"windows заблокирован!" !

msv

Вирус оказался простецкий (в отличии от тех, с которыми приходилось биться, помогая друзьям и коллегам). Системные файлы даже не тронул. Вытравил за 5 мин.
Но осадок остался…

Felar_Furlong

какими браузерами пользуемся?
флэш вам обновлять не предлагали?

msv

На работе - опера. Ничего не предлагала, похоже молча подхватила. Дома - хром. Пару дней предлагал жаву обновить (именно при посещении rcopen.com). Отказывался, теперь ничего не просит…

tambov

чтобы в случае чего не плясать с бубном поставил на айфон прогу которая дает код разблокировки для всех подобных гадостей. несколько раз проверял работоспособность. реально работает)

Alexm12
tambov:

чтобы в случае чего не плясать с бубном поставил на айфон прогу которая дает код разблокировки для всех подобных гадостей.

Автоматически отправляет смс на указанный номер?

несколько раз проверял работоспособность. реально работает)

😃

Не. Покупать яблофон ради такого… Лучше ручками удалить эту бяку раз и навсегда.

tambov
Alexm12:

Автоматически отправляет смс на указанный номер?

не совсем) вбиваешь номер указанный на банере и выдает код.

Alexm12:

Не. Покупать яблофон ради такого… Лучше ручками удалить эту бяку раз и навсегда.

я как бы тоже не ради этого купил яблофон) но если есть возможность то почему ей не пользоваться (я про баннеры)

psn151

а мне однажды пару раз вешали баннер,с голой задницей.И требование заплатить 300 руб по смс.всё разрешилось перезагрузкой компа,касперыч всё вычистил.Но, хотелось отомстить.послать им в ответ угрозу-требование-типа "вы, скоты!,теперь будете сами мне платить,но только не 300 руб за раз,а 300 руб в час!"И до конца своей жизни! посоветуйте,как отправить им такое письмо?

мне кажется,что это службы нравственного контроля сами,специально заражают сомнительные сайты,что бы отвадить от них.

У меня касперский сразу предупредит,что внешний носитель заражён.и открыть его можно только после отключения антивируса.но даже после заражения,касперыч всё равно вычистит систему.

Alexm12
psn151:

мне кажется,что это службы нравственного контроля сами…

… создают порносайты и подсаживают на компы посетителей эту радость.

msv
tambov:

вбиваешь номер указанный на банере и выдает код.

Alexm12:

Лучше ручками удалить эту бяку раз и навсегда.

psn151:

У меня касперский сразу предупредит,что внешний носитель заражён.

Вам просто везло… 😃 В тяжелые случаях (особенно на ноутах, когда невозможно винт перекинуть на здоровую машину) приходится ждать пару дней, пока в базах антивирусов появится сигнатуры, по которым он почикает все следы вируса, а уже после этого приходится ручками восстанавливать системные файлы и править реестр…
Самое неприятное, что за последние пол-года появились случаи проскакивания заразы с совершенно невинных сайтов при актуальных базах антивиря…

tambov
msv:

Вам просто везло… В тяжелые случаях (особенно на ноутах

у меня как раз ноут. или мне дико везет просто?)

msv

Ну или мне (народу, который ко мне обращается) фатально не везет… 😃 Код от DrWeb сработал только один раз… Все свежачок приносят…
Ну может с простыми случаями сами справляются…

The_AGENT

на маки пересаживайтесь, там этой бесовщины отродясь не было…

Luka

Ни надо ни каких танцов с бубном тем более отправки смс, все гараздо проще…

Все дело в том что пакостью меняется целостность ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

а именно ключей:
Shell и Userinit

значения этих ключей в рабочем виде следующие:
explorer.exe
и
C:\Windows\system32\userinit.exe,
соответственно

как показывает практика новое значение ключа Shell будет указывать на место расположения гадости

Шаги решения проблемки (буквы дисков мой случай):

