достали мошенники

[Zvirr]

Цитата:

Сообщение от Elav482

там делов на 5 минут, на сайте дрвеб если генератор ключей для этих вирусов, а если не помогает и есть какой никакой опыт ПК, позвони мне я расскажу как эту фигню удалять: 097 пять 99 37 ноль ноль

Для веб маней кошельков не подходит мало того их шаровый курейт вирус не видит и лив ЮСБ тоже и даже установленый комерческий антивир не помагает эта зараза всеравно лезит буду им вирус слать хай думают

[locos]

Да, не видит, я ж о чем и говорю - Курит, AVZ не видят эту дрянь!

[Rambo]

Потому как оно не есть вирусом в их понимании. А научить чего-то не получается... Или может механизм заражения правильный придумали. Еще не разбирался.

[Vale_RUA]

Цитата:

Сообщение от Хром

Да, разок посмотрел по чём зимняя резина на одном сайте.Выключил,а на следующий день после загрузки "подарочек". Так что эта хрень водится не только там где пахнет порнухой.

Так мы и поверили.
Вчера как раз мой Кум жаловался на эту фигню. Смотрел порнуху, и тут его обвинили в педофилии. Он с перепугу вырубил комп, а жене сказал что сгорел блок питания. Правда так и не признался, перевел он деньги на вебмани, или нет.

[deivan]

универсальной лечилки-программы от этого дела пока нет.
потому что антивирусные программы не считают вирусом файл, который выводит на экран картинку с кнопкой и блокирует диспетчер задач.
лечится -- руками опытного специалиста.

Ну не знаю попробуйте уже в режиме от сбоев! или с другого компа поищите внете куда прописывается в трей эта зараза, где то же такие случаи были и можно грохнуть ветку, а потом загрузится с лив сиди, грохнуть из автозагрузки всё можно сделать.

[Zvirr]

Чел уже в четвертый раз приносит комп с тойже херней причем по порно сайтам он не лазит На компе стоит лицензионный др.веб
Вот сейчас есть три файла др.веб их не определяет как вирус а вот Malware Определяет их как вирус шоле рискнуть запустить )))
Написал в поддержку др.веба жду ответа

[=Коля=]

Пиши в арбитаж, пусть блокируют кошелек

[Zvirr]

Кстати достал вирус могу поделиться

[Zvirr]

Вобщем изличился нашол вирус он на рабочем столе был удалил его а вместо него поставил АВЗ с таким же именем при перезагрузке стартанул АВЗ с помощью его иправил все. Вирус отправлю в Др.веб хай роздупляют

[Dalli]

Попытка справиться обычными методами ничего не даст. Загрузка в безопасном режиме и заход под другим пользователем ничего не дадут, искать коды для разблокировки не советую, только потеряете время.

Раз средствами ос добраться не получилось, нам потребуется какой-либо LiveCD, умеющий работать с файлами и реестром на локальной машине. Я для этих целей использую Erd Commander. Дальше буду писать с учетом использования Erd, использование других LiveCD принципиальных отличий не внесет.

1. Грузимся с загрузочного диска Erd Commander.

2. Заходим в «Explorer», затем c:\Documents and settings\имя вашего пользователя\Рабочий стол\ и удаляем файл «test.exe», если он есть. Если нет – идеи дальше.

3. Заходим c:\WINDOWS\system32\ находим файл «userinit.exe« и безжалостно его удаляем, затем находим там же файл «03014D3F.exe» и переименовываем его в «userinit.exe«.

4. Заходим в c:\Documents and settings\Documents and settings\All Users\Application Data и удаляем там файл «22CC6C32.exe«.

Теперь вируса больше нет, осталось подчистить за ним следы в реестре.

5. Заходи в Erd в «Administrative Tools» и запускаем там редактор реестра RegEdit.

6. Переидем в ветку «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon», в этой ветке необходимо проверить два параметра – “Shell” и “Userinit”. В параметре «Shell» должно быть записано «Explorer.exe», а в параметре «Userinit» – «C:\WINDOWS\system32\userinit.exe,» (обязательно с запятой на конце!!!).

7. В моем случае вирус видоизменил файл файл c:\WINDOWS\system32\taskmgr.exe. После пролечивания указанным методом системы, перезагрузки компьютера и запуска диспетчера задач злополучный баннер появился снова. Лечится заменой зараженного файла на аналогичный с живого компьютера. Советую сделать это сразу, лшним не будет.

8. Перезагружаемся и все должно заработать как прежде

Важно: чтобы удалить вирус, нужно выполнить все пункты инструкции, невыполнение скорее всего привдет появлению баннера снова.

