Для разблокировки компьютера баннер требует пополнить мобильный счет абонента

zaruta 10.06.2011 14:46:

mrbelyash 10.06.2011 06:32:
Зачем кричишь?

хттп:goodsexp0rno.info/2/sex.html

• mrbelyash Спасибо за ссылку!
• Примитивный лохотрон, хотя блокирует комп насмерть...
• Ну неужели пользователи интернета качая с этого сайта порно-ролик porno-rolik2.avi.exe и запуская его не понимают, что расширение файла .exe да и вес 85 кб...ну какое это нахрен видео????
• После запуска porno-rolik2.avi.exe вылазит порнобаннер, а всему виной процесс 1522527429.exe
• Удаление только из под ERDC.....хотя я запустил его в песочнице...перезагрузка и УСЁ... ( каюсь, но времени катастрофически нехватает)
• Позже выложу подробнейший отчет со скриншотами и рекомендациями удаления без всяких кодов...

Сегодня удалял такой баннер. ERD Commander не понадобился. Через безопасный режим загружается нормально. Сидит в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

basy 12.06.2011 17:12:
поймал банер, который требует пополнить счет на 500 р абонента билайн номер 9096694100

В безопасный режим загружается?

basy, как успехи?

basy 12.06.2011 18:37:
пуск, а выполнить не открывается

загрузись в безопасном режиме с поддержкой командной строки, в ком строке regedit, потом все что я про реестр писал. после того как в реестре все исправишь, закрываешь редактор реестра. в ком строке пишешь explorer.exe и ентер. дальше удаляешь файл и перезагружаешься. У меня файл называется 143924822.exe. значок как у видео

basy 12.06.2011 18:51:
ничего не получается

что конкретно не получается?

basy 12.06.2011 19:15:
вообще все из того что ты написал, не тполучается ничего не открывается, может я делаю что-то не так? можешь написать по подробнее

в безопасный режим с поддержкой командной строки загрузился? не просто в безопасный режим, а именно с поддержкой командной строки. в это режиме рабочий стол не появляется. только окно с командной строкой и всё.

теперь вводишь с клавиатуры команду regedit и нажимаешь кнопку ентер. откроется окно редактора реестра, как здесь на картинке: http://blog.fc-service.ru/...htm.... окно разделено на две части. в левой в древовидной форме отбражаются ветки реестра. каждая папка содержит подпапки. чтобы ее открыть надо два раза тыкнуть мышкой или нажать на плюсик. открываешь HKEY_CURRENT_USER там ищешь и открываешь Software, в ней Microsoft, в ней Windows, в ней CurrentVersion, а уже в ней ищешь Run и нажимаешь на эту папку, чтобы она стала выделенная, как на последней картинке по ссылке. в правой части окна выводятся параметры ключа Run. Напиши все значения из столбика Имя

что в командной строке пишет после выполнения команды?

попробуй c:/windows/system32/regedt32.exe Если не получится, тогда только через ERD Commander. Ссылку выше давал

sura 21.06.2011 12:53:
Большое спасибо FOKINMAX. Благодаря твоим подробным подсказкам мне удалось ликвидировать троян 3481. Ну очень тебе благодарен.

Спасибо, я старался

Кто знает, где найти баннер, который в MBR прописывается? Хочется его попытать, а то все никак не нарвусь

mrbelyash 21.06.2011 14:00:

fokinmax 21.06.2011 13:40:
Кто знает, где найти баннер, который в MBR прописывается? Хочется его попытать, а то все никак не нарвусь

А у меня есть

Поделись таким ценным добром

mrbelyash, когда поделишься обещанным МБРЛоком? Скинь на почту, если не трудно

Arwed 06.07.2011 12:09:

fokinmax 06.07.2011 10:52:
Если уж и переустанавливать винду, то в режиме восстановления (клавиша R после принятия лицензии в XP), а не поновой на тот же диск.

Как этим пользоваться?

