Искатель наслаждений | ||||
Только что избавился от баннера. Правда, "доброго" - желтенький, на четверть экрана, тормозил комп жутко и диспечтер задач блокировался, мозилла не запускалась, но эксплорер открыть не помешал. С помощью этого форума вышел на http://www.drweb.com/unlocker/index/ , ввел сгенерированный программой после набранного мной номера "вымогателя" номера - и помогло, зараза исчезла... Ну и на всякий случай - скрин бывшего у меня баннера, вдруг интересно будет кому. Хостинг фото Всего фото в этом сете: 2. Нажмите для просмотра. Подцепил не на порносайте - кино на свою голову он-лайн посмотреть захотел, ужастик - не успел запомнить даже, что за сайт. Посмотрел, млин... В основном на то, как мне моментально устанавливается некое приложение java, которое я не заказывал, потом возникает черное окно с командной строкой, где прописывается какая-то команда про "kasper/zaebal.exe", ну а потом и возникает этот замечательный баннер... |
||||
zatejnik | ||||
принесли ноутбук с таким вот хитрым зверем Хостинг фото сидит в трее и просит обновления баз. типа антивирус это. AVZ запускать не даёт Хостинг фотографий Всего фото в этом сете: 7. Нажмите для просмотра. и доктора веба использовать не удаётся. Через 10 - 15 мин перегружает систему. В безопасном режиме тоже. Случайно получилось обиануть. Стал устанавливать даймонтулс, и во время установки система попыталась перезагрузиться, но перезагрузки не произошло, а только вирус отключился. запустил AVZ провёл лечение но после перезагрузки вирус опять вылез логи |
||||
Vertigo | ||||
Выполните скрипт и повторите логи вместе с логами HiJackThis:
|
||||
zatejnik | ||||
а как AVZ запускать , когда вирус не даёт? выводится окно. https://www.backbook.me/photo/15741494b8 что приложение закрывается с критической ошибкой опять ловить на перезагрузке? чтобы он сам отключился? по другому можно подступиться? |
||||
Vertigo | ||||
Пуск-msconfig-автозагрузка-снимите галку с pcdef.exe, оно кажется не будет сопротивляться. И ребут, потом попробуйте. И надо было хайджека логи выложить. |
||||
JeyLo | ||||
Вертиго, есть полиморфный AVZ. Для справки. | ||||
Adamar | ||||
Как правило достаточно avz.exe переименовать в 1.exe | ||||
JeyLo | ||||
Да, помогает. Против школьных "вирусов", написанных соседским мальчиком за конфетку. |
||||
zatejnik | ||||
что за полиморфный? и где его взять? |
||||
JeyLo | ||||
скрытый текст |
||||
zatejnik | ||||
почему у этой версии обновление баз неактивно? не надо их теперь обновлять? |
||||
JeyLo | ||||
Ничего не надо. Он сам в себе и всегда с разными сигнатурами, что позволяет обходить вирусы. | ||||
zatejnik | ||||
после лечения утилитой Доктор веб |
||||
Vertigo | ||||
Выполните скрипт в АВЗ:
В HijackThis fix checked:
И повторите логи. |
||||
ViRusLan | ||||
хммм. вообще то это называется информер, а не банер | ||||
zatejnik | ||||
опять проблема схожая на ноутбуке. на этот раз экран полностью закрыт, и до раб стола добраться на получается. получилось загрузится в безопасном режиме с поддержкой командной строки. есть возможность удалить вирус с её помощью? |
||||
JeyLo | ||||
Как заблокированный экран выглядит? И после того, как удалим, обновите, наконец Adobe Flash Player и Adobe Acrobat Reader. http://www.drweb.com/unlocker/index/?lng=ru http://virusinfo.info/deblocker/ http://www.esetnod32.ru/.support/winlock/ Это сообщение отредактировал JeyLo - 10-01-2011 - 21:38 |
||||
zatejnik | ||||
экран занят фото машины, и по центру окно в котором написано, что виндовс заблокирован, и далее стандартные требования оплаты. курсор ограничен в этом окне. Adobe Flash Player и Adobe Acrobat Reader. обновлю. дело в том что ноутбук знакомых, и в прошлый раз они его утащили недоделанным.... |
||||
JeyLo | ||||
Машины? Короче по первой ссылке пройдите, и выберите наиболее подходящий вариант. Потом AVZ и все как обычно. Если не получится, что создайте пользователя в консоли. net user cure 111 /add net localgroup Administrators /add cure rundll32 netplwiz.dll,ClearAutoLogon Вместо Administrators может быть Администраторы. После перезапуска войдите пользователем cure с паролем 111. Ну и AVZ. На дурака можете попробовать: cd .. до тех пор, пока не выдете в корень C: потом cd program files dir *.exe если есть в корне исполняемые файлы, удаляйте del имя_файла потом cd %appdata% dir *.exe если есть в корне исполняемые файлы, удаляйте del имя_файла .. вот. как-то так. :) Это сообщение отредактировал JeyLo - 10-01-2011 - 21:50 |
||||
zatejnik | ||||
окно блокировки снять получилось но рабочего стола нет. только обои диспетчер задач вызывается как запустить антивир? попробовал сканер др веб запустить с флэшки через диспетчер, но система подумала, а запускать ничего не стала Это сообщение отредактировал zatejnik - 10-01-2011 - 22:00 |
||||
JeyLo | ||||
Флешка есть? Скачайте туда Переименуйте в iexplore.pif, запишите на флешку. Вставьте флешку в зараженный компьютер. На зараженном компьютере через диспетчер задач запустите консоль. Или просто "Файл-выполнить" и запустите полиморфную версию AVZ. Далее файл-мастер поиска и устранения проблем, все проблемы для "системные", поиск, отметить все и выполнить. Перезагрузка, стандартные действия. |
||||
JeyLo | ||||
Я уже три часа жду.... Хоть в кота напишите, ждать дальше или нет? Это сообщение отредактировал JeyLo - 11-01-2011 - 02:21 |
||||
ctarr5 | ||||
Мда, троян винлок подлый вирус, бороться с ним можно, но я знаю 2 способа: 1.Зайти на сайты доктор веб, nod32, касперский и там уже удалять этот вирус(действовать надо по инструкции которая на сайте). 2.Самый действенный, переустановить систему. |
||||
zatejnik | ||||
простите пожалуйста, за то что исчез, не получилось сразу вчера всё доделать. после исправления проблем AVZ, установил NOD32 который нашёл четыре десятка разнообразной нечисти. вот логи после лечения |
||||
JeyLo | ||||
Лог из серии "как не надо делать со своей системой".
