» Windows заблокирован!

Появился новый блокиратор на 89057922335, фиг знает куда копирует свои файлы... Блочит полностью весь экран, не запускает "Безопасный режим", блочит диспечер задач, если снять винт и "прогнать" на другом компе - все равно не поможет . Смог запустить только после того как заменил реестр сохраненной копией... Видимо только ERD Commander при загрузке, но он к сожалению у меня не запустился, проверить реестр не смог .

Кто знает где эта зараза прячется? Ибо на сайтах-деблокерах по запросу об этом номере выползает аж 219 возможных кодов, и перебирать их все - IMHO неблагодарная задача...

scara6ey

Цитата:

Появился новый блокиратор на 89057922335, фиг знает куда копирует свои файлы... Блочит полностью весь экран, не запускает "Безопасный режим", блочит диспечер задач, если снять винт и "прогнать" на другом компе - все равно не поможет . Смог запустить только после того как заменил реестр сохраненной копией... Видимо только ERD Commander при загрузке, но он к сожалению у меня не запустился, проверить реестр не смог .

Кто знает где эта зараза прячется? Ибо на сайтах-деблокерах по запросу об этом номере выползает аж 219 возможных кодов, и перебирать их все - IMHO неблагодарная задача...

А с LiveCD не пробовал запуститься с возможностью подключения к удаленному реестру? В реестре должен быть указан путь к запускаемому файлу, там он и прячется. Кроме ERD Commandera есть много других возможностей подключиться к реестру, например, запустить поиск с другой машины.
Можно попробовать
Цитата:

две крошечные утилитки от Nirsoft (_http://www.nirsoft.net/utils/index.html):
RegScanner и SearchMyFiles - позволяющие вплоть до посекундного интервала постфактум обнаруживать изменения в реестре и файловой системе. (Последняя,вообще, - изумительная альтернатива штатному "Поиску"). 43 и 47 Кб соответственно, не требуют инсталляции, совместимы со всеми "Виндами", вплоть до 7-ки, включительно.
Вкупе с Process Explorer, они действительно позволяет вручную прибивать зловредов в зародыше, очень точно обнаруживая их по времени заражения.

scara6ey
Теперь дня через 2-3 вам ваш антивирус покажет где лежит эта зараза. Последнее время встречал, что ключ прописывается прямо в кеш браузера (Опера, мозилла), т.е. вирус себя не копирует даже в другое место.

А что делать в случаях когда файл hosts перенесён куда-то в другое место. Сегодня столкнулся с тем что в папке C:\WINDOWS\system32\drivers\etc лежит нормальный hosts , но сайты заблокированы. AVZ открывает тот hosts где прописаны IP, но их очень много и удалять по одному долго. Через какое то время обнаружил что в C:\WINDOWS\system32\drivers\etc лежит ещё один скрытый hosts но при его редактировании выходит ошибка что мол нет прав. Стоит Vista. Помогло тока удалить этот hosts.

gold_boy
в AVZ стандартный скрипт 13 в восстановлении системы: Очистка файла host.
В любом файловом менеджере.
Как правило ложный видимый файл хост, имеет русскую букву в своем названии.
Нужно помнить, что сайты могут не окрываться и из-за статических маршрутов, которые также легко удаляются соответствующим скриптом AVZ.

Лечил комп сегодня, от вируса Winblocker.Нашел без проблем через реестр, по стандарту он прописалься в загрузке в место explorer.exe. Единственное что огорчило ,на машине стоял каспер интернет сек. 8-мой версии, обновлялся.После того как убрал вирус я его скопировал на флешку. После решил проверить этим же каспером,он не чего не показал. Прейдя домой я проверил через свой ( такойже каспер), определил вирус. Возник вопрос почему на том компе каспер не определил вирус, а на моем же преспокойно обнаружил его?
Вот для опытов Virus
пароль 5

udaffchik
Он себя случайно в исключения не прописал?

udaffchik

Надо в KIS'е делать восстановление всех настроек как для приложений так и всего остального. Вкладка "Настройка" "Защита" "Управление параметрами приложения" выбрать "Восстановить." и отметить все галочки, потом KIS обнаружит вредителя!

Кстати отключена ли самозащита?

Я давно заметил что даже KIS и касперский для рабстанций по разному вирусы ловят. то что находит кис , каспер для рабстанций пропускает иногда.

udaffchik
http://www.securelist.com/ru/descriptions/15341928/Trojan-Ransom.Win32.PornoBlocker.ape
Обновите базы и будет определяться,с утренними базами на 4 сентября не определяется,с вечерними всё ок.

AndreusB
Да нет, я проверил.
gold_boy
Настройки тоже все проверил
pompon
Тогда понятно. Клиент поймал его утром 4 сентября. А я проверил его у себя уже вечером.