Если человеку надо спасти свои фото, документы и т.д., то сначала можно создать новую папку windows (зараженная windows останется на месте), с неё загрузится, спасти важную информацию, а потом заняться лечением зараженной папки windows.

fokinmax 06.07.2011 10:52:
Так что через ERD Commander на много меньше гемороя, да и времени занимает максимум 10 минут. Инструкция здесь: http://blog.fc-service.ru/...htm...

Не все понимают, что надо делать, даже прочитав подробную инструкцию!

Какой смысл разблокировать винлок, если он снова появится и его надо разблокировать? Может стоит соблюдать правила безопасности?

Где можно на эти винлоки глянуть? А то мне что-то не попадаются! Желательно в виде exe файла (типа порно.avi.exe)

Как ты не можешь понять, что если переустановишь винду на тот же диск, лечить уже нечего будет? Ну останется старая папка windows и всё. Program Files и Documents and settings новые будут. Соответственно и проги и файлы на рабочем столе и в Моих документах будут стерты. Если так трудно понять по инструкции с картинками как удалить баннер, то на крайний случай можно дать совет загрузиться через ERD Commander или LiveCD и сохранить все фанные, а потом по полной переустановить винду с форматированием, а не кашу на диске делать. Так что данный совет совершенно не уместен

zaruta 06.07.2011 14:06:

fokinmax 06.07.2011 10:56:
mrbelyash, когда поделишься обещанным МБРЛоком? Скинь на почту, если не трудно

• Извините что вклиниваюсь...
• А зачем Вам MBR...??? Баннер туфтовый...ничего интересного...
• У меня есть....если надо могу залить...пишите...

Да просто ради интереса. А то мне еще не попадался. Посмотреть, что за зверь Залей, если не трудно

zaruta, ну так что на счет MBR?

Arwed, ты все правильно говоришь, в принципе. НО... тема совсем о другом. Сюда не заходят те, кто еще не поймал винлок. Вот об этом тебе mrbelyash уже не первый раз и говорит.

zaruta 07.07.2011 21:19:
fokinmax лови MBR http://zalil.ru/31392876 пароль на скачку 2011, пароль на архив у тебя в ЛС

благодарю

Arwed 08.07.2011 00:11:

zaruta 07.07.2011 18:30:

• ...вы ведь платите им деньги за приобретение и использование их програмного обеспечения ??? Не так ли? Так почему же я купив ( причем не дешево) их програмное обеспечение должен задумываться об безопасности???

Антивирус защищает в зависимости от того ,как он настроен. Для кого-то Вконтакте - надежный источник, exe-файлы оттуда качать можно. Раз надежный, значит можно добавить в доверенные/исключения (контролируется экраном поведения или вообще не контролируется, смотря какой антивирус).

Я полностью согласен с zaruta. И речь тут совсем не о том как настроен антивирус. Любой баннер делает практически одни и те же действия с реестром и системными файлами (подмена userinit.exe). Так неужели антивирус, за который заплачены немалые деньги, не может хотябы предупредить об этом пользователя. Тут и антивирусные базы не нужны, чтоб определить баннер. Ан нет

Arwed 08.07.2011 12:01:
У меня касперский и comodo мне сообщали (потому что я экран поведения настроил). Проблема в том, что незараженные программы тоже лазают в реестр и системные файлы. Если программа форматирует диск без разрешения пользователя - это троян. Если программа делает это с разрешения пользователя - это не вредоносная программа. И как тут определить - форматирование диска это вредоносная команда или нет? Или, например, хочет программа в автозагрукзу прописаться, но это совсем не означает, что это винлок! Если в касперском вы сунули программу в доверенные, то нет ничего странного, что касперский пропустил троян!

Я вчера MBR запустил, на который тут ссылку дали, никаких денег не вымогали! output.exe не работает! ЧЯДНТ?

http://support.kaspersky.ru/...

