порно-баннеры на рабочем столе Опции

[Ep0x]

Люди, одумайтесь! Из-за такой мелочи сносить винду и тратить время и нервы? Удаляется за 10 минут с LiveCD или EDR Commander
В последнее время опять эпидемия, чаще всего подменяет в реестре в в папке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "Shell". В значении параметра указан путь к вредоносу, чаще всего лежит в ContentIE5 или тупо в документах.
Смотрите путь, заходите и удаляете файло, для параметр "Shell" меняете значение на "Explorer.exe" и в ребут. а там уже антивирями для перестраховки.

[Jeff]

Люди, одумайтесь! Из-за такой мелочи сносить винду и тратить время и нервы? Удаляется за 10 минут с LiveCD или EDR Commander
В последнее время опять эпидемия, чаще всего подменяет в реестре в в папке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "Shell". В значении параметра указан путь к вредоносу, чаще всего лежит в ContentIE5 или тупо в документах.
Смотрите путь, заходите и удаляете файло, для параметр "Shell" меняете значение на "Explorer.exe" и в ребут. а там уже антивирями для перестраховки.

Live CD не всегда помогает

[Ep0x]

Live CD не всегда помогает

тык. один из способов именно по последней эпидемии. тонкостей может быть множество, всего в один фак не собрать.

[Buenos]

Касперским проверяй KIS!
или NOD'ом... др веб плохо ловит эту дрянь.
Вообще как антивир он нестабилен.

[Джеймс Бонд]

Сегодня словил эту дрянь. Видимо совсем свежий: доктор веб и касперский такой номер телефона для разблокировки не знают. Записать образ от Касперского на cd в ближайшее время не могу. Есть на форуме умельцы, чтобы подхалтурить и оживить комп? В лс конечно, чтобы тему не засорять.
Переустанавливать ОС не хочу, так на диске полно нужных файлов. Словил в первый раз, причем на нормальном ресурсе, где регулярно бывал ранее.

[WarFare]

Live CD не всегда помогает

И в каком случае Live-CD не помогает? Когда вирь безвозвратно портит системные файлы самой винды, влезая на их место? Или еще есть варианты?

[Алёшенька]

И в каком случае Live-CD не помогает? Когда вирь безвозвратно портит системные файлы самой винды, влезая на их место? Или еще есть варианты?

В любом случае, когда с ЛивСиДи нет возможности подцепиться к хворой учётной записи... Кстате, в ряде случаев проще загрузить венду в режиме "поддержки командной строки" и запустить ручками регедит...

[WarFare]

Пользуюсь вот этим набором:
]]>http://rutracker.org/forum/viewtopic.php?t=3146678]]>
Плюсы:
*Совершенно по барабану, в каком состоянии хард на зараженной машине, то есть для запуска всего набора средств наличие в этой машине работоспособного харда вообще не обязательно.
*В процессе запуска системы не используется ни один файл с зараженной машины (не запустишь вирус в память до того, как найдешь)
*размер позволяет впихнуть его на почти любую мелкую юсб флешку
Минус обнаружен пока только один (в случае флешки):
*пока еще существуют железяки на которых невозможно или проблематично грузиться с юсб флешки.

UPD: ну еще как минус - это инструментарий для ручной "ловли блох", кнопки "сделать зашибись" в нем нет

Сообщение отредактировано WarFare - 30.04.2012 - 17:43

[Джеймс Бонд]

Спасибо всем предложившим помощь. Компстар в этот день работал и за 10 минут комп реанимировали с внешней флешки.

[AlexPunk]

за 10 минут комп реанимировали с внешней флешки.

и сколько взяли, если не секрет?

[Джеймс Бонд]

Цена вопроса 300 рублей. В 15 районе. Зашли с флешки, нашли этого блокера, все почистили.

[AlexPunk]

Цена вопроса 300 рублей

Ну это по-божески. Хотя мог-бы сэкономить эти 300р и сделать сам, там ничего сложного. Alkid LiveCD в помощь.

Сообщение отредактировано AlexPunk - 1.05.2012 - 12:51

[Holsten]

kid LiveCD в помощь.

Иногда помагает загрузка в безопасном режиме и/или загрузка с поддержкой коммандной строки. Если процесс прошёл без эксцесов то дальше редактирование реестра (удаление программ из загрузки с помощью msconfig.exe или regedit.exe) и/или удаление лишних файлов.

