Автор | Сообщение |
БАРК
Старший модератор
Сообщения: 13337
|
RomanRB, Подкинь к другому компу, затри плейер вместе с вирусом чем нибудь типа Unlocker , EasyCleaner или File Shredder ... |
|
Nabi
|
БАРК писал: | затри плейер вместе с вирусом чем нибудь типа Unlocker |
Unlocker-это вещь!
-Сам юзаю давно... Но, вряд-ли поможет в данной ситуации...
Nabi писал: | RomanRB писал: | Он прописался в одном из плееров. |
Вряд-ли в программ файле...Скорее, в виндовской папке... |
|
|
RomanRB
Модератор
Сообщения: 29338
|
Сегодня винт в лабораторию отвез. К вечеру сказали будет результат. Либо положительный, либо отрицательный....... |
|
Nabi
|
RomanRB, восстановил винт? |
|
RomanRB
Модератор
Сообщения: 29338
|
Nabi, Нет. Взял комплекс у ребят PC-3000. Буду сам восстанавливать.........Ну не нравиться мне, как БМГ работает........ |
|
Maksimov
Передовик
Сообщения: 2154
|
Как известно Виндоуз крайне дырявая программа, этим и пользуются мошенники из Интернета. Нашими поисками и усилиями было установлено, что зловреды устанавливают баннеры в директорию "C:\WINDOWS\system32\config" заменяя исходные файлы своими вирусами-шантажистами. А вот обратно заменить их родными системными файлами нельзя. Тут и 1000 рублей не поможет. Потому что уже испорчен реестр Windows, отключены Службы компонентов и Антивирус. Даже при завершении процесса работы вируса, после перезагрузки он опять заблокирует Windows, так как загрузился и распаковался вирус в директории "C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp".
Как Сломать вирус вымогатель.
Открыть реестр
regedit
Искать
userinit
Открыть не его а
Shell
Там путь к вирусу, вписать надо
Explorer.exe
Вымогатель работать не будет. |
|
-20 dB
Фанат форума
Сообщения: 7674
|
Maksimov, это откуда цитата? Я вот давеча комп пытался полечить челу... Баннер висит даже в безопасном режиме... И каким макаром в такой ситуации "открыть Регэдит"? Чистил комп AVZ'ом, зайдя с внешней ОС (BarPE от VasAlex), выгреб дохрена мусора, но баннер так и остался. Неубиваемый, сволочь. И где прописался - ХЕЗ. Редактор реестра у AVZ есть свой, встроенный. Однако как в нём открыть и отредактировать реестр неактивной в данный момент Винды? |
|
m.ix
Master Mixa
Сообщения: 1972+
|
Однако как в нём открыть и отредактировать реестр неактивной в данный момент Винды?
======================================
ERD для своей винды можно поюзать.
И код ввести по виндой.
Но с другой винды на другой машине. |
|
-20 dB
Фанат форума
Сообщения: 7674
|
m.ix, ты не понял. В системе в данный момент работает Винда... Но не с того диска, который я пытался "полечить", а Portable, запущенная с BartPE. Задача - в этой, запущеной Винде каким-то образом открыть и отредактировать реестр той Винды, которая на диске. При работе Portable, "основная" Винда мертва (тупая мёртвая куча папок и файлов), и удалять спокойно можно что угодно, любые, даже системные, файлы можно стереть, как надоевший текстовый файл (только бы при попытке запустить эту Винду снова не пожалеть о такой лёгкости...), можно удалить хоть весь реестр, но вот как открыть его в знакомом редакторе, "починить" и сохранить в таком виде? Ибо сам я в реестре не специалист, и ползать по реестру без редактора как-то не приучен, а редактор реестра Винды с Bart'а и реестр открывает ЕЁ же, как и редакторы реестра программ, под ней запущенных...
ДОБАВЛЕНО 14/02/2011 7:15 AM
Да, собственно, скорее всего зря спрашиваю - у Maksimov, видимо, подразумевается, что до реестра можно добраться хотя бы из безопасного режима. В случае же сегодняшнего товарища - без внешней ОС к компу подступиться вообще никак невозможно. Значит, скорее всего, и адварь в нём сидит другая, и этот ключик искать бесполезно... Но попробовать-то можно. Пыпытка - не пытка... |
|
VikBel
Старший модератор
Сообщения: 5377
|
|
-20 dB
Фанат форума
Сообщения: 7674
|
VikBel, интересно. Доберусь снова до этого компа - попробую. Если, конечно, хозяин к тому времени не воспользуется моей рекомендацией и не отнесёт комп в СЦ (посылать деньги уродам я его отговорил стопроцентно - под предлогом того, что, во-первых, не факт, что какой-то код разблокировки он получит, а во вторых - что каждая отправка бабла вымогателям стимулирует их к развитию технологий: на своём компе первый баннер я удалил на мах, со вторым геморроился четыре часа, а вот с этим баннером вообще сладить моих скромных познаний не хватило - прогресс технологии налицо. Лучше вдвое переплатить специалистам, чем хоть копейкой стимулировать ублюдков).
