forum.rastrnet.ru  

Вернуться   forum.rastrnet.ru > Компьютеры и всё, что с ними связано > Техподдержка

 Сообщения за день       Добавить альбом       Поиск      Правила форума  


Ответ
 
Опции темы Опции просмотра
Старый 07.03.2010, 19:03   #11
Trent Reznor
Сердце из метала
 
Аватар для Trent Reznor
 
Регистрация: 05.07.2006
Сообщений: 999
По умолчанию

Цитата:
Сообщение от NormanJet Посмотреть сообщение
свежий cureit! Тебе в помощь: http://www.freedrweb.com/download+cureit/
А вообще какие цыфры требует отправить и на какой номер смс-ку?
3236898 на 8353

Цитата:
Сообщение от Gorynych Посмотреть сообщение
Редактор реестра,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
проверь ключи Shell, значение должно быть explorer.exe, если есть еще что-то, правь.
Ключ Userinit значение CWindows\system32\userinit.exe, если после запятой есть что-то еще, правь.
Боюсь правда баннер тебе мешать будет, пробуй загрузку в безопаске. Хотя думаю либо заблокирована, либо баннер и там вылезет. Описанный выше способ ему позволяет это сделать.
В общем то что написано вверху я не понял как делать, в смысле как в реестр войти не знаю. Зашел в безопасный режим, баннер не появился. Далее в нужную папку, щелкнул по userinit.exe. Выскочило "Путь"rundll32.exe rjuq.mpo owbtiln" не существует или не является каталогом".

После загрузки системы баннер появляется через ~1,5-2 секунды. Если не успел сделать соединение растра, то надо делать перезагрузку и пытаться уложиться в это время потому как баннер перекрывает его. Хорошо хоть успеваю
__________________
Trent Reznor вне форума   Ответить с цитированием
Старый 07.03.2010, 21:02   #12
Gorynych
флудер
 
Аватар для Gorynych
 
Регистрация: 25.09.2004
Сообщений: 5,063
По умолчанию

Если в безопаске его нет, то в реестр может и потребности лазить нет. Хотя на всякий случай глянуть стоит.
В безопаске чисти автозагрузку. Не спрашивай как
Gorynych вне форума   Ответить с цитированием
Старый 08.03.2010, 07:34   #13
Forbrak
Рид онли
 
Аватар для Forbrak
 
Регистрация: 05.07.2006
Сообщений: 1,307
По умолчанию

У знакомого такая фигня случилась на буке. Тупо пришел курейт принес, все вычистило. Тоже фигня с смс на большую часть экрана. В безопаске кстати действительно не было. Там виста.
Курейт аж 3 штуки выкопал, с разными версиями вроде ((%
И вообще, эта фигня вроде на IE завязана и ставится она через плагин адоба. Я кстати позже читал, что у адоба в плагинах дыры нашли, через которые вирусню засылают. Типо лазишь по сайту, бац типо, установите новую версию там пдф плагина или еще чего. И после следующей перезагрузки получаешь знакомый экран.
У чела не всплывало долгое время, т.к. он бук усыплял, а не отключал. Потом после перезагрузки и появилось.

У меня у самого Firefox, ниразу не схватывал, даже с отключеным антивирусом.
__________________

Последний раз редактировалось Forbrak; 08.03.2010 в 07:44.
Forbrak вне форума   Ответить с цитированием
Старый 12.03.2010, 21:53   #14
Forbrak
Рид онли
 
Аватар для Forbrak
 
Регистрация: 05.07.2006
Сообщений: 1,307
По умолчанию

Цитата:
Сообщение от Gorynych Посмотреть сообщение
BingO, если б это был порно баннер.. Он вроде про такое не писал. Кста порнобаннерки устанавливаются абсолютно добровольно.. Все условия прописываются на сайте еще до установки. Но любители помастурбировать на все соглашаются не глядя. Это даже винлоком называть язык не поворачивается, тупо файлик в автозагрузку пишется, в безопаске не грузится. Находится легко, стоит посмотреть что нового в автозагрузке.
Тут недавно челу такуюже фигню убирал, в автозагрузке все отрубил, но всеравно всплывало, только после того как сервис неизвестный вырубил, тогда пропало.
Чел бук принес, у него виста автоматически мой моник как второй подсоединила, и я на моем монике все делал, банерка особо не мешала. Да и мне не напряжно, на монике несколько интерфейсов входных, шнур с ВГА просто так болтается.
Ах да, и курейтом не находит, помогло только выключение сервиса. И в реестре там где вы писали не было.

И скажу, ну и виста муторная ппц, неудобная. Я в ней ниразу не работал. 7-ка такаяже? А то я подумывал поставить 7-ку.
__________________

Последний раз редактировалось Forbrak; 12.03.2010 в 22:05.
Forbrak вне форума   Ответить с цитированием
Старый 15.03.2010, 12:51   #15
Gorynych
флудер
 
Аватар для Gorynych
 
Регистрация: 25.09.2004
Сообщений: 5,063
По умолчанию

Из муторного в семерке только UAC (оно же в висте есть), вроде как полезная в плане безопасности штука, но кайф от общения с ней явно не словишь..

