Лена *о* 28.06.2011 21:21:
Всем привет,а коды существуют к моему вирус-баннеру?Я дала Вам ссылку выше.А то я как и Дмитрий с компом на Вы и с такой большой ручной работой, как его удаление, я не справлюсь.
....похоже Вы интересная девушка..стукните в асю 602539985
Лена *о* 28.06.2011 21:21:
Всем привет,а коды существуют к моему вирус-баннеру?Я дала Вам ссылку выше.А то я как и Дмитрий с компом на Вы и с такой большой ручной работой, как его удаление, я не справлюсь.
....похоже Вы интересная девушка..стукните в асю 602539985
Да,Мы интересная девушка,со спецэффектами!Вот так вот!А Вы,уважаемый(ая) Zaruta,помогите мне,хелп плиз!Я не знаю что я буду делать без своего любимого компа,мы ведь просто созданы друг для друга.Кстати очень хороший сайт.
...zaruta это ОН......я же аську написал......стучите....а то неловко как то что Вас комп имеет
UZER34 30.06.2011 20:53:
Помогите пожалуйста! у меня виндовс на ноутбуке заблокирован . при загрузке появляется чёрное окто с красным текстом и требует чтоб я шёл и пополнил номер Билайн 89032388916 на 500 рублей и типа на чеке будет код, что делать? кто нибудь знает код?
Дайте фото вашего баннера. т.е сфотографируйте ваш экран монитора и выложите сюда или залейте на какой нибудь файлообменник и ссылку сюда
Евгения Batt 05.07.2011 00:34:
Здраствуйте.. Помогите пожалуйста! Я очень волнуюсь, не знаю что и как делать! :( У меня вот такая ерунда на компьютере зависла и не убирается!
Arwed 05.07.2011 13:32:
Сделайте бэкап системы с программами, и когда винлок появится, восстановите систему и винлока не будет! Например, Акронис это хорошо делает. Или смотрите порно в линуксе или на виртуальной машине (перед просмотром сделайте снимок). А удалять винлоки через live cd или ещё как-то - это геморой!
Я так делаю, хожу на любые сайты, запускаю что угодно, проблем с винлоками не имею!
Кстати, админские права нет никакой надобности давать всем подряд (а зачем их всегда давать?) ! В XP сидите в учетке с правами опытного пользователя (там ограничений очень мало) и тыкайте куда угодно. Винлок всю винду не заблокирует, только эту учётку!
Зачем давать такие советы...???????
Форум называется "Для разблокировки компьютера баннер требует пополнить мобильный счет абонента" а не " Метод просмотра ПОРНО с использованием ограниченной учетной записи, а так же виртуальной машины...."
mrbelyash прав по своему, вы по своему, я по своему...и у всех есть на этот счет свое мнение....
Я за 1,5 года на этом форуме ( на ветках этого форума) понял одно:
Людям лень читать даже предыдущие сообщения не говоря уже о предыдущих страницах форума...легче озвучить свою проблему и ждать ответ.....а потом просить пошагово расписать..что куда нажимать...и т.д
Я ранее и подробно все расписывал..и в картинках...и инструкции писал...вроде и ненапрасно...об этом говорит статистика скачивания материалов в шапке одной из веток форума..,
...но, жизнь идет вперед..все изменяется и модифицируется....в любую инструкцию через определенный промежуток времени необходимо вносить дополнения...изменения...и т.д. но это все равно не решит проблему...необходимо комплексное решение на уровне разработчиков антивирусных программ...я имею в виду ребят из лабораторий Каспера и Веба
...вы ведь платите им деньги за приобретение и использование их програмного обеспечения ??? Не так ли? Так почему же я купив ( причем не дешево) их програмное обеспечение должен задумываться об безопасности???
...вы ведь платите им деньги за приобретение и использование их програмного обеспечения ??? Не так ли? Так почему же я купив ( причем не дешево) их програмное обеспечение должен задумываться об безопасности???
Антивирус защищает в зависимости от того ,как он настроен. Для кого-то Вконтакте - надежный источник, exe-файлы оттуда качать можно. Раз надежный, значит можно добавить в доверенные/исключения (контролируется экраном поведения или вообще не контролируется, смотря какой антивирус).
zaruta 07.07.2011 21:19: fokinmax лови MBR http://zalil.ru/31392876 пароль на скачку 2011, пароль на архив у тебя в ЛС
Мне можно пароль на архив? Спасибо!
Про антивирусы отвечать и писать не буду.......сказал все
ТСН 09.09.2011 12:09:
кто готовий розказати про це! я кореспондент ТСН , 1+1, шукаю героїв для сюжету, які напрапили на цей вірус. Мій номер 0504407592. Чекаю!!!
Anna123456 12.09.2011 12:28:
Помогите, появилось баннера о том что я посетила сайт гей-порно, теперь требует на телефонный номер +7-981-129-11-64 отправить 300р. для дальнейшей работы на компе ((( Что делать, где не пробовала найти пароль для разблокировки , везде пишет что пароль не найден (((
вечерком в асю стукните 602539985 разберемся с ним
После запуска блокера операционная система уйдет в перезагрузку, а при последующей загрузке компьютера отобразится следующий текст.
