"windows заблокирован!" !
а вот на маках такой херни нет и быть не может 😛
зато такое есть:
😃
зато такое есть:
хех 😉 у меня обоина такая же
Ну так это просто проверить…
Проверил, просто установкой атрибутов. Видны файлы в любой комбинации флажков. А с параметром суперхиден, пока не игрался, просто некогда было, но, как-нибудь все равно проверю, “на будущее”. Сейчас сложно определить, что было в реестре на тот момент, когда флешка была не видна, там я уже десять раз все перекопал, и вручную, и AVZ-том, скорее всего причина именно там была…
Вчера, забежав в офис на несколько минут, включил свой рабочий комп, решил глянуть любимый ресурс rcopen.com. Через пару минут чтения сообщений увидел: типа - “да вы батенька развратник… любите посещить сайта с детским порно или насилием над детьми… плати бабки”.
- Комп доступен только мне…
- Стоит лицензионная винда с автообновлением критических новшевст.
- Лицензионный касперыч, с новейшими базами.
Млин… Как вспомню, как месяц назад целый день вытравлял эту гадость с ноута коллеги после посещения им невинного ресурса “город мастеров”, грустно становится… Сегодня было не до компа, а завтра вместо добавы бабла любимой фирме, придется бороться с этой пакостью…
ЗЫ Вчера же получил СМС- “Мам, вышли 940р на номер …, потом все объясню…”. Улыбнулся…
Ну а с блокировкой то, реальный убыток и проблемы возможны… Не до улыбок… 😦
За последние пол года ловил несколько раз, всегда вытравлял за 10-15 минут утилитой упомянутой мной в 10 посте.
Вчера,
Аналогично, Сергей! Зашел на RCdesign.ru и практически сразу стал развратником… Отключил зараженный винт и стал работать на втором. На форум заходил раз десять - для проверки - все нормально. Сегодня зараженный винт почистили спецы (тонкости не понял). Работал с восстановленным винтом без выхода в сеть часа два. Стоило войти в сеть и направить стопы на любимый форум, как опять был причислен к развратникам молодежи… - но номер телефона (МТС) отличается от вчерашнего. Отключил винт, работаю на втором - пишу данное сообщение. На обоих дисках - ХР.
Доп. информация: с проблемным винтом - выход на форум через Яндекс; на втором - через Google…
Сегодня зараженный винт почистили спецы (тонкости не понял)…Стоило войти в сеть и направить стопы на любимый форум, как опять был причислен к развратникам молодежи…
Хорошие у вас спецы, специальные. 😃
Уж какие есть. А вот выбора - увы - нет.😦 Пусть учатся.
Вирус оказался простецкий (в отличии от тех, с которыми приходилось биться, помогая друзьям и коллегам). Системные файлы даже не тронул. Вытравил за 5 мин.
Но осадок остался…
какими браузерами пользуемся?
флэш вам обновлять не предлагали?
На работе - опера. Ничего не предлагала, похоже молча подхватила. Дома - хром. Пару дней предлагал жаву обновить (именно при посещении rcopen.com). Отказывался, теперь ничего не просит…
чтобы в случае чего не плясать с бубном поставил на айфон прогу которая дает код разблокировки для всех подобных гадостей. несколько раз проверял работоспособность. реально работает)
чтобы в случае чего не плясать с бубном поставил на айфон прогу которая дает код разблокировки для всех подобных гадостей.
Автоматически отправляет смс на указанный номер?
несколько раз проверял работоспособность. реально работает)
😃
Не. Покупать яблофон ради такого… Лучше ручками удалить эту бяку раз и навсегда.
Автоматически отправляет смс на указанный номер?
не совсем) вбиваешь номер указанный на банере и выдает код.
Не. Покупать яблофон ради такого… Лучше ручками удалить эту бяку раз и навсегда.
