СМС за разблокировку компьютера (информеры)

6wings

кто-нибудь из поймавших Winlock пользовался IE8?
Или это беда только предыдущих версий Интернет Эксплорера?

Felar_Furlong

это беда глупых рук, которые подписываются на установку непойми чего, непойми откуда. чаще всего это называется “новая версия флэш проигрывателя”, или “кодеки для просмотра порно”.
тип браузера совершенно не влияет.

6wings

руки - само собой, надо соображать чего ставишь, но тип браузера влияет.
ИЕ6 дырявый - это факт, ИЕ7 менее дырявый, но глюкавый, а на ИЕ8, вроде, особо никто не жалуется, да и к тому же в нем антифишинг какой-никакой встроен. Тем не менее, полно юзеров, которые не только продолжают работать с ИЕ6, но и просто не знают какой он у них версии.
Поэтому мне интересна статистика.

Alexm12
6wings:

…Тем не менее, полно юзеров, которые не только продолжают работать с ИЕ6, но и просто не знают какой он у них версии.
Поэтому мне интересна статистика.

У всех знакомых кто подцеплял такую бяку стоял штатный 6-й И-Экслорер. После лечения пересаживались на Оперу. 😃

6wings

аха… интересно, спасибо. Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем, т.к. Винлоки могли пользоваться известными уязвимостями ИЕ6, на некоторые из которых, кстати, сильно ругался недавно Гугл (то ли их самих ломали, то ли их пользователей - я не помню и не разбирался).

GROZZY
6wings:

.Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем…

Пяток знакомых машинок цепляли под ИЕ8:(, после лечилки я им всем прикрутил Мозилу:)

6wings

да, не очень приятно 😦
Причем, один из моих знакомых совсем недавно поймал синий винлок с исправно работающим корпоративным Симантеком - что-то не очень они там в Симантике по этому поводу чешутся… Теперь вся надежа на MSE - не зря ж он по несколько раз на день стал апдейтиться? 😃

8 months later
Владимир#

Не очень хотелось подымать тему, но ничего другого не придумывается. Хрень вот такая

Проблема в том что комп удаленный (подключение к удаленному рабочему столу).
Что то можно сделать удаленно?

Tofick

Впиливать в него коды… Мне только сегодня принесли такой с МТСовским номером… На сайте касперского есть варианты кодов.
support.kaspersky.ru/viruses/deblocker

Владимир#

Да я потихоньку долблюсь с кодами и каспера и двеба. Но у них именно такой картинки нет, может и кодов подходящих тоже. Ну а так вбиваю потихоньку. Можь есть код для такой картинки?

6wings

Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Владимир#

Что то не выходит подпором кодов с каспера и с двеба.

Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

А с удаленным то можно что то сделать кроме подбора кода?

6wings
Владимир#:

А с удаленным то можно что то сделать кроме подбора кода?

зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).

Но лучше всего, конечно, попросить какую-нибудь вменяемую персону загрузиться с лайв СД и отредактировать реестр оттуда.
Кстати, ни разу не пробовал открывать RDP, загрузившись с лайв СД - может и заработает, если найти какой-нибудь лайв СД потолще…

Владимир#

зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).

Да, надо попробовать, давно не заморачивался с реестром а уж удаленно…!😮 Да ещё сеть через VPN.

вменяемую персону

Да же не знаю что сложнее.😉

FUNKE_HOBBY

Все лечится в домашних условиях - путем редактирования реестра. Наберите в поисковике “Удаление рекламного банера” и будет Вам лекарство от головной боли.

Пример:

В меню Пуск->Выполнить->regedit
В редакторе реестра ->Правка->Найти пишем Adsub и поиск. Удаляем ключ с Adsubscribe.
Далее в правка жмем найти далее и повторяем процедуру. Поиск и удаление пока поиск в реестре не выдаст-“ничего не найдено”.
Все реклама больше не запустится. После в c:\Documents and Settings\Администратор\Application Data\ удаляем каталог AdSubscribe.

P.S Еще можно методом тыка - по очереди отключать строчки запуска и если сработало удаляем ее, а остальные оставляем в покое.

Владимир#

Удаленно подключился к реестру, в ветке указанной Андреем вирус нашел, исправил но после попытки войти на комп тоже окно с вирусом. Захожу опять в реестр вирус опять там прописан. Я так понимаю где-то ещё. К сожалению поиск по удаленному реестру почему то не работает, может из-за VPN . Может подскажите какие ветки ручками ещё можно посмотреть?

6wings

значит, еще где-то сидит эта сволочь…
А на удаленном компе какая Ось?

UpDown

1 Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Эти меры должны помочь снять блокировку, но не избавят от зловреда.
Полностью вас избавит только переустановка с форматированием

Владимир#

А на удаленном компе какая Ось?

XP SP2

Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь

  • пусто, т.е. параметр есть но значения нет

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,

Здесь все так, ну конечно вместо Explorer.exe был вирус

UpDown
Владимир#:

пусто, т.е. параметр есть но значения нет

напишите свое значение

Владимир#
UpDown:

Удалить получается ? напишите свое значение

Удалить, да удаляется. Значения нет. Просто строковый параметр тип REG_SZ и все.