Ну не скажите. Ни одна программа не подменяет такие критические файлы, как userinit.exe. Да и в реестре в шелл и усеринит тоже не пропитывается. Это однозначно! А по поводу автозагрузки все правильно. Только если бы баннеры прописывались только в автозагрузку, то их можно было удалять да 2 минуты через безопасный режим

Inna Kr 10.07.2011 11:41:

fokinmax 09.07.2011 22:56:
Всем у кого этот баннер читайте здесь: http://blog.fc-service.ru/...htm...

Скачать образ диска можно здесь: ERDC.iso (677 mb). Образ нужно записать на CD. Это можно сделать с помощью бесплатной программы для записи дисков DeepBurner (скачать можно здесь).

пыталась скачать туда, куда Вы послали. Кликаю скачать бесплатно - а он введите свой номер телефона - ввела - пришел код доступа - ввела его, в итоге ничего не произошло - сказали, что -то неправильно. как его скачивать?

а зачем телефон вводить? скачивайте в бесплатном режиме. дольше, зато бесплатно. вот так вы и баннеры цепляете. тыкаете куда попало, не утруждая себя даже прочитать что на этой странтце пишут. если читать, то не возможно не понять что вам предлагают купить вип аккаунт. а для бесплатной скачки ничего вводить не надо

Inna Kr 10.07.2011 16:52:

Inna Kr 10.07.2011 15:13:

fokinmax 10.07.2011 14:25:

Inna Kr 10.07.2011 11:41:

fokinmax 09.07.2011 22:56:
Всем у кого этот баннер читайте здесь: http://blog.fc-service.ru/...htm...

Скачать образ диска можно здесь: ERDC.iso (677 mb). Образ нужно записать на CD. Это можно сделать с помощью бесплатной программы для записи дисков DeepBurner (скачать можно здесь).

пыталась скачать туда, куда Вы послали. Кликаю скачать бесплатно - а он введите свой номер телефона - ввела - пришел код доступа - ввела его, в итоге ничего не произошло - сказали, что -то неправильно. как его скачивать?

а зачем телефон вводить? скачивайте в бесплатном режиме. дольше, зато бесплатно. вот так вы и баннеры цепляете. тыкаете куда попало, не утруждая себя даже прочитать что на этой странтце пишут. если читать, то не возможно не понять что вам предлагают купить вип аккаунт. а для бесплатной скачки ничего вводить не надо

Спасибо, скачиваю

Я скачала, но дальше не пойму что делать - захожу в безопасный режим, вставляю записанный диск и..ничего ровным счетом не происходит. При этом когда я пытаюсь разархивировать этот файл - он отказывается это делать. Что не так? Я уже замучалась - даже первого шага не получается сделать... ((

файл не нужно разархивировать. это образ диска. Его нужно записать на болванку. После этого в биосе поставить загрузку с дисковода и загрузиться с этого диска. дальше все подробно в инструкции.

Inna Kr 10.07.2011 20:36:

fokinmax 10.07.2011 19:39:

Inna Kr 10.07.2011 16:52:

Inna Kr 10.07.2011 15:13:

fokinmax 10.07.2011 14:25:

Inna Kr 10.07.2011 11:41:

fokinmax 09.07.2011 22:56:
Всем у кого этот баннер читайте здесь: http://blog.fc-service.ru/...htm...

Скачать образ диска можно здесь: ERDC.iso (677 mb). Образ нужно записать на CD. Это можно сделать с помощью бесплатной программы для записи дисков DeepBurner (скачать можно здесь).

пыталась скачать туда, куда Вы послали. Кликаю скачать бесплатно - а он введите свой номер телефона - ввела - пришел код доступа - ввела его, в итоге ничего не произошло - сказали, что -то неправильно. как его скачивать?

а зачем телефон вводить? скачивайте в бесплатном режиме. дольше, зато бесплатно. вот так вы и баннеры цепляете. тыкаете куда попало, не утруждая себя даже прочитать что на этой странтце пишут. если читать, то не возможно не понять что вам предлагают купить вип аккаунт. а для бесплатной скачки ничего вводить не надо

Спасибо, скачиваю

Я скачала, но дальше не пойму что делать - захожу в безопасный режим, вставляю записанный диск и..ничего ровным счетом не происходит. При этом когда я пытаюсь разархивировать этот файл - он отказывается это делать. Что не так? Я уже замучалась - даже первого шага не получается сделать... ((

файл не нужно разархивировать. это образ диска. Его нужно записать на болванку. После этого в биосе поставить загрузку с дисковода и загрузиться с этого диска. дальше все подробно в инструкции.