"Три заветные" жать пробовал, правда, уже после третьей бутылки пива (потом ещё три было), а потому - помню, что не работает... но хоть убей, не помню, как именно не работает, в смысле - мелькало ли вообще окно диспетчера. Хотя, картинка несколько другая, возможно, и реакции на три кнопки вообще не было (таки, квалификация ублюдков, поддерживаемая финансовым притоком, развивается несколько скорее, чем моя, развиваемая от случая...). Смутно помнится, что клавиатура вообще заблокирована. Впрочем, и наличие виртуальной клавиатуры в окне стимулирует это воспоминание. Фото окна при запуске в безопасном режиме прилагаю.
ЗЫ: кстати, в этом окне ВО ВСЕХ режимах курсор перемещается ТОЛЬКО в пределах активного (синего) окна, так что как таковым "баннером" эту адварь уже назвать не повернётся язык. Это уже полноценная программа. Это во-первых. Во вторых. Поскольку мужичок изначально боится тыкать кнопки на компе, и ползает по Инету только по триста раз хоженым новостным сайтам, маловероятна самостоятельная "подмотка" этой адвари непосредственно с этих сайтов... Зато при чистке на компе обнаружены (и успешно удалены) три трояна...
|
|
m.ix
Master Mixa
Сообщения: 1972+
|
Задача - в этой, запущеной Винде каким-то образом открыть и отредактировать реестр той Винды, которая на диске.
==============
ERD
Вводим-Скармливаем то что твой синенький экран просит
Для этого заходим туда где есть ключЪ для этой бяки.
И работаем далее, после вычиски и скана системы.
В системе много мест где может прятатся зараза в тех же (системных) папках. |
|
OlegLOA
Завсегдатай
Сообщения: 577
|
Есть много разных загрузочных дисков с Win PE но вроде именно на Bart PE есть какой-то мелкий сторонний редактор реестра (вот чей, не помню), который при запуске спрашивает какой реестр редактировать, и можно указать что не BartPE а тот что на винте. Пользовался неоднократно, но давно. |
|
m.ix
Master Mixa
Сообщения: 1972+
|
OlegLOA, как раз ERD для своей оси нужен
Для начала скормить то что хочет синий экран |
|
-20 dB
Фанат форума
Сообщения: 7674
|
А-а-а-а! А я нашёл чит-коды для разблокировки компов! Очень рекомендую: http://support.kaspersky.ru/viruses/deblocker
Если ублюдки не просят посылать СМС (как в вышеописанном случае), поле СМС оставить пустым. Номер телефона вводить в произвольной форме (через тире или все цифры подряд).
Хреново только, что тут же не приводятся данные о том, какие файлы удалить и какие ключи реестра изменить в каждом конкретном случае, т.е мина таки остаётся на компе. Впрочем, это уже не моя проблема - пиво я отработал честно, совесть очищена (если, конечно, код подойдёт... но у меня третий час ночи - не осчастливливать же среди ночи бедного юзера)! Уря!
Кстати, пора бы уже как-то именовать эти адвари (по типу вирусов), а то форум у Касперского большой, у AVZ - ещё больше, по чистке многих адварей рекомендации даны, но искать "свою" бяку по картинкам - это уж слишком...
|
|
OlegLOA
Завсегдатай
Сообщения: 577
|
m.ix, я так и не понял что ты имеешь в виду "скормить то что хочет синий экран"
Пополнять никому никуда не собираюсь как и платные СМС отсылать
-20 dB, у DrWeb на сайте тоже есть такие "чит-коды", если что - можно еще там посмотреть |
|
m.ix
Master Mixa
Сообщения: 1972+
|
OlegLOA, Там же бАльшими буквами начертано
На экране |
|
RomanRB
Модератор
Сообщения: 29338
|
-20 dB, Ром, привет!!! Да кстати, вот тот скрин что ты выложил-это он и есть. Цеплял я винт к другой машине, антивирь мне нашел в Sis32 один зараженный файл. Ну я его как и полагается-грохнул!!!! Но результат-нуль!!! Коды я пробовал подбирать-тож ноль. И как уже писал-не нравиться мне как БМГ "шуршат". Сегодня вот тока приехал, пока не занимался. Вот высплюсь-потом посмотрим.... |
|
-20 dB
Фанат форума
Сообщения: 7674
|
RomanRB, ща позвоню товарищу - если с работы пришёл, проверю чит-код от Касперского (ссылка выше).
Выше уже писал - тоже три трояна "выселил" - не помогло. Название одного трояна явно навевает мыслю, что он-то и подселил прогу-блокиратор:
Trojan-Downloader.Win32.Geral.sql
А судя по названию второго - он-то и был дистрибутивом блокиратора:
Trojan.Win32.StartPage.ahtb
(Названия вирусов по отчёту AVZ, который, если я не ошибаюсь, пользуется классификацией Касперского.
Дистрибутив-то я удалил (как и троянского коня), а вот установленный блокиратор сидит намертво. Короче, ща позвоню страдальцу. Если у тебя заражённый комп под рукой - код разблокировки (если указан тот же телефон): 16342131 |
|
RomanRB
Модератор
Сообщения: 29338
|
-20 dB, Не Рома.... Номер телефона не тот. 8-903-172-09-94 |
|
|