Ниже представлены скриншоты начальных секторов жесткого диска до и после их заражения блокером.
Начальные секторы жесткого диска до заражения
Фрагмент той же самой области жесткого диска после заражения
Отчетливо видно, что начало жесткого диска значительно преобразилось – добавился дополнительный код.
Первым делом вредоносный код считывает девятый сектор и сохраняет его по адресу 0186A:0000. Затем, на него выполняется переход с помощью CALLF 0186A:0000.
Далее, происходит проверка текущей даты и времени с эталонным значением.
Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.
Время и дата получаются напрямую из BIOS’а при помощи следующей последовательности команд:
mov al, x
out 70h, al
in al, 71h
aam 10h
aad
Где ‘x’ принимает разные значения в зависимости от того, что требуется получить.
Стоит отметить, что BIOS возвращает числа в формате BCD.
Инструкции AAM и AAD преобразовывают эти числа в hex.
Если проверка на время и дату прошла успешно, то зловред зачитывает секторы с третьего по пятый включительно.
В третьем и четвертом содержатся так называемые «user font table», а в пятом – текст, отображаемый при загрузке.
Для применения собственного «стиля» написания текста вызывается INT 10h.
Далее, зачитываются секторы 5-8 включительно, и выводится текст, содержащийся в пятом и нулевом секторах (“Enter Code:»).
Фрагмент кода, выводящий на экран текст
После этого начинает работать цикл проверки введенного текста.
Цикл реализован следующим образом:
Вначале вызывается инструкция INT 16h.
Это прерывание возвращает в AX значение нажатой кнопки (AH = скан-код, AL – символ) клавиатуры:
mov ah, 0
push di
int 16h
pop di
jmp short loc_7CC7
Потом идет проверка на введенный символ.
Если он находится между 20h и 7Fh, то его значение записывается по ES:DI при помощи инструкции STOSB.
Если же была нажата клавиша Enter (0Dh), то выполняется проверка введенной и эталонной строки при помощи REPE CMPSB.
Сравнение введенной строка и кода разблокировки
Из скриншота видно, что по адресу ES:7DA5 находится строка, необходимая для разблокировки загрузки компьютера.
Вот что находится по этому адресу: '002158RD',0.
А так как в CL заносится число «6», то это означает, что достаточно ввести лишь «002158».
Если введен корректный код, то зловред берет из второго сектора оригинальный MBR и записывает его в начало жесткого диска.
Сектора, используемые блокером:
1 – основной код;
2 – оригинальный первый сектор;
3 – 4 – user font tables;
5 – 6 – текст, выводимый пользователю;
7 – 8 – сектора заполнены нулями;
9 – код, выполняющий сверку текущей даты и времени;
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
Надоело уже читать про винлокер Trojan.Siggen3.1694.....
Вчера сам лично его в инете поймал....3 часа ловил...и поймал...как бы вы думаете...где?.....на сайте про мультфильмы....вот так то....
Ну ладно.....теперь про баннер....вот он красавец....скриншот сделать не мог как не старался...поэтому...фото...
Экспериментировал на Win 7
Ну что же баннер на рабочем столе....посмотрим что он нам натворил...
Мышь за пределы баннера выходит...это уже хорошо...
Кликаем мышкой на значки и иконки рабочего стола...толку.... ноль...
Пробую вызвать установленный у меня prkiller...ноль эмоций....
Жмем различные сочетания клавиш....ничего...
Ну что же похоже нужен ERDC...
Но забыл еще про вызов диспетчера задач....вызываю...Ctrl_Alt_Del ...
....и баннер у меня на семерке позволяет вызвать диспетчер...а там уже дело техники.....
.....снимаем процесс.....тут вариантов много... но запущено всегда два....например....0.14935064207193482.exe.....dol0z5yz.exe.......p1xa1tu9.exe.....as.exe...все файлы размером 194 кб..
..у меня например этот вирус создал аж три своих копии...по пути...C:\Users\Олег\AppData\Local\Temp
...а сам сидел в C:\WINDOWS\Temp\
...если сомневаетесь..что нужно отключить....перейдите на вкладку...приложения..и снимите два запущенные...JPG according the Murphy,s Law.....
....сняли....запускаем редактор реестра...и.....(mrbelyash все правильно указал)..идем в ветку...hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe и ищем там ключик Debugger...у меня было...C:\WINDOWS\Temp\as.exe
Ключ Debugger - УДАЛЯЕМ ( предварительно записав на листок бумаги значение этого ключа- C:\WINDOWS\Temp\as.exe...( вместо as.exe...может быть любое название...)
Далее идем в ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
...и в правом окне ищем.... C:\WINDOWS\Temp\as.exe, или ( вместо as.exe...может быть любое название...)
...удаляем этот ключ...его название..debug ( в левом окне)
Не забудьте предварительно на листок бумаги записать значения этого ключа: C:\WINDOWS\Temp\as.exe..или C:\Users\имя пользователя\AppData\Local\Temp\ 0.14935064207193482.exe..или ..C:\Users\имя пользователя\AppData\Local\Temp\ dol0z5yz.exe и т.д и т.п. ( потом нужно будет идти по этому пути и удалять файлы вируса)
Далее идем в ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и проделываем то же самое..