хорошо а как в биосе (и что это такое кстати?) поставить загрузку с дисковода? диск сразу вставлять или на каком этапе?

я пробовала - у меня ничего не происходит из того что должно происходить

вот здесь почитайте: http://blog.fc-service.ru/...htm... Первая половина статьи как раз про то, как записать диск и поставить загрузку с дисковода. Только записывать образ нужно тот, что вы скачали раньше (ERDC.iso). После записи диска вставляете диск в дисковод и настраиваете загрузку в биосе

Arwed 20.07.2011 17:05:

fokinmax 06.07.2011 13:47:
если переустановишь винду на тот же диск, лечить уже нечего будет

Люди разблокировать винлок не могут даже по инструкции. Вот я и предложил создать новую папку windows. Ничего стёрто не будет! После этого человек может продолжать работать на компе (если у него нет второго компа, но есть установочный диск) и паралельно лечить зараженную папку windows.

Если человек не может элементарно загрузиться с диска, то и винду поставить не сможет (она тоже требует загрузку с диска) Так что разницы нет. А если брать сколько времени и гемороя установка винды, дров, программ, настройка инета, вытаскивание данных и т.д. (для неподготовленного пользователя), то удалить баннер по инструкции с картинками намного проще и быстрее. Я уже молчу о том, если на компе стоят всякие 1с и банк-клиенты

Inna Kr, 1. hkey_local_machine\software\microsoft\WindowsNT\CurrentVersion\Winlogon - shell. два раза щелкаем на shell, появится окно для ввода параметра. Записываем путь, который там на бумажку (это баннер, потом по этому пути удалим в ручную), стераем его и пишем то что надо (explorer.exe). жмем ок 2. HKEY_USERS\Инна\Software\Microsoft\Windows\CurrentVersion\Run SYS - однозначно вирусняк! Записываем путь на бумажку, потом удалим в ручную. Теперь правой кнопкой на SYS и выбираем удалить. userini - такого значения быть здесь не должно - однозначно вирусняк. Делаем то же, что и с SYS В остальных ветках вроде все норм. Но лучше сделать поиск по всему реестру. В меню редактора Правка - Найти вводим по очереди названия файлов, которые на бумажку писали. Все ключи с этими файлами в виде параметра удаляем. Будьте внимательны, не удалите лишнего. Название файла должно точно совпадать и лежать в той же папке. Пока все. Файлы C:\windows\system32\userinit.exe и c:\windows\system32\taskmgr.exe скорее всего зараженные. Как восстановить там же в статье есть ссылка. Что не понятно, пишите

Inna Kr, если на компе с которого пишите тоже вин хп, то проще скинуть на флешку userinit.exe и taskmgr.exe с рабочей винды, апотом вставить их в свою. И еще важное замечание, пока не закончите всё лечение, не пытайтесь загружать зараженную винду. Придется начинать все с начала!

fokinmax 24.07.2011 14:52:
Inna Kr, если на компе с которого пишите тоже вин хп, то проще скинуть на флешку userinit.exe и taskmgr.exe с рабочей винды, апотом вставить их в свою. И еще важное замечание, пока не закончите всё лечение, не пытайтесь загружать зараженную винду. Придется начинать все с начала!

mrbelyash 24.07.2011 14:41:
Inna Kr

Файл с:\WINDOWS\SYSTEM32\userinit.exe прислать в личку...похоже он был заменен трояном.

Fokinmax , а где их найти на рабочем Windows? И как потом вставить в свою, не перезагружаясь, ведь там уже диск загружен? Флешку вставить?

В папке c:\windows\system32\ Копируем на флешку, вставляем в зараженный комп, снова перезагружаемся в ERD Commander и продолжаем лечение. Запускаем проводник (Start-Explorer) в ERDC, заходим в папку c:\windows\system32\ и удаляем там userinit.exe, taskmgr.exe и заодно все файлы, которые переписали на бумажку. Затем идем на флешку, правой кнопкой на файл - Copy to и выбираем папку с:\windows\system32\ жмем ОК. Тоже самое делаем с этими файлами в папке c:\windows\system32\dllcache\

fokinmax 24.07.2011 14:45:
Inna Kr, В остальных ветках вроде все норм. Но лучше сделать поиск по всему реестру. В меню редактора Правка - Найти вводим по очереди названия файлов, которые на бумажку писали. Все ключи с этими файлами в виде параметра удаляем. Будьте внимательны, не удалите лишнего. Название файла должно точно совпадать и лежать в той же папке.

Fokinmax , я правильно поняла нужно зайти в меню Start, выбрать Search и там искать в диске С, а в строке забивать путь файлов зараженных (по очереди)?

Нет, в редакторе реестра в верхнем меню Edit-Find В окошке поиска вводим название файла, например userini.exe, и жмем find next. Показывает найденный результат. смотрите совпадает, не совпадает. Если да, удаляете ключ реестра. Жмем F3, он ищет новое совпадение и так, пока не напишет Finished searching through the registry (поиск закончен). Жмем ОК. И опять все с начала со следующим файлом.

Шаг 3 Start - Administrative Tools - Autoruns - System (папка) : Непонятно... У меня не отображается в Description Company всякой буки-бяки. Все читаемо. Значит файл C:\WINDOWS\system32\userinit.exe не заражаен?

userinit.exe должен быть Microsoft, а тут хрень какая-то. Так что заражен

Проверяю загрузку программ от имени пользователя: Тоже все читаемо в первой строке... Гляньте, а?

Удалите папку c:/program files/tvzvplayer - там вирус, и все что есть в папке c:\documents and settings\инна\главное меню\автозагрузка\. Файл userini.exe я так понимаю вы уже удалили.

Inna Kr 24.07.2011 20:16:

fokinmax 24.07.2011 17:48:

Затем идем на флешку, правой кнопкой на файл - Copy to и выбираем папку с:\windows\system32\ жмем ОК. Тоже самое делаем с этими файлами в папке c:\windows\system32\dllcache\

а может мне его и не надо распаковывать, он же уже с расширением exe с рабочей винды

да?

Загрузила на флешку бесплатную утилиту DrWeb Curelt, а она ни с флешки не загружается, ни на диск C не влезает

fokinmax где же вы.... хочется уже плоды видеть...

а то сейчас папа с дачи приедет и будет кричать, что я опять на его ноутбук залезла

Распаковывать уже не надо. Вы скопировали уже готовые файлы. CureIt в ERD Commander не надо запускать. Его запускаете уже в рабочей винде, чтобы подчистить систему полностью от других вирей. Если вы все поправили в реестре, скопировали системные файлы на место и удалили все файлы баннера, вытаскиваете диск и перезагружаетесь в свою винду. Должно все заработать

Yazichnick 25.07.2011 14:56:
Программа для уничтожения баннеров. "Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями"

http://support.kaspersky.ru/...

Мне офигенно помогла, когда найденные в интернете коды не подействовали.

Загружал эту программу через USB-флешку (образ), все убрал автоматически. Теперь можно жить дальше.

Почитал сейчас инфу по этой утилите. Я так понял, что она только реестр правит. Если это так, то опять в большинстве случаев от нее толку ноль будет. userinit.exe она на правильный не заменит, соответственно баннер останется

Inna Kr 29.07.2011 21:19:
Господа товарищи, это снова я - у меня еще вопросик, можно немного не по теме?

Я себе на компе поставила ESET NOD32 Antivirus4 - прекрасно работает, все отлично, но как раз в последнее время перед тем, как я троян порновирусный словила - у него были проблемы с обