СМС за разблокировку компьютера (информеры)

6wings

аха… интересно, спасибо. Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем, т.к. Винлоки могли пользоваться известными уязвимостями ИЕ6, на некоторые из которых, кстати, сильно ругался недавно Гугл (то ли их самих ломали, то ли их пользователей - я не помню и не разбирался).

GROZZY
6wings:

.Тогда есть вероятность, что “руки” этих пользователей могут быть и ни при чем…

Пяток знакомых машинок цепляли под ИЕ8:(, после лечилки я им всем прикрутил Мозилу:)

6wings

да, не очень приятно 😦
Причем, один из моих знакомых совсем недавно поймал синий винлок с исправно работающим корпоративным Симантеком - что-то не очень они там в Симантике по этому поводу чешутся… Теперь вся надежа на MSE - не зря ж он по несколько раз на день стал апдейтиться? 😃

8 months later
Владимир#

Не очень хотелось подымать тему, но ничего другого не придумывается. Хрень вот такая

Проблема в том что комп удаленный (подключение к удаленному рабочему столу).
Что то можно сделать удаленно?

Tofick

Впиливать в него коды… Мне только сегодня принесли такой с МТСовским номером… На сайте касперского есть варианты кодов.
support.kaspersky.ru/viruses/deblocker

Владимир#

Да я потихоньку долблюсь с кодами и каспера и двеба. Но у них именно такой картинки нет, может и кодов подходящих тоже. Ну а так вбиваю потихоньку. Можь есть код для такой картинки?

6wings

Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Владимир#

Что то не выходит подпором кодов с каспера и с двеба.

Ветка реестра, в которую обычно прописываются “вымогатели денег через SMS”:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

А с удаленным то можно что то сделать кроме подбора кода?

6wings
Владимир#:

А с удаленным то можно что то сделать кроме подбора кода?

зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).

Но лучше всего, конечно, попросить какую-нибудь вменяемую персону загрузиться с лайв СД и отредактировать реестр оттуда.
Кстати, ни разу не пробовал открывать RDP, загрузившись с лайв СД - может и заработает, если найти какой-нибудь лайв СД потолще…

Владимир#

зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).

Да, надо попробовать, давно не заморачивался с реестром а уж удаленно…!😮 Да ещё сеть через VPN.

вменяемую персону

Да же не знаю что сложнее.😉

FUNKE_HOBBY

Все лечится в домашних условиях - путем редактирования реестра. Наберите в поисковике “Удаление рекламного банера” и будет Вам лекарство от головной боли.

Пример:

В меню Пуск->Выполнить->regedit
В редакторе реестра ->Правка->Найти пишем Adsub и поиск. Удаляем ключ с Adsubscribe.
Далее в правка жмем найти далее и повторяем процедуру. Поиск и удаление пока поиск в реестре не выдаст-“ничего не найдено”.
Все реклама больше не запустится. После в c:\Documents and Settings\Администратор\Application Data\ удаляем каталог AdSubscribe.

P.S Еще можно методом тыка - по очереди отключать строчки запуска и если сработало удаляем ее, а остальные оставляем в покое.

Владимир#

Удаленно подключился к реестру, в ветке указанной Андреем вирус нашел, исправил но после попытки войти на комп тоже окно с вирусом. Захожу опять в реестр вирус опять там прописан. Я так понимаю где-то ещё. К сожалению поиск по удаленному реестру почему то не работает, может из-за VPN . Может подскажите какие ветки ручками ещё можно посмотреть?

6wings

значит, еще где-то сидит эта сволочь…
А на удаленном компе какая Ось?

UpDown

1 Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Эти меры должны помочь снять блокировку, но не избавят от зловреда.
Полностью вас избавит только переустановка с форматированием

Владимир#

А на удаленном компе какая Ось?

XP SP2

Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь

  • пусто, т.е. параметр есть но значения нет

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,

Здесь все так, ну конечно вместо Explorer.exe был вирус

UpDown
Владимир#:

пусто, т.е. параметр есть но значения нет

напишите свое значение

Владимир#
UpDown:

Удалить получается ? напишите свое значение

Удалить, да удаляется. Значения нет. Просто строковый параметр тип REG_SZ и все.

UpDown

Да

О результате отпишитесь … если нет по другому будем делать … если да избавлять вас будем от этой гадости

6wings
Владимир#:

Здесь все так, ну конечно вместо Explorer.exe был вирус

когда первый раз смотрели, то просмотрели?
Или именно тут он и восстанавливается?

Владимир#

Если имеете ввиду попробовать удалить AppInit_DLLs, то попробовал. Не помогает все равно блокируется и перезаписывает Shell

когда первый раз смотрели, то просмотрели?
Или именно тут он и восстанавливается?

Не просмотрел, именно тут он и восстанавливается.