Если компьютер достаточно медленный, то до загрузки вредоносной программы можно её закрыть через деспетчер задач до её окончательной загрузки.

Зашли с флешки

Вариант с флешки или диска от Касперского: ]]>http://support.kaspersky.ru/viruses/soluti...=208642240#scan]]>

Варианты разблокировки по номеру мошенника:
]]>https://www.drweb.com/xperf/unlocker/?lng=ru]]>
]]>http://sms.kaspersky.ru/]]>

Варианты подбора по похожим картинкам вируса:
]]>https://www.drweb.com/xperf/unlocker/gallery/]]>

[Mystmuse]

Пользуюсь вот этим набором:
]]>http://rutracker.org/forum/viewtopic.php?t=3146678]]>
Плюсы:
*Совершенно по барабану, в каком состоянии хард на зараженной машине, то есть для запуска всего набора средств наличие в этой машине работоспособного харда вообще не обязательно.
*В процессе запуска системы не используется ни один файл с зараженной машины (не запустишь вирус в память до того, как найдешь)
*размер позволяет впихнуть его на почти любую мелкую юсб флешку
Минус обнаружен пока только один (в случае флешки):
*пока еще существуют железяки на которых невозможно или проблематично грузиться с юсб флешки.

UPD: ну еще как минус - это инструментарий для ручной "ловли блох", кнопки "сделать зашибись" в нем нет

Интересная вещь. До сих пор пользуюсь infr@CD - старая, но надежная штука, но грузится с диска прилично, а насколько быстро с флешки, может купить флешечку и закинуть на нее какой-нить реаниматор? Что сейчас наиболее популярно, просто, дайте мануальчик какой-нить.

[WarFare]

Интересная вещь. До сих пор пользуюсь infr@CD - старая, но надежная штука, но грузится с диска прилично, а насколько быстро с флешки, может купить флешечку и закинуть на нее какой-нить реаниматор? Что сейчас наиболее популярно, просто, дайте мануальчик какой-нить.

Мануальчик к чему? к кнопке "сделать зашибись"?

Все встреченные мной локеры закреплялись в системе одним из четырех способов:


1)тупо прописывая свой экзешник в автозагрузку

2)заменяя в реестре вызов одного из файлов винды на вызов себя

3)в качестве .dll-ки подгружались вместе с каким либо запускаемым файлом, либо регились в системе в качестве службы

4)уничтожали оригинальный файл винды и записывали себя на его место.

во всех этих случаях достаточно было устроить поиск по системному диску на тему *.exe *.dll, измененных за время с момента предполагаемого заражения, затем удалить найденные файлы, прошерстить реестр на предмет их упоминания, если затронуты нужные винде ветки вроде "Shell=" - вернуть оригинальные значения, в слуяае убийства оригинальных файлов винды сложнее, надо где-нить раздобыть оригинальные файлы.
З.Ы. Все вышенаписанное для варианта с реанимационной флешкой, умеющей лазить в реестр зараженной машины, например такой, что я выше советовал.

[troll mode]Что я делаю не так? [/troll mode]

Сообщение отредактировано WarFare - 4.05.2012 - 23:55

[johnny1980]

Стандартный вирусок в семерке. Отправьте денег и прочее. Решение проблемы: Запускаем семерку с поддержкой коммандной строки (вирус не грузится). Стартуем explorer.exe (обманываем реестр по признаку shell). Далее получаем рабочую винду в безопасном режиме. Включаем руки и мозги.

[cepxuo]

Включаем руки и мозги.

Во избежание некорректного результата, последовательность включения данных инструментариев рекомендовано производить в обратном порядке.

[johnny1980]

Во избежание некорректного результата мозги нужно включать до посещения интернет ресурсов

[Slade]

Своей знакомой,лечил подобное,3 раза,путем откатки системы из безопасного режима.У самого ДрВэб.Ни разу не ловил подобное.

Сообщение отредактировано Slade - 8.05.2012 - 18:24

[Slade]

Извиняюсь.Не в безопасного режима,а из режима выбора загрузки и восстановления.

Сообщение отредактировано Slade - 9.05.2012 - 08:36