» Windows заблокирован!

в продолжение темы
Цитата:

ERD Commander

лучше всего ERD Commander 2005, Winternals`овский. он по содержимому намного лучше чем огрызок 2007 от Microsoft

plankton13kg

Цитата:

Ах, если б порно
Всё куда безобиднее. Я уже выкладывал сайты, с которых, скорее всего, произошел залет http://www.dsc.net.ru/
http://online-films.razvlekyxa.net/

Особенно второй. Там проблема в том, что даже если нажимаешь на пустое поле или значок проигрывателя - вместе с этим выскакивает очередная ерунда из серии "фу, как они могут! тут же дети!"
Причем на Опере все баннеры блокированы-переблокированы. Ничего нет, только сайт и проигрыватель. Даже те прямоугольнички с "закрыть" и те исчезли после добавления urlfilter для Оперы и еще немного блокировкой контента.

Скорее всего блокировка баннеров в Опере мало что дает
на разных сайтах разные баннеры.
А вот если стоит файер (например Outpost) то надо блокировать java скрипты ххх.js
причем для каждого сайта свои.
Если таких сайтов мало то найти имя скрипта не сложно.
Что за Urlfilter.

Всё вырезал! остались только мелкие штучные баннеры, да и то редко. Их-то и можно подрезать контент блокером.

А вот списки (Работают для Firefox, Iron (Chromium))
http://www.fanboy.co.nz/adblock/

А вот для Оперы
http://www.fanboy.co.nz/adblock/opera/

Скачиваем urlfilter.ini - закидываем в профиль Оперы (заменяем аналогичный файл) и безоблачный серфинг.
Я глубоко не копался в банерорезках, но по мне это самый удобный вариант.

plankton13kg

Цитата:

Urlfilter.ini

хм, неплохой вариант, надо попробовать

Gluzer

Да, впрочем, там и пробовать-то нечего Просто пропадают все баннеры. Список изредка обновляется, но уже с тем, что есть - выше крыши.
Однако, есть и недостатки, на некоторых страницах могут неверно отображаться флэш объекты, но это, скорее, исключение, ибо, складывается такое чувство, что в инете ничего, кроме навязчивой рекламы, не осталось.

plankton13kg
что бы попробовать - надо скачать и заменить, попробовать использовать как альтернативный вариант банерорезки.
мой штатный вариант банерорезки - Outpost, режет на ура по размеру и по контексту

Ребята, проблема осталась!!!!
Делал так:
ввел код, рекомендованный ДР.ВЭБОМ, красно-черный монстр пропал, появился пустой рабочий стол, перезагрузился. У меня стоит пароль на винду от брата. Ввожу пароль, винда стала загружаться, НО! После "Загрузка личных параметров..." СРАЗУ идет "Завершение сеанса..." и меня опять выкидывает на "Введите пароль" !!!!
ЧТО ДЕЛАТЬ???

О системе: Windows XP Professional Corporation SP2
антивирус: Norton
есть возможность зайти с другого логического диска, там стоит вторая винда ХР

Вобщем, помогите советом, что делать?

PS: заболевший лог.диск просканил Вэбовским CUREITом, что было из зараз, он удалил. Папки TEMP где было сказано выше, подчистил. Но в Винду по прежнему не пускает.

PSS: в безопасном режиме тоже самое, также выкидывает даже на пароле администратора. Проверил реестр через ERD Commander, всё ровно, в ветке HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописано как и должно быть.
А так же грузился с LiveCD, просканил еще раз на вирусы, ничего не нашел. Но в винду войти по прежнему не могу

BlackOMEGA
В этих ветках
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
гляди что запускается из папок Temp, или смотри внимательно какие именно процессы и службы запускаются. Убирай из загрузки подозрительные и так выявишь гадость.
Здесь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в Параметре Userinit должно быть только такое значение C:\WINDOWS\system32\userinit.exe,

PS А было бы здорово если бы ты запустил в LiveCD под удаленным реестром (учеткой Администратор) прогу avz и выполнил там функцию "Исследование системы". После нее остается протокол. Этот протокол мона поглядеть и сказать точно что надо прибить.

в том то и дело, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon уменя именно такое значение, нужное (C:\WINDOWS\system32\userinit.exe,)
папки TEMP у всех юзер абсолютно пусты, как и Temporary internet files тоже

BlackOMEGA
А что с возожностью запуска avz под удаленным реестром? Позавчера таким образом одну гадость выцепили.
И еще бы глянуть эту ветку Run. Выложи её на файлообменник

Ибо без записи в автозагрузке ну никак не поедешь
ЗЫ и глядеть надо не в сами папки Temp а что из них запускается (в реестре)

Potapka

Цитата:

причём тут вообще реестр))

дык запуск виря в реестр прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
а если у юзера нету прав - то и вирь не пропишется!
вот у мя на работе хотя и стоит трэндмикро который его не видел - дык никто еще не заразился т.к. безправные они!

Цитата:

А что с возожностью запуска avz под удаленным реестром? Позавчера таким образом одну гадость выцепили.
И еще бы глянуть эту ветку Run. Выложи её на файлообменник

Ибо без записи в автозагрузке ну никак не поедешь
ЗЫ и глядеть надо не в сами папки Temp а что из них запускается (в реестре)

avz пока не пробовал, вечером буду комп мучать, когда с работы приду
а вирусняк я как раз с файлообменника и получил))

Цитата:

Это самое оптимальное решение.
Скачать мона например отсюдова
Winternals (Microsoft) ERD Commander

Собираюсь попробовать.

Кстати, никто не в курсе насчет проблемы эмуляции Dr.Web LiveCD.
http://www.freedrweb.com/livecd/
В Алкоголе он просто открывает папку /boot и всё, папка открывается в штатном экплорере.
При копировании же minDrWebLiveCD-5.0.0.iso на флешку - не грузится ничего (при назначении флешки источником загрузки, разумеется). В чем же дело? Это сам исошник кривой? Либо это у меня руки не дошли до нужного места? Как тогда создать искомую CreateLiveUSB, если элементарно оболочка не эмулируется?

plankton13kg

Цитата:

(при назначении флешки источником загрузки, разумеется).

ПО мимо прочего флешка должна быть загрузочной. _http://greenflash.su/Grub4Dos/Grub4dos.htm

Цитата:

В Алкоголе он просто открывает папку /boot

Попробуйте записать его УльтраИсо. По мне так эта прожка корректнее работает с образами. И записывать надо как из образа. Хотя можно и в Неро но выбрать пункт записать из образа. Не распаковывая сам исошник.

NeliyZar


Цитата:

_http://greenflash.su/Grub4Dos/Grub4dos.htm

Вот, вероятно, то что надо. "Создание загрузочного флеш-диска"
Только иформации там приличное количество. Будем разбираться. Спасибо.

Добавлено:
мда, информация более чем исчерпывающая и как неспециалисту разобраться сложновато

http://forum.ru-board.com/topic.cgi?forum=62&topic=4667
http://forum.ru-board.com/topic.cgi?forum=62&topic=8766

Тут есть неплохие обзоры по загрузочным флешкам:
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=62&topic=8680

Выходит, что проще будет записать диск с ЛайфСД.

plankton13kg

Цитата:

Вот, вероятно, то что надо. "Создание загрузочного флеш-диска"
Только иформации там приличное количество. Будем разбираться. Спасибо.

Инфы там чемодан с тележкой)) Но зато все варианты, и установка ХР и прочие прелести. Я делала на одном форуме по материалам этого сайта тему, но упор был на установку ОС с флешки. По поводу установки анвира был разговор но по сколько Др. Веб лайв СД на Линуксе там была проблема с файловой системой. И надо было форматировать все таки в ФАТ32 а не в НТФС...

Добавлено:

Цитата:

Выходит, что проще будет записать диск с ЛайфСД.

Если есть дисковод то гораздо проще)))) Записать из образа любой прожигалкой работающей образами и радоваться жизни)))

Цитата:

Инфы там чемодан с тележкой

Боюсь, что мне не осилить


Цитата:

Если есть дисковод то гораздо проще)))) Записать из образа любой прожигалкой работающей образами и радоваться жизни)))

Тут вы несомненно правы. Всё, ушел радоваться жизни

Привет ВСЕМ!!! Почитал все ваши сообщения, вот новая разновидность, Касперский о Нод только сегодняшими базами удаляет! ) Лечение по адресу(в форуме) http://forum.golden-b.ruviewtopic.phpf=10&t=47&p=234#p234. Красное окно на черном фоне!!! "Windows заблокирован, отправьте смс".

Цитата:

в том то и дело, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon уменя именно такое значение, нужное (C:\WINDOWS\system32\userinit.exe,)
папки TEMP у всех юзер абсолютно пусты, как и Temporary internet files тоже

Проверь наличие файла userinit.exe была такаяже проблема отсутствовал этот фал переписал с другой машины Винда загрузилась

Добавлено:
сообщение было адресовано
BlackOMEGA

Zavtrak
Сработал твой сайт,только окошко красненькое, ESET ноль внимания с сегодняшними базами

Добавлено:
Virustotal - http://www.virustotal.com/ru/analisis/6f0e9f7f38637db1c072dcba5e261a63

А кто нибудь искал откуда ноги ростут не по тому с какого сайта прихватили трипер, а с владельца номера 3649? Или это так просто регнул четырехзнак и дои юзеров как хочешь безовсякой обратки (по инфе при регитрации)?

Добавлено:

Цитата:

Блин! Нашел мошенников на коротком номере "3649". Говорят, что они тут не при чем и ведут расследование, а тот, кто этот вирус запустил, наверное хочет их скомпрометировать, возможно конкуренты, а код для разблокировки "3893879". Вообщем, введите код, и будет вам счастье. Бесплатно. И не надо Win переустанавливать. А, вообще-то надо бы их посадить, хотя бы условно или оштрафовать реально на нормальные деньги. А то завтра машину украдут или еще чего-нибудь и попросят SMS отправить на номер 3649... мошенники однако...

http://forum.ixbt.com/topic.cgi?id=22:74993#28

дайте вирус новый потестить, который с красным окошком.

Я его выдирал из системы, и описывал это, на http://forum.golden-b.ru/viewtopic.php?f=10&t=47&sid=409d875f2f8d8e1ef37414b4258278f8, тело вируса тоже осталось, если интересует, то напиши куда тебе его можно сбросить(архив.rar)! Тот самый вирус с красным окошком!

Вроде никто не выкладавал, но для этого вируса есть кейген

http://news.drweb.com/show/?i=304&c=5

fayzullin
andrew1692
уже не первый раз выкладывали, это раз
не всегда помогает (точнее, чаще не помогает), это два

Vigorous
ток что по телефону лечил этой ссылкой

Добавлено:
думаю этой теме надо шапку ,много людей еще заразится

Столкнулся с такой хренью (к счастью не на своём компе).
В моём случае окно было красным.
Обход посредством нажатия Shift не сработал, файлов blocker в указанных директориях не было.
Dr. Web Live CD не помог.
Помог keygen с поста выше!!!
Спасибо!!!

Похоже вся эта зараза была в папке System Volume Information на системном диске (там диск был один, не разбит).
Как я заметил, там было огромное количество файлов (похоже, по количеству раз запуска компа с этой заразой) с произвольным именем (одна - две буквы в начале и несколько цифр), каждый раз по три (одинаковое имя) разных расширений - .inf, .com, .dll.
Хотя, почитав посты выше, я уже не уверен во что конкретно этот зловред рядится.
Запустил KIS 8 - он их ловит пока (базы где-то полумесяной давности, параметры сканирования все поставил на максимум), на всякий случай дополнительно отключил восстановление системы (потом включу).

Люди сидели без антивируса и, похоже, без мозгов, - и вот результат!!!

О результатах лечения опишусь.

Ссылка помогает но на время.
Через некоторое время опять блокируется.
Борюсь с этой гадиной уже неделю, и никак победить не могу. Выползает на разных компах.
Присутствует еще один раздражающий симптом: дисковод постоянно требует дискетку.
Как решить эту проблему?
Временно я отключил дисководы, но они могут понадобиться.
Спасибо за любую помощь.

andrew1692

Цитата:

думаю этой теме надо шапку ,много людей еще заразится

да, наверно уже нужно шапку и тему прикрепить к началу в разделе.