Рамс,

• Загрузиться с любого LiveCD можете? Или Live usb? Подсоеденить винчестер к другому компьютеру?

Z174 17.06.2011 13:21:
потому что здесь грузят зайти в реестр удалить кучу непонятных строчек

• Тут никто и никого не грузит...............можешь поискать другой форум под названием "...две кнопки..." а лучше "...два пальца..."

89897520698 есть на него код пожалуйста

Баннер 89897520698 не использует код разблокировки.

Вам необходимо загрузиться с ERD Commander, поменять в реестре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell на Explorer.exe

Переименовать или удалить C:\WINDOWS\system32\userinit.exe и изменить имя файла C:\WINDOWS\system32\03014D3F.exe на userinit.exe

Когда загрузите Windows НЕ_открывайте диспетчер задач и просканируйте антивирусом.

Мужики ПОМОГИТЕ !!!! Этот баннер заблокировал полностью все, нет неодной кнопки кроме баннера, даже кнопки пуск нет. При каждой перезагрузке компа он меняет номер телефона, сейчас 8-918-308-54-03.

Ловил много всякого гавна, но такое еще невидил . Даже в безопасном режиме баннер на весь экран.

nazar845 18.06.2011 17:35:
Мужики ПОМОГИТЕ !!!! Этот баннер заблокировал полностью все, нет неодной кнопки кроме баннера, даже кнопки пуск нет. При каждой перезагрузке компа он меняет номер телефона, сейчас 8-918-308-54-03.

Ловил много всякого гавна, но такое еще невидил . Даже в безопасном режиме баннер на весь экран.

кокой?

http://foto.mail.ru/mail...

http://content.foto.mail.ru/...

nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

mrbelyash 18.06.2011 18:27:

nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

nazar845 18.06.2011 18:36:

mrbelyash 18.06.2011 18:27:

nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

http://depositfiles.com/...

mrbelyash 18.06.2011 18:44:

nazar845 18.06.2011 18:36:

mrbelyash 18.06.2011 18:27:

nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

http://depositfiles.com/...

И че спасет только переустановка винды?

nazar845 18.06.2011 18:52:

mrbelyash 18.06.2011 18:44:

nazar845 18.06.2011 18:36:

mrbelyash 18.06.2011 18:27:

nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

http://depositfiles.com/...

И че спасет только переустановка винды?

А прочитать слабо?

Прочитал, потому и спрашиваю .

Почему и как это произошло?

• возможно был отключен антивирус;
• возможно антивирус конкретно эту модификацию еще не знает и поэтому пропустил;
• возможно ты сами его запустил под видом какой-нибудь полезной програмки(например под видом кодека для просмотра видео);
• возможно эксплоит на каком-нибудь любимом сайте вам его тихонько "впарил". И это не обязательно был сайт с порнографией ,а например сайт о музыке (да-да..их тоже взламывают и внедряют вредоносный код,который незаметно установит тебе этот баннер). Почему-то многие сразу же начинают оправдываться и говорить что не ходили на сайт с гомосексуалистами и проч. Не стоит-мы верим,мы знаем как происходит заражение и что можно заразиться в любом месте.

Особенности заражения этим видом Винлока.

• Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины). А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
• Также троян подменяет файлы C:\Windows\System32\dllcache\taskmgr.exe C:\Windows\System32\dllcache\userinit.exe C:\Windows\System32\taskmgr.exe
• Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
• В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
• Прописывается в реестре

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кстати, у этого баннера нет кода разблокировки!!! Автор трояна его умышленно не делал.Так что даже если Вы и отправите злоумышленнику деньги-машину Вам никто не разблокирует....Вот такие пироги....

P.S.

Если что-нибудь не понятно,создайте новую тему в разделе Помощь по лечению

http://forum.drweb.com/...php...

И там задавайте вопросы.

О различных ляпах и стилистических ошибках сообщать сюда mrbelyash@rambler.ru

Где здесь пишет что зделать?

nazar845 18.06.2011 19:18:
Почему и как это произошло?

• возможно был отключен антивирус;
• возможно антивирус конкретно эту модификацию еще не знает и поэтому пропустил;
• возможно ты сами его запустил под видом какой-нибудь полезной програмки(например под видом кодека для просмотра видео);
• возможно эксплоит на каком-нибудь любимом сайте вам его тихонько "впарил". И это не обязательно был сайт с порнографией ,а например сайт о музыке (да-да..их тоже взламывают и внедряют вредоносный код,который незаметно установит тебе этот баннер).

Почему-то многие сразу же начинают оправдываться и говорить что не ходили на сайт с гомосексуалистами и проч. Не стоит-мы верим,мы знаем как происходит заражение и что можно заразиться в любом месте.

Особенности заражения этим видом Винлока.

• Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).

А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.

• Также троян подменяет файлы

C:\Windows\System32\dllcache\taskmgr.exe C:\Windows\System32\dllcache\userinit.exe C:\Windows\System32\taskmgr.exe

• Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
• В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
• Прописывается в реестре

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кстати, у этого баннера нет кода разблокировки!!! Автор трояна его умышленно не делал.Так что даже если Вы и отправите злоумышленнику деньги-машину Вам никто не разблокирует....Вот такие пироги....

P.S.

Если что-нибудь не понятно,создайте новую тему в разделе Помощь по лечению

http://forum.drweb.com/...php...

И там задавайте вопросы.

О различных ляпах и стилистических ошибках сообщать сюда mrbelyash@rambler.ru

Где здесь пишет что зделать?

Скачайте и запустите вот этот файл

http://depositfiles.com/files/f41nezx1y

Здесь должно отображать остальной текст(просто у chm есть кнопочка-скрыть/показать оглавление)

как избавиться от банера требующего пополнить счёт абонента билайн 89688585095 на 500р. ПОМОГИТЕ ПОЖАЛУЙСТА

подскажите срочно пожалуйста лазил я на сайте торрентском вдруг выскочила реклама и я нажал на закрыть но она всёровно открылась!Комп завис и теперь ни одного ярлыка и даже пуска нет только мышка экран чёрный ток баннер висит и прося отправить СМС на номер 89884141397 оператор МТС!Что делать помогите!

ddf 18.06.2011 20:57:
подскажите срочно пожалуйста лазил я на сайте торрентском вдруг выскочила реклама и я нажал на закрыть но она всёровно открылась!Комп завис и теперь ни одного ярлыка и даже пуска нет только мышка экран чёрный ток баннер висит и прося отправить СМС на номер 89884141397 оператор МТС!Что делать помогите!

• http://foto.mail.ru/mail...

Спасите меня пожалуйста .Вобщем дело вот какое -вирус заблокировал вконтакте маил,яндекс вобщем все поисковики пишет вот такое-

Запрашиваемый URL-адрес не может быть предоставлен, так как ваш компьютер подозревается в рассылке спама.

Для разблокировки пройдите на сайт: www.vkontakte.ru

Заблокирован Веб-Антивирусом Причина: рассылка спам сообщений

захожу в контакт а там ето-Ваша страница заблокирована!

Поскольку Ваш аккаунт был взломан и с него происходит рассылка спам-сообщений, мы ограничили Вам доступ. Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что Вы являетесь настоящим владельцем данной страницы.

Инструкция по активации Для активации страницы Вам необходимо воспользоваться платной услугой посредством терминала оплаты.

Внимание! Сумма, зачисленная Вами за активацию аккаунта, попадает на баланс Вашей страницы в виде рублей.

Далее Вы можете распоряжаться ими на Ваше усмотрение, покупка голосов, раздача подарков и т.д.

Инструкция по активации

В hoste все норм он чист а зойти всё равно никуда не могу,проверяла комп на вирусы безрезультатно что мне делать?

Текст Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона 8917-812- 82-04 меняется при перезагрузке каждый раз. Поможет только загрузочный диск или есть варианты. Спасибо

Rina-Ekaterina, Смотреть папку нужно через тотал коммандер, возможно там есть 2 хоста.

Скачать- запустить, далее читайте. Нужно почистить маршруты.

Скачать свежий куреит, выберите режим защиты обычный и сделай полную проверку..

Скачать Запустить ATF-Cleaner -> select all -> empty selected

На всякий, можно и им проверится

И проверь ветку реестра:

• Пуск ==> выполнить ==> в окне набрать Regedit
• Откроется редактор реестра: идём в раздел
• hkey_local_machine\system\currentControlSet\services\Tcpip\Parameters ==> с правой стороны окна находим ключ DataBasePath
• у него должно в значении быть %SystemRoot%\System32\drivers\etc Если не так исправляем

Precher, Записать live cd-Live USB или Erd можете?

• Хард подсоединить к другому компьютеру? Может у вас вторая ОС есть?

Добрый вечер! Помогите пожалуйста!!! На экране появилась такая запись: Windows заблокирован! Микрософт сикьюрити обнаружил нарушение использования в сети интернет. ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия. Для разблокировки windows вам необходимо оплатить штраф в размере 80 грн. Для того, чтобы оплатить штраф необходимо отправить смс с текстом Win1730@ya.ru 1732 activa MTC 1010, 555 Kievstar. После чего на ваш телефон в течении 10-15 минут придет ответное смс с номером счета для оплаты.

ПОМОГИТЕ!!!! За ранее спасибо!

Помогите убрать банер! заблокировал все даже дисковод!!! Написано ваш компьютер заблокирован за просмотр, и копирование, тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокера вам необходимо оплатит штраф в размере 400 руб. на номер МТС 8-911-286-01-15. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку разблокировать. После снятия блокировки вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен , все данные на вашем персональном компьютере будут безвозвратно удалены, а дело передано в суд для разбирательствапо статье 242 ч. 1 УК РФ Перезагрузка или выключение компьютера приведет к незамедлительному удалению всех данных , включая код операционной сисиемы и BIOSс не возможностью дальнейшего восстановления

^ Заблокирован даже дисковод

grinopas 21.06.2011 08:36:
^ Заблокирован даже дисковод

и что смешного????

nastay 21.06.2011 08:38:

grinopas 21.06.2011 08:36:
^ Заблокирован даже дисковод

и что смешного????

Да так, нечего

Большое спасибо FOKINMAX.Благодаря его подробным подсказкам мне уда.лось ликвидировать ТРОЯН 3481. Очень благодарен за оказанную помощь.

баннер с номером 9032805492 просит чтобы перечислили на счет ему 500 рублей.Прошу помогите мне а то я все перепробывал.на 7 винде! ((*(((((

digintrator2 21.06.2011 17:13:
баннер с номером 9032805492 просит чтобы перечислили на счет ему 500 рублей.Прошу помогите мне а то я все перепробывал.на 7 винде! ((*(((((

как выглядит? http://foto.mail.ru/mail...

Trojan.Winlock.3481

digintrator2 21.06.2011 17:29:
Trojan.Winlock.3481

коды пробывать все

http://forum.drweb.com/index.php?s=&showtopic=292921&view=findpost&p=521947

попробывал нечего не вышло(((((

digintrator2 21.06.2011 17:41:
попробывал нечего не вышло(((((

Livecd

воодится только большими буквами

и не подходит

digintrator2 21.06.2011 17:51:
и не подходит

http://www.cforum.ru/t4/...

Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!

Толяныч196565 21.06.2011 19:12:
Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!

Спросите у разработчика антибанера....Оне ж теперь еще за свое поделие деньги требуют

Толяныч196565 21.06.2011 19:12:
Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!

• Эта проблема решаема...
• По вашему сообщению следует, что комп грузится только в безопасном режиме.....так?
• Поэтому:
• Загружаем компьютер в безопасном режиме
• Запускаем реестр (Пуск/выполнить/regedit)
• Открываем ветку: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
• В правом окне щелкайте правой клавишей мыши на GinaDLL и нажимайте удалить.
• Перезагрузка компьютера и вход в обычном режиме

digintrator2 21.06.2011 17:51:
и не подходит

Live cd - это не код

Народ, вновь обращаюсь за помощью( Банер вылез резко про педофилию и прочую хрень((( Смс на номер МТС 8-918-202-76-34... Помогите, пожалуйста

ДеSин 21.06.2011 21:44:
Народ, вновь обращаюсь за помощью( Банер вылез резко про педофилию и прочую хрень((( Смс на номер МТС 8-918-202-76-34... Помогите, пожалуйста

Картинку покажи http://foto.mail.ru/mail...

http://foto.mail.ru/...html... Вот такая, только номер другой

ДеSин 21.06.2011 22:20:
http://foto.mail.ru/...html... Вот такая, только номер другой

http://www.cforum.ru/t4/... Пишите если что непонятно :)

Я это скачал, но не знаю блин как в BIOS зайти... Столько конфигураций уже перепробовал.(((((

ДеSин,

• f8 или f11 ?
• Должно выйти синие вроде окошечко с выбором загрузки.
• А биос должен заходить в начале загрузки смотри на какую клавишу. В основном это клавиши delete, f2, f12

del помог. спасибо. сейчас буду тыркаться дальше

А в каком разделе на flash-ку можно перейти?

Раздел boot ==> first divice что-то вроде этого. Где привод и жёсткий твой, там и на флешку можно поменять загрузку