Заключительный этап...идем по пути указанным в этих ключах ( Вы записали путь на листок бумаги) и удаляем файлы вируса..
Перезагрузка ...и все в порядке...
Я конечно повторился....mrbelyash давно уже все описал в своей инструкции...там все предельно ясно...
..а вот и сами виновники рассказа...http://zalil.ru/31726447 ...пароль на скачку прежний...экспериментировать только спецам!!!!!!!!!!
ps/ если где нибудь ошибся...поправьте меня.....торопился...
Хрень полная, поймал такойже ну удалил я все его компаненты и подгруппы, так этот гребаный Вирус мне весь реестор запоганил, У меня тупа доходин до приветствия а потом завершает задачу виндовс и хуй войдешь в систему при долнейших попытках все прошло неудачно, а мож я и новую версию поймал хуй его знает!!!
Руки кривые!
Все проверено лично на своей машине..так что....учите мат часть!
СветочеК 22.09.2011 04:54:
так никто и не поможет?(((((((((что же делать?
Почему не поможет? Поможем! Выложите фото вашего баннера или подробно его опишите....так же напишите что можете выполнять на компе..т.е что не заблокировано...
лягуха квакуха 22.09.2011 21:43:
я не могу послать вам фотку,это банер говорит о том,что я посетила будто бы сайты с насилием над детьми,на меня будет послано в суд,если не заплатим 400рублей
А что трудно фотоаппаратом сфоткать? или мобильником?
Номер телефона ни очем не говорит..в вирус вшит код меняющий номера телефонов при каждой перезагрузке...
заблокирован ноут у друга,по телефону объяснил так:картинку рабочего стола видно,но без папок и ярлыков.Курсор за пределы баннера не выходит.Сам баннер выглядит так-шириной см13-14,сверху с см синяя полоса с красным текстом:виндоус заблокирован.Ниже см 10 белое поле с чёрным текстом,сколько и куда ложить.И в завершение с 3 см снова синяя полоса с красным текстом-Внимание......
Пора наверное разобраться с распространителями Винлокера Trojan.Siggen3.1694
Этот тип вируса заполонил интернет и модифицируется практически каждый день, позавчера размер исполняемого файла был 194 кб, вчера 206 кб.
Самое паршивое, что эти люди распространяют блокер не только на порно ресурсах, но и на вполне безобидных сайтах, таких как новости, музыка, дизайн, но больше всего меня возмутило распространение этого вируса на детских сайтах, особенно про мультфильмы- это уже выходит за всякие рамки....я уже читал сообщения людей на этом и других форумах, что на компьютерах их детей после посещения сайтов выходит этот блокер....
Считаю необходимым опубликовывать адреса и наказывать владельцев этих сайтов...
Просьба всем кто подхватит данный тип вируса...пишите в форум и по возможности указывайте адрес сайта где вы его поймали.
Dgati 23.09.2011 12:20:
zaruta, спасибо за ответ))), но у меня XP а когда непрерывно держу клавиши диспетчер не появляется, а меня ется номер телефона((
а нельзя с помощью другого компьютера через домашнюю сеть зайти в диспетчер моего компа? или только вариант с Лайв СД?)
Dgati 23.09.2011 12:24:
zaruta, а ещё напишите пожалуйста, где вы указали где он сидит, а то я нашла только ваше сообщение с фоткой баннера и номером аськи)))
Dgati 23.09.2011 12:37:
zaruta,а инструкция mrbelyash это вот это:?
прописывается в ключ shell при этом заменяет собой
taskmgr.exe и userinit.exe
А также системные копии
C:\WINDOWS\system32\dllcache\taskmgr.exe C:\WINDOWS\system32\dllcache\userinit.exe
----------
необходимо изменить ключ реестра
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="Explorer.exe"
и заменить вышеуказанные файлы
------
поясните пожалуйста куда нужно прописать shell? "в ключ"-это где?
да, если у вас синий баннер....вы ведь так фото баннера и не дали..а я не всевидящий...
mrbelyash 23.09.2011 06:13:
У меня живее всех живых и никогда на ней не было и не будет тормозного каспера.
Ну вы наверно не часто запускаете пиратки, кряки, no cd и т.д. Тем, кто любит халявный софт, надо защищаться. А кто лицензионками пользуется - от чего ему защищаться?
Я например не пользуюсь антивирусными программами и качаю софт самый различный и пиратский в том числе...и от чего защищаться? У Вас, что на компе инфа в каком швейцарском банке Вы храните миллионы? И номер счета и пароль....я скорее всего уверен что кроме пары песен и пары фильмов у 80 % пользователей ничего нет.....нахрена нужен Веб или Каспер?
Я просчитывал по времени:
1. Избавление от вируса и восстановление системы после его вмешательства..
2. Формат С...
Итог: Формат С......быстрее.....вот и вся история...
....если у вас баннер синий и там еще статьей вас пугают.....читайте ветки форума...там есть инструкция по удалению этого баннера...он подменяет системные файлы...