_SAM, _REGISTRY_MACHINE_SECURITY.
Эти два файла надо переместить в c:\WINDOWS\system32\config\ те два файла что там есть, нужных нам на всякий случай переименовываю в software_ и system_, переношу _REGISTRY_MACHINE_SOFTWARE, _REGISTRY_MACHINE_SYSTEM переименовываю в software и systeм.
Дальше идем в c:\Documents and Settings\User\ там есть файл NTUSER.DAT тоже на всякий случай сохраняем. Берем с нашей точки System Volume Information/_restore{*}/RP*/snapshot пользовательский реестр _REGISTRY_USER_NTUSER_S-*, с ним немного посложнее, особенно если несколько пользователей в компе, я ориентируюсь на примерный размер, скажем NTUSER.DAT имеет размер три метра, значит примерно такого размера и нужен мне файл. Переносим _REGISTRY_USER_NTUSER_S-* в c:\Documents and Settings\User\ и переименовываем в NTUSER.DAT.
Всё. Перегружаемся и начинаем искать блокера, доступными средствами...
Способ только поднимает реестр и позволяет работать с виндой, но сам вирус/троян/руткит где-то болтается.
Я подобным методом пользуюсь не только при заражениях вирусами, но и просто упавшие винды поднимаю, наряду с ошибками файловой системы очень часто падает реестр по разным причинам.
Службу восстановления рекомендуют выключать, поэтому эти точки не всегда есть, но я обычно эту службу оставляю как раз для таких вот случаев, просто размер дискового пространства под точки ограничиваю примерно одним гигом.
Из это же серии можно еще взять копию первоначального реестра из c:\WINDOWS\repair\ и убить профиль (сохранив конечно данные), но это будет практически новоустановленная винда... я редко так делаю, если тока время торопит....
Процесс простой, я им часто пользуюсь, влом винды раз за разом ведь переустанавливать, чистка кэшев, темпов и прочего всего хлама, не всегда помогают...
Заходим в System Volume Information/_restore{*}/RP* и смотри последний каталог дату. заходим в выбранный RP* и идём в папку snapshot там есть наши реестры _REGISTRY_MACHINE_SOFTWARE, _REGISTRY_MACHINE_SYSTEM иногда еще приходится пользоваться и _REGISTRY_MACHINE_SAM, _REGISTRY_MACHINE_SECURITY.
Эти два файла надо переместить в c:\WINDOWS\system32\config\ те два файла что там есть, нужных нам на всякий случай переименовываю в software_ и system_, переношу _REGISTRY_MACHINE_SOFTWARE, _REGISTRY_MACHINE_SYSTEM переименовываю в software и systeм.
Дальше идем в c:\Documents and Settings\User\ там есть файл NTUSER.DAT тоже на всякий случай сохраняем. Берем с нашей точки System Volume Information/_restore{*}/RP*/snapshot пользовательский реестр _REGISTRY_USER_NTUSER_S-*, с ним немного посложнее, особенно если несколько пользователей в компе, я ориентируюсь на примерный размер, скажем NTUSER.DAT имеет размер три метра, значит примерно такого размера и нужен мне файл. Переносим _REGISTRY_USER_NTUSER_S-* в c:\Documents and Settings\User\ и переименовываем в NTUSER.DAT.
Всё. Перегружаемся и начинаем искать блокера, доступными средствами...
Способ только поднимает реестр и позволяет работать с виндой, но сам вирус/троян/руткит где-то болтается.
Я подобным методом пользуюсь не только при заражениях вирусами, но и просто упавшие винды поднимаю, наряду с ошибками файловой системы очень часто падает реестр по разным причинам.
Службу восстановления рекомендуют выключать, поэтому эти точки не всегда есть, но я обычно эту службу оставляю как раз для таких вот случаев, просто размер дискового пространства под точки ограничиваю примерно одним гигом.
Из это же серии можно еще взять копию первоначального реестра из c:\WINDOWS\repair\ и убить профиль (сохранив конечно данные), но это будет практически новоустановленная винда... я редко так делаю, если тока время торопит....
Цитата:
Из это же серии можно еще взять копию первоначального реестра из c:\WINDOWS\repair\ и убить профиль (сохранив конечно данные), но это будет практически новоустановленная винда... я редко так делаю, если тока время торопит....
Все это хозяйство копируется в \WINDOWS\system32\config\ ?
NskRonin
Агась можно и чисто эти файлы...
c:\WINDOWS\repair\default
c:\WINDOWS\repair\sam
c:\WINDOWS\repair\security
c:\WINDOWS\repair\software
c:\WINDOWS\repair\system
Агась
можно и чисто эти файлы... c:\WINDOWS\repair\default
c:\WINDOWS\repair\sam
c:\WINDOWS\repair\security
c:\WINDOWS\repair\software
c:\WINDOWS\repair\system
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.