Цитата:
Сообщение от Forbrak Посмотреть сообщение
только после того как сервис неизвестный вырубил, тогда пропало.
Йех.. Подробностей я так понимаю ждать смысла нет? А еще бы саму заразу б кто-нить дал, треба для изучения, и скорейшего добавления в базы ав..
Gorynych вне форума   Ответить с цитированием
Старый 15.03.2010, 13:13   #16
BingO
Delta-9 TGK Support
 
Аватар для BingO
 
Регистрация: 31.10.2009
Сообщений: 302
Отправить сообщение для BingO с помощью ICQ
По умолчанию

Ну это всё о баннерах разговор, которые на пол экрана, а я вот недавно к типу пришёл, он тоже говорит мне по телефону типа выскакивает заставка с просьбой отправить смс, всё как обычно вроде, я даже диск системы брать с собой не стал, пришёл значит к нему, а у него когда комп загружается какая-то программа подменяет собой explorer.exe и получается что сразу после приветствия появляется заставка на весь экран, и в ней текст со смыслос отправить смс, окошко для ввода чего-то там и кнопка отправить, всё, ничего не работает, в безопаснике такая же фигня. В итоге я уже думал придётся менять систему, но захотелось потыкаца, далее обнаружил что если нажать на отправить то появляется окно с ошибкой типа я ничего не ввёл, в этот момент получается выудить диспечер задач стандартным нажатием, оттуда убил процесс этот - рабочего стола нет. Ну а далее по наклонной - выполнить\msconfig\восстановление системы... И всё нормально заработало, главное было до отката добраться ))
__________________
Jungle Is Massive
BingO вне форума   Ответить с цитированием
Старый 15.03.2010, 13:59   #17
Gorynych
флудер
 
Аватар для Gorynych
 
Регистрация: 25.09.2004
Сообщений: 5,063
По умолчанию

Цитата:
Сообщение от BingO Посмотреть сообщение
когда комп загружается какая-то программа подменяет собой explorer.exe
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
проверь ключи Shell, значение должно быть explorer.exe, если есть еще что-то, правь.
Дык вот так и делает алкид лив сд, удаленная правка реестра. Твой способ порадовал, но походу тебе зараза не совсем свежая попалась.
http://www.madbadjack.com/forum/show...027#post133027
Вот эта какашка так же подменяла собой експлорера, но до кучи и блокировала диспетчера задач.. Я сначала не разобравшись какашку снес, потом долго понять не мог, какого лешего на экране кроме обоев рабстола ничего нет

Последний раз редактировалось Gorynych; 15.03.2010 в 14:02.
Gorynych вне форума   Ответить с цитированием
Старый 15.03.2010, 14:06   #18
BingO
Delta-9 TGK Support
 
Аватар для BingO
 
Регистрация: 31.10.2009
Сообщений: 302
Отправить сообщение для BingO с помощью ICQ
По умолчанию

Цитата:
Вот итог. Зараза селится в
CWINDOWS\system32\user32.exe
блокирует диспетчер задач, и в реестре меняет ключик, в винлогоне
параметр Shell значение %SystemRoot%\system32\user32.exe вместо explorer.exe
Она селилась там немножко в другой папке, гдето в WINDOWS\system32\ создавала свой каталог и при удалении файлы появлялись поновой А на скрине да, чтото похожее, принцип работы у них наверняка схожий.
P.S. Мне парень тоже не признался, где нашёл такое :-D
__________________
Jungle Is Massive
BingO вне форума   Ответить с цитированием
Старый 15.03.2010, 17:53   #19
Format c:/
Cisco
 
Аватар для Format c:/
 
Регистрация: 04.11.2005
Сообщений: 2,111
Отправить сообщение для Format c:/ с помощью ICQ Отправить сообщение для Format c:/ с помощью Skype™
По умолчанию

http://www.drweb.com/unlocker/index/?lng=ru - помогает моим знакомым через меня уже 5ый раз =D
__________________
Format c:/ вне форума   Ответить с цитированием
Старый 15.03.2010, 18:14   #20
Gorynych
флудер
 
Аватар для Gorynych
 
Регистрация: 25.09.2004
Сообщений: 5,063
По умолчанию

Угу, помогает, если уж на то пошло, 88005550102, служба поддержки коротких номеров. Там коды раньше узнают. Вот только задумайся о том, как дрвебовцам лкашникам и прочим попадают номера и коды?
http://www.rastrnet.ru/net/epidemiya...rojan-winlock/
Один из вариантов. Т.е. сначала куча народу это словит, отошлют смс, получат код, потом поделятся с этими "добродетелями".
Шанс что ресурс поможет есть, и не хилый Если словил заразу, когда она уже не очень свежа. я видать везунчик, ко мне уже несколько раз обращались люди, когда заразу еще ни один антивирь не детектил. Поверь, кака в базы раньше добавляется, чем на сайте появляется код разблокировки
Пару раз отслеживал, выцепляю заразу, понимая где может сидеть, нахожу ее, 2-3 дня, и она уже детектится большей частью антивирусников, через неделю уже почти все каку видят.
Gorynych вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Спам в ICQ MooveR Техподдержка 26 03.10.2008 13:59
Спам Mak Техподдержка 1 18.09.2008 17:46
Спанч боб, Котопёс. MAXxX В поисках Фильма 1 14.03.2007 19:32
Спам save_me Нескучный Сад 22 23.02.2007 22:31
Спам Kron1C Новости высоких технологий 4 23.03.2005 18:19


Текущее время: 04:44. Часовой пояс GMT +7.


Powered by vBulletin® Version 3.8.4 Patch Level 5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Форум открыт в июле 2004 г.
Кошки и котята Красноярска и Сибири Живой Мир Сибири