|
||||
zatejnik | ||||
скрипт выполнен. есть ещё проблемы? |
||||
Vertigo | ||||
Почему бы еще не сделать логи HijackThis? | ||||
zatejnik | ||||
думал что avz достаточно англ программы не люблю.... сделал вот логи HijackThis скрытый текст |
||||
JeyLo | ||||
Fix C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RtkBtMnt.exe F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\cuvdsw.exe,C:\WINDOWS.0\system32\lhfzyex.exe,C:\WINDOWS.0\system32\loncfal.exe,C:\WINDOWS.0\system32\waxvgfm.exe Проверьте через virustotal: C:\WINDOWS.0\system32\bcjqnbnl.dll
Это сообщение отредактировал JeyLo - 12-01-2011 - 23:14 |
||||
Vadim2268 | ||||
Добрый вечер! Вот и я столкнулся с этой гадостью... знакомая поймала на домашнюю машину. Значит история такова, машина грузится без проблем, появляется рабочий стол, все значки и файлы.... и тут те стартует (стартует с автозапуска) какая то гадость и сразу же разворачивается на весь экран, весь экран черный а по середине знакомый текст... отправьте смс, если у вас такой то оператор то на такой номер, а если такой то на такой... и еще какой то счет если смс не устраивает...)) Внизу форма для ввода кода и кнопка - "Снять блокировку". Вверху никаких оглавлений типа - ВНИМАНИЕ, нет. Пробовал воспользоваться помощью генератора на сайте касперского - не помогло. СМС-блокер полносью блокирует машину, никада зайти не возможно и естественно ничего нельзя запустить, в безопасном режиме таже фигня. Сносить винду нет желания, может будут какие мысли??? Как вариант завтра планирую подключить винт в другой машине и так просканировать... Пы.Сы. во время заражения на компьютере успешно работал касперский (КИС) Это сообщение отредактировал Vadim2268 - 17-01-2011 - 20:50 |
||||
JeyLo | ||||
Не надо сносить винду. Посмотрите ссылки чуть выше Вашего поста. А потом, как обычно, логи, согласно правилам. | ||||
Vadim2268 | ||||
|
||||
Vadim2268 | ||||
Ага, понял, что вы имели введу... Но тут такое дело, я уже снял с машины винт и завтра уже планирую просканировать на другой машине, подключив его вторым винтом... что посоветуете в таком случае??? |
||||
Vadim2268 | ||||
Подключил вчера винт к другой машине и просканировал диск С утилитой - Kaspersky Virus Removal Tool. Нашло две вот таких гадости: -Обнаружено: Trojan-Downloader.Java.Agent.ij G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\14\deeece-650174a0/applet.class -Обнаружено: Trojan-Downloader.Java.OpenConnection.cu G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\51\54190e73-7cad79d9/folder/Globus.class После чаво проблема исчезла... но при включение все равно запускает из автозапуска эту гадость, но разумеется пишет, что бла бла не найдено и нажав кнопку "ОК" пропадает... Изучение автозапуска через Выполнить, а так же в спеске автозапуска через AVZ ничего такого не нашел... посему оставил как есть... пока работает... Пы.Сы. вот так детки рефераты в школу искали...)) |
||||
Столкнулся с очень серьезным винлоком.Баннер как всегда просил денег.И не коды, не изменение системной даты не помогали.Простое изменение значений реестра тоже(этот гад пр перезагрузке все восстанавливал!)Но.....Итак 1)Запускаем без.режим с поддержк.ком. строки.2)Запускаем дисп.задач(ctrl+alt+del)иоткрываем новую задачу 3)пишем regedit изаходим в реестр.4)далее HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENT VERSION/WINLOGON проверяем 3 параметра- SHELL=explorer.exe SYSTEM=(пусто)USERINIT=последняя exe, (после запятой все удалить).5)Опять идем в диспетчер устройств-новая задача-msconfig.6)Во вкладке автозагрузка снимаем флажки там где нет Windows и Program Files 7)Дисп.задач -новая-control.exe-открываем панель управления-показать скрытые папки и файлы,отключить восстановление системы(если включено)8)Дисп.задач- обзор-заходим в диск С/Windows/Temp-зараза там.удаляем незнакомое(а лучше всю папку!!!)и содержимое папки System volume Information(если такая имеется)9)ПЕРЕЗАГРУЗКА 10)Гад исчез,но еще не совсем.Скачиваете Dr.Web Curelt и чистите систему... Бывает что для разблокировки хватает п.3 но не всегда.Самая главная гадость -он может заблокировать доступ к антивирусным базам! Кто знает подскажите как деблокировать |