СМС за разблокировку компьютера (информеры)

Владимир#

Если имеете ввиду попробовать удалить AppInit_DLLs, то попробовал. Не помогает все равно блокируется и перезаписывает Shell

когда первый раз смотрели, то просмотрели?
Или именно тут он и восстанавливается?

Не просмотрел, именно тут он и восстанавливается.

Владимир#

Ну если я все правильно понял это инструмент генерации кода по коду в сообщении. У меня в сообщении кода нет, только номер МТС.

UpDown

Это немножко другое

reg add “hklm\software\microsoft\windows nt\currentversion\
winlogon” /v Shell /t reg_sz /d explorer.exe
КАк комада выполница
Набираете shutdown -r -t 0

Толко я вам советую Потом просканиравать Norton 360 … он хорошо эту гадость отлавливает

Владимир#

Так у меня комп удаленный, всё что я могу сделать это подключится к реестру. Даже перегрузить его не могу, в этом наверно и есть проблема. Есть возможность его перегрузить либо по сети либо через RDP? Щас при подключении по RDP у меня не активна кнопка выключения-перезагрузки.

Владимир#

Мля!!! Получилось!!!😃😃😃 Огромное спасибо всем за участие. Отдельно Андрею, за тему удаленного редактирования реестра. Век живи век учись, однако. Трабл был в том что у компа один юзер и он изначально был заблокирован. Понадобился один голимый юзер, знакомый с кнопкой Reset.
P.S. Есть реальный номер МТС, неужели нельзя его владельца взять за яйца?
P.S.2 Если кому надо в подробностях, пишите расскажу.

UpDown

Надо всего навсего в МТС дозвонится и сообщить. )))
Да буте добры поделитесь инфой )))

6wings

Владимир, расскажите, конечно, плз.
Как я понял, проблема была только в ребуте? - Т.е. в том, что не удавалось его сделать дистанционно после правки?
А имя зловреда, который вместо эксплорера прописался запомнили/записали? - Хорошо бы и его теперь найти и искоренить. Хотя, он может быть и не один.

Владимир#

На самом деле ничего заумного нет. Вся проблема в том что если была попытка подключения все блокировалось независимо от того что делался новый вход в систему. После того как продвинутый юзер нажал ресет я, не делая попыток войти в систему, просто подключился вновь к сетке по VPN подгрузил опять удаленный реестр и отредактировал в реестре Shell ну и в ветке
HKLM\Software\Microsoft\Internet Explorer

действительно нашелся ключ с номером телефона на который нужно было отправить деньги. Я его удалил.
Далее shutdown /r /m IP-компа уж не знаю перезагружался он или нет но связь по RDP рвалась. Ну и далее уже судорожное ожидание подключения по RDP и ожидание входа в систему ну и собственно долгожданный вход. Блин вроде все просто…😉
Ну и конечно путь и имя файла я записал сразу, и соответственно его удалил упоминаний в реестре больше не нашел.

6wings
Владимир#:

Ну и конечно путь и имя файла я записал сразу, и соответственно его удалил упоминаний в реестре больше не нашел

ну и слава Богу!

Но, вообще, Ваше дистанционное побоище с зловредом достойно быть написано иглами в уголках глаз (восточная поговорка) 😁

Владимир#
6wings:

Но, вообще, Ваше дистанционное побоище с зловредом достойно быть написано иглами в уголках глаз (восточная поговорка)

Ну как то так😁
А все от чего, совсем не хотелось ехать в воскресенье да ещё по такой погоде и решать эту проблему на месте.😃

UpDown

Владимир, как будет время все-таки отсканте Norton 360, он на сайте Symantec бесплатно лежит на 30 дней … просто если эта штука осталось на компе то она опять может вылезти.

Владимир#

Да, Константин, спасибо. Если завтра юзеров не будет, запущу. Щас поставил на скан dweb cureit , теперь уж до утра .

6wings

для ХР/2003 очень надёжно работает SAV11 (Symantec Antivirus Corporate Edition) - надо просто поставить анменеджмент клиента. Он всю эту дрянь поймает. Причем, Корпорейт Эдишн будет работать вечно, не требуя регистрации и будет регулярно обновляться. Если надо - напишите мне на 6wings@6wings.com. Я выложу на фтп.
Если же надо что-то для Севен, то лучше штатного MSE вряд ли можно что-то придумать. Он не менее эффективен. Кстати, на легальную ХР от встает тоже без проблем. Рекомендую, проверено неоднократно.

Torvic99
UpDown:

Полностью вас избавит только переустановка с форматированием

Ох уж эти сказочники!

MWW
Владимир#:

Не очень хотелось подымать тему, но ничего другого не придумывается. Хрень вот такая

Какое знакомое окошко!😃 Только вчера приятель ноут с такой хренью притащил… Все один в один, только номер телефона другой - 89154688201. Ну, еще пожалуй мелкое отличие - немножко более косоруко размещен Label “Ваш код оплаты”, чуть сильнее на Edit для ввода кода наезжает, символа 2 или 3 закрывает:)… Кода найти не удалось, выкорчевал его с корнями руками - сидел файл вида что-то типа:“XXXPonoVideo[2].avi.exe” в папке временных файлов интернет-эксплоера… Удалил сам файл, и все ссылки на него в реестре. Потом, с помощью AVZ выполнил восстановление ключей запуска Explorer, и на этом все… Приятелю сказал - последний раз делаю(уже четвертый:)😃😃)!!! 😉, следующий раз будешь деньги платить, за все разы, сколько хотели вымогатели, только мне;)😃

IRF540N
Exception13:


Чтобы впредь не попадаться на подобные вещи могу порекомендовать ShadowUser + грамотно настроенный файрвол. В ShadowUser’e устанавливается блокировка раздела с виндой и все записи в этот раздел в текущую сессию будут анулированы после перезагрузки. Вирусы долго не проживут…

ShadowDefender получше будет…
С этими прогами можно хоть весь дисок с:\ форматировать - и после перезагрузки все будет все равно на своих местах… ОЧЕННА РЕКОМЕНДУЮ!
зы. а вообще я на линухе щас в нет хожу - проблем на порядки меньше…

tommix

невтему но !как сменить айп на адсл роyтер?самостоятельно