Или грузим локальный комп с внешней винды (LiveCD к примеру) или подключаем зараженный винт на живой комп…

  1. открываем редактор реестра regedit
  2. выделяем ветку HKEY_LOCAL_MACHINE
  3. меню Файл-Загрузить куст
  4. открываем подключенный зараженный диск с виндой (G:\Windows\System32\config) нас интересует файлик SOFTWARE (это и есть необходимая нам ветка реестра зараженной винды)
  5. обзываем загружаемый куст к примеру 11111 и открываем следующую ветку в редакторе реестра HKEY_LOCAL_MACHINE\11111\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    смотрим ключ Shell, и вот она наша гадость
    C:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Content.IE5\TYOX299T\xxx_video_24658.avi[1].exe (это мой случай имя конечного файла и его расположение может быть другим)
    по умолчанию этот ключ Shell должен содержать explorer.exe и ни чего более.
  6. полностью очищаем папку на подключенном диске G:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files
  7. меняем значение ключа Shell на explorer.exe
  8. меню Файл-Выгрузить куст, этим самым сохраняем изменения в реестре винды на подключенном диске

удаляем по указанному пути гадость, перегружаемся в нормальном режиме (либо ставим вылеченный диск обратно) и спокойно работаем дальше

на все про все уходит 10-15 минут, данный вид гадости не умеет распространятся локально на компе, так что не надо боятся если вы зараженный винт поставите на живой комп

иногда это лечится еще проще - достаточно в настройках BIOS (правильней CMOS) переводим часы на годик вперед и гадость при загрузке самоуничтожается, но это редкость

msv

Хоть и не один раз бился с этой бедой, но видимо недостаточно регулярно, каждый раз время на вспомнить все много уходит. А тут все толково, по полочкам… Теперь буду знать где подсмотреть, спасибо… 😃
Добавлю, иногда заражаются сами userinit и explorer и их приходится восстанавливать.
Бывает еще после лечения остаются блокированными task manager и regedit и требуется их разблокировка (не помню как) .

Luka
msv:

Бывает еще после лечения остаются блокированными task manager и regedit и требуется их разблокировка

там же в реестре, дотаточно в cmd запустить следующие команды:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0

msv

Зачем-то, что-то еще в политиках приходилось править…

Luka

да есть в локальных полтиках возможность наложения запрета на редактирование реестра и вообще доступа к нему, реестр и политики оч интересная штука

Володимир

А вот мне попался блокировщик, который реестры не портил, он тупо прописался в автозагрузку и подменил служебный виндовый файл.

Однако погиб он быстро и красиво, всего то он полез что-то править в какой-то службе, на чем был пойман за руку Оутпостом, сам его процесс был тут же убит.
ДокторВеб нашел и убил трояна в служебном файле…

А вот дальше я допустил ошибку - нажал перезагрузку (типа все удалено вредное) - а файл то не восстановлен! Пришлось все равно загружаться с внешнего носителя…

MWW
Luka:

Или грузим локальный комп с внешней винды (LiveCD к примеру) или подключаем зараженный винт на живой комп…

Самый простой путь - использовать в качестве LiveCD ERD Commander. Он при загрузке спрашивает, какая копия виндовс рабочая, и автоматически подключает ее реестр. Достаточно просто запустить редактор реестра, и откроется на редактирование именно ваш реестр, а не реестр диска с которого грузились. Не знаю, может есть и другие LiveCD, которые могут работать с удаленным реестром, ERD просто самый распространенный и удобный в работе.

PS Александр(Luka), с какого Железногорска? Случайно не Курской области? А то я тоже почти от туда…

Володимир

Ну вот что ты будешь править в реестре, если у тебя вместо служебной dll-ки без которой винда не запускается, сидит троян злобный?

Torvic99
Володимир:

если у тебя вместо служебной dll-ки без которой винда не запускается, сидит троян злобный?

А не надо работать в системе под пользователем с админскими правами! Да и поменьше всяких кряков, ломалок надо запускать.