[Zvirr]

Удалил без ваших пунктов

[Dalli]

Цитата:

Сообщение от Zvirr

Удалил без ваших пунктов

Аха а когда винда грузиться не будет я посмотрю что вы будете делать

[Zvirr]

То грузится яж после исправлений AVZ перезагружал и после Malware тоже перезагружал все гуд

[Dalli]

Цитата:

Сообщение от Zvirr

То грузится яж после исправлений AVZ перезагружал и после Malware тоже перезагружал все гуд

Я в плане когда залезет этот троян и не будет пускать тебя не в безопаску не в винду

[Rambo]

В большинстве случаев скотинки этого рода подменяют собой ехплорер или садятся в строчку запуска юзеринита доп. параметром.
Итак.
1. Загрузившись с любого ливЦД правим раздел, описанный Dalli. За тем проверяем все разделы с именем Run. Но тут надо иметь некоторый опыт. Нужно представлять, что там должно быть и чего не должно. Например, там не должно быть путей на юзерский или системный темп а так же, на юзерский или общий Application Data. Все это удаляем не задумываясь.
2. Чистим системный и юзерские темпы. В 80% случаев по моей статистике зараза складывается туда.
3. Любым вменяемым менеджером файлов (Far) смотрим диск С: с сортировкой по дате модификации. Вдумчиво анализируем измененные в день заражения (если знаем, когда) ехе-шники. Особенно, если они еще и скрытые. Помним, что всякая фигня типа Проводника и ТоталКоммандера по умолчанию скрытые файлы НЕ ПОКАЗЫВАЕТ. Все подозрительное... Ну, для начала складываем в какую-нибудь временную папку подальше от системных. Если уверены, что модифицированный файл - виндовая утилита - восстанавливаем его из винды с такой же версией сервиспака.

Фот.

PS: Автозагрузка, которая находится в общем/юзерском меню - тоже есть место, куда ложится зараза.

PPS: Если же у Вас бутовый вирус - все становится намного интереснее. :-)

[PavelZT]

Буквально вчера опять словил блокировщика, файл называется netprotocol.exe.
Путь c:\documents and settings\Пользователь\application data\netprotocol.exe
+запись в реестре где вместо explorera.
Такое чувство будто школота писала. Поперло с начала сентября.

[Dalli]

Цитата:

Сообщение от Rambo

В большинстве случаев скотинки этого рода подменяют собой ехплорер или садятся в строчку запуска юзеринита доп. параметром.
Итак.
1. Загрузившись с любого ливЦД правим раздел, описанный Dalli. За тем проверяем все разделы с именем Run. Но тут надо иметь некоторый опыт. Нужно представлять, что там должно быть и чего не должно. Например, там не должно быть путей на юзерский или системный темп а так же, на юзерский или общий Application Data. Все это удаляем не задумываясь.
2. Чистим системный и юзерские темпы. В 80% случаев по моей статистике зараза складывается туда.
3. Любым вменяемым менеджером файлов (Far) смотрим диск С: с сортировкой по дате модификации. Вдумчиво анализируем измененные в день заражения (если знаем, когда) ехе-шники. Особенно, если они еще и скрытые. Помним, что всякая фигня типа Проводника и ТоталКоммандера по умолчанию скрытые файлы НЕ ПОКАЗЫВАЕТ. Все подозрительное... Ну, для начала складываем в какую-нибудь временную папку подальше от системных. Если уверены, что модифицированный файл - виндовая утилита - восстанавливаем его из винды с такой же версией сервиспака.

Фот.

PS: Автозагрузка, которая находится в общем/юзерском меню - тоже есть место, куда ложится зараза.

PPS: Если же у Вас бутовый вирус - все становится намного интереснее. :-)

Согласен, но уверен 60% народа ничерта не поняла =)

[softm]

Цитата:

Сообщение от Dalli

Согласен, но уверен 60% народа ничерта не поняла =)

а у меня дебиан 2двд-ы записывется ... писец кантре ребенка

[_basil_]

Сам попал где-то с год назад, но раздуплил сразу, и заразы не цепанул, а вот уже пару человек таким же образом подхватили. Образ этот выглядит примерно так - заходишь на безобидную с виду страницу, а при попытке её закрыть - выскакивает такое себе окошко с примерным текстом "Вы действительно хотите закрыть нашу страницу? Тогда нажмите "Да", в противном случае вы продолжите просматривать содержимое нашего сайта". Попытка закрытия броузера приводит к тому же "вопросу". Нажимаешь "Да", и радуешься блокеру. ИМХО, всё честно - выскочила хрень, предлагающая установить себя в качестве шелла. Юзер согласился. Венда и антивири не при делах. Они же текст не читают, для сравнения с последуюущими действиями софтины.

[Rambo]

Цитата:

Сообщение от Dalli

Согласен, но уверен 60% народа ничерта не поняла =)

Дык эта. Нам больше достанется.

[Zvirr]

Так с помощью AVZ можна править авто запуск и востанавливать эксплоуер причем нажатием одной нопки

[Rambo]

Цитата:

Сообщение от Zvirr

Так с помощью AVZ можна править авто запуск и востанавливать эксплоуер причем нажатием одной нопки

Ключевое слово - "шара". Или "нажатие одной кнопки". О том, что надо включать мозгЫ, если они есть, обычно, скромно умалчивается.

[Zvirr]

ну так менеджер авто запуска выдает только список а выбираеш ты сам. Правда розблокировать запуск реестра,диспетчер задач, запуск эксплоуера намного прще и удобней поставив галочьки чем лезть в реестр или в груповую политику

Dalli
А с лив сд не проще его из автозапуска грохнуть? повторно сам он туда ни когда не пропишется

Ну если вас уже всё так достало то вот! - Ad Aware если он не справится ни кто не справится.