я как бы тоже не ради этого купил яблофон) но если есть возможность то почему ей не пользоваться (я про баннеры)
а мне однажды пару раз вешали баннер,с голой задницей.И требование заплатить 300 руб по смс.всё разрешилось перезагрузкой компа,касперыч всё вычистил.Но, хотелось отомстить.послать им в ответ угрозу-требование-типа "вы, скоты!,теперь будете сами мне платить,но только не 300 руб за раз,а 300 руб в час!"И до конца своей жизни! посоветуйте,как отправить им такое письмо?
мне кажется,что это службы нравственного контроля сами,специально заражают сомнительные сайты,что бы отвадить от них.
У меня касперский сразу предупредит,что внешний носитель заражён.и открыть его можно только после отключения антивируса.но даже после заражения,касперыч всё равно вычистит систему.
мне кажется,что это службы нравственного контроля сами…
… создают порносайты и подсаживают на компы посетителей эту радость.
вбиваешь номер указанный на банере и выдает код.
Лучше ручками удалить эту бяку раз и навсегда.
У меня касперский сразу предупредит,что внешний носитель заражён.
Вам просто везло… 😃 В тяжелые случаях (особенно на ноутах, когда невозможно винт перекинуть на здоровую машину) приходится ждать пару дней, пока в базах антивирусов появится сигнатуры, по которым он почикает все следы вируса, а уже после этого приходится ручками восстанавливать системные файлы и править реестр…
Самое неприятное, что за последние пол-года появились случаи проскакивания заразы с совершенно невинных сайтов при актуальных базах антивиря…
Вам просто везло… В тяжелые случаях (особенно на ноутах
у меня как раз ноут. или мне дико везет просто?)
Ну или мне (народу, который ко мне обращается) фатально не везет… 😃 Код от DrWeb сработал только один раз… Все свежачок приносят…
Ну может с простыми случаями сами справляются…
на маки пересаживайтесь, там этой бесовщины отродясь не было…
Ни надо ни каких танцов с бубном тем более отправки смс, все гараздо проще…
Все дело в том что пакостью меняется целостность ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
а именно ключей:
Shell и Userinit
значения этих ключей в рабочем виде следующие:
explorer.exe
и
C:\Windows\system32\userinit.exe,
соответственно
как показывает практика новое значение ключа Shell будет указывать на место расположения гадости
Шаги решения проблемки (буквы дисков мой случай):
Или грузим локальный комп с внешней винды (LiveCD к примеру) или подключаем зараженный винт на живой комп…
- открываем редактор реестра regedit
- выделяем ветку HKEY_LOCAL_MACHINE
- меню Файл-Загрузить куст
- открываем подключенный зараженный диск с виндой (G:\Windows\System32\config) нас интересует файлик SOFTWARE (это и есть необходимая нам ветка реестра зараженной винды)
- обзываем загружаемый куст к примеру 11111 и открываем следующую ветку в редакторе реестра HKEY_LOCAL_MACHINE\11111\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
смотрим ключ Shell, и вот она наша гадость
C:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Content.IE5\TYOX299T\xxx_video_24658.avi[1].exe (это мой случай имя конечного файла и его расположение может быть другим)
по умолчанию этот ключ Shell должен содержать explorer.exe и ни чего более. - полностью очищаем папку на подключенном диске G:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files
- меняем значение ключа Shell на explorer.exe
- меню Файл-Выгрузить куст, этим самым сохраняем изменения в реестре винды на подключенном диске
удаляем по указанному пути гадость, перегружаемся в нормальном режиме (либо ставим вылеченный диск обратно) и спокойно работаем дальше
на все про все уходит 10-15 минут, данный вид гадости не умеет распространятся локально на компе, так что не надо боятся если вы зараженный винт поставите на живой комп
иногда это лечится еще проще - достаточно в настройках BIOS (правильней CMOS) переводим часы на годик вперед и гадость при загрузке самоуничтожается, но это редкость