СМС за разблокировку компьютера (информеры)
Было дело, словил на какимно из видеосайтов, точнее жена захотела кино поставить, а там предложили установить кодек, типа его не хватает для просмотра. В результате на весь экран окно темно-красного цвета с надписью, что-то типа: вы добровольно установили какую-то программу, которая закрыла выход в инет и заблокировала антивирус, не пытайтесь ее обмануть иначе компу п*ц, отправьте смс , короче дальше ничего нового не скажу, хотел снести систему и постановить с образа через акронис, но она и его заблокировала.
Запустился в безопасном режиме, нашел прогу эту в установках и удалениях программ (через панель управления) и снес. в безопасном режиме окно не выскакивало, после перезагрузки все ок, прошло уже около 2-3 месяцев, никаких воспоминаний
Здравствуйте,недавно словил баннер с предложением просмотра ХХХ сайта,баннер не убирался,чтобы убрать предлагалось отправить СМС с текстом ХХХХХХХХХХ на номер 8353. Вылечилось так- удалил файл feeder, лежать должен здесь - C:\SysFiles\Opera\feeder.js
кто-нибудь из поймавших Winlock пользовался IE8?
Или это беда только предыдущих версий Интернет Эксплорера?
это беда глупых рук, которые подписываются на установку непойми чего, непойми откуда. чаще всего это называется “новая версия флэш проигрывателя”, или “кодеки для просмотра порно”.
тип браузера совершенно не влияет.
руки - само собой, надо соображать чего ставишь, но тип браузера влияет.
ИЕ6 дырявый - это факт, ИЕ7 менее дырявый, но глюкавый, а на ИЕ8, вроде, особо никто не жалуется, да и к тому же в нем антифишинг какой-никакой встроен. Тем не менее, полно юзеров, которые не только продолжают работать с ИЕ6, но и просто не знают какой он у них версии.
Поэтому мне интересна статистика.
…Тем не менее, полно юзеров, которые не только продолжают работать с ИЕ6, но и просто не знают какой он у них версии.
Поэтому мне интересна статистика.
У всех знакомых кто подцеплял такую бяку стоял штатный 6-й И-Экслорер. После лечения пересаживались на Оперу. 😃
аха… интересно, спасибо. Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем, т.к. Винлоки могли пользоваться известными уязвимостями ИЕ6, на некоторые из которых, кстати, сильно ругался недавно Гугл (то ли их самих ломали, то ли их пользователей - я не помню и не разбирался).
.Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем…
Пяток знакомых машинок цепляли под ИЕ8:(, после лечилки я им всем прикрутил Мозилу:)
да, не очень приятно 😦
Причем, один из моих знакомых совсем недавно поймал синий винлок с исправно работающим корпоративным Симантеком - что-то не очень они там в Симантике по этому поводу чешутся… Теперь вся надежа на MSE - не зря ж он по несколько раз на день стал апдейтиться? 😃
Не очень хотелось подымать тему, но ничего другого не придумывается. Хрень вот такая
Проблема в том что комп удаленный (подключение к удаленному рабочему столу).
Что то можно сделать удаленно?
Впиливать в него коды… Мне только сегодня принесли такой с МТСовским номером… На сайте касперского есть варианты кодов.
support.kaspersky.ru/viruses/deblocker
Да я потихоньку долблюсь с кодами и каспера и двеба. Но у них именно такой картинки нет, может и кодов подходящих тоже. Ну а так вбиваю потихоньку. Можь есть код для такой картинки?
Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Что то не выходит подпором кодов с каспера и с двеба.
Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
А с удаленным то можно что то сделать кроме подбора кода?
А с удаленным то можно что то сделать кроме подбора кода?
зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).
Но лучше всего, конечно, попросить какую-нибудь вменяемую персону загрузиться с лайв СД и отредактировать реестр оттуда.
Кстати, ни разу не пробовал открывать RDP, загрузившись с лайв СД - может и заработает, если найти какой-нибудь лайв СД потолще…
зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).
Да, надо попробовать, давно не заморачивался с реестром а уж удаленно…!😮 Да ещё сеть через VPN.
вменяемую персону
Да же не знаю что сложнее.😉
Все лечится в домашних условиях - путем редактирования реестра. Наберите в поисковике “Удаление рекламного банера” и будет Вам лекарство от головной боли.
Пример:
В меню Пуск->Выполнить->regedit
В редакторе реестра ->Правка->Найти пишем Adsub и поиск. Удаляем ключ с Adsubscribe.
Далее в правка жмем найти далее и повторяем процедуру. Поиск и удаление пока поиск в реестре не выдаст-“ничего не найдено”.
Все реклама больше не запустится. После в c:\Documents and Settings\Администратор\Application Data\ удаляем каталог AdSubscribe.
P.S Еще можно методом тыка - по очереди отключать строчки запуска и если сработало удаляем ее, а остальные оставляем в покое.
Удаленно подключился к реестру, в ветке указанной Андреем вирус нашел, исправил но после попытки войти на комп тоже окно с вирусом. Захожу опять в реестр вирус опять там прописан. Я так понимаю где-то ещё. К сожалению поиск по удаленному реестру почему то не работает, может из-за VPN . Может подскажите какие ветки ручками ещё можно посмотреть?
значит, еще где-то сидит эта сволочь…
А на удаленном компе какая Ось?
1 Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Эти меры должны помочь снять блокировку, но не избавят от зловреда.
Полностью вас избавит только переустановка с форматированием
А на удаленном компе какая Ось?
XP SP2
Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
- пусто, т.е. параметр есть но значения нет
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Здесь все так, ну конечно вместо Explorer.exe был вирус