В Москве задержана крупнейшая банда хакеров:
_http://nnm.ru/blogs/muntyann/v_moskve_zaderzhana_krupneyshaya_banda_hakerov/

Цитата:

Лечил комп сегодня, от вируса Winblocker.Нашел без проблем через реестр, по стандарту он прописалься в загрузке в место explorer.exe.

Он самый вирус... Avira, Esset, Malware с базами от 07.09.2010 не видят...

Клиенты поймали гей порно баннер. Всё заблокировано: диспетчер, пуск и т.д. и т.п. До этого победил баннер сочетанием клавиш Win+U, вызов справки => Перейти по адресу(URL) => C:. А там дело техники. Этот же блокирует кнопку Справка. Если через LiveCD, то что снести надо? Кто подскажет?

KonstVI
ищи файл *.avi.exe это и есть вирус.

Цитата:

Клиенты поймали гей порно баннер. Всё заблокировано: диспетчер, пуск и т.д. и т.п. До этого победил баннер сочетанием клавиш Win+U, вызов справки => Перейти по адресу(URL) => C:. А там дело техники. Этот же блокирует кнопку Справка. Если через LiveCD, то что снести надо? Кто подскажет?

Поиском файлов в Documents and Settings и WINDOWS, временной папке по дате создания (день заражения) и по расширениям *.exe,*.sys,*.com,*.dll, *.scr. Очистите временный файлы с LiveCD.

Похоже новый тип винлока появился

http://ib1.keep4u.ru/b/2010/09/09/37/373a6c8a1453980e1b3d01a923d9702b.jpg

есть идеи?
тут были
http://www.resetov.net/viewtopic.php?f=21&t=2398
http://veta.su/?q=node/36
не помогает

XINSIDE
Долго
KonstVI
В LiveCD найди программу по редактированию реестра твоей системы. Пройди по ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
проссмотри все значения.Наиди где путь ведет не в папку Windows, а в Documents and settings и это файл Shell. Посмотри куда ведет это значение там ты увидеш где сидит этот вирус. Поменяй это значение на C:\WINDOWS\explorer.exe. закрой реестр. Удали, (или если хочеш сохрани для эксперементов) этот вирус.Потом перезагружайся и пользуйся своей системой.


Добавлено:
tarrac
Не ново. Я недавно выкладывал здесь такой вирус . Лечил как описанно немного выше.

Спасибо

Добрый вечер. Ребят помогите пожалуйста,у меня проблема,погас монитор и высветилось окно ,,положите деньги на номер 89654025529 в низу чека будет код который надо ввести чтобы разблокировать комп". Что мне делать? Можно ли это решить другим способом что бы не класть 400 р на этот номер. Помогите плиз

А вот класть никуда ничего и не надо.....
Не поможет....
Разве что только положить на это сообщение....
Если позволяет - грузись в безопасном режиме и лови вируса.
Если нет - с любого загрузочного диска.
Выше же все расписано подробно.

Igor0978

Спасибо Вам огромное за помощь!!!

С номером 6681 текст смс 571100000355 никто не подскажет код разблокировки? То что предлагает докторвеб и другие сервисы разблокировки - не подходят.

Andylg
Это не лже ли антивирус битдефендер. Он просто удаляется из автозагрузки в msconfig снять галочку. После перезагрузки удалить всю папку в програм файлс defsgroup кажется.
Коды действительно не подходят с сайтов всех антивирусов. Даже заразившись неделю назад.

Andylg
Загрузись с диска с erd и почисти автозагрузку

Спасибо.

ПОМОГИТЕ!!!!! ПОЖАЛУЙСТА!!!!!


уважаемый пользователь сети Интернет, Ваш ip-адрес 85.174.2.148 был заблокирован системой © ISSN

Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере:
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008082714 Firefox/3.0.2 sputnik 2.3.0.76


нелицензионное программное обеспечение может быть вредоносным носителем, мы
рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет.
Данное действие займёт не более пяти минут.

Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт.
Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети.


Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут)


Уважаемый пользователь!
Ваш компьютер заражен вирусом "Trojan-Spy.Wind32.Zbot.ikh"
Наша компания настоятельно рекомендует излечить вирус на Вашем компьютере.
В нашей программе заложен код, который лечит компьютеры от этого сетевого вируса. Этот вирус заражает компьютер через tcp/ip протокол и в дальнейшем распространяется через уязвимость переполнения буфера в сервисе "svchost.exe". После лечения доступ к сети Интернет будет разрешён.





Для потверждения вашего IP необходимо отправить sms с текстом "154160104795" без кавычек на номер 3381 или 3121.


Как только Вы отправите SMS, наши специалисты восстановят Вашу операционную систему в течение нескольких минут.
Вам придёт код, универсальный для каждого компьютера.

POLINA5557
74952448, затем 19464834

НЕ ПОДХОДИТ............(((((((((((((((
ВСЕ ТОЖЕ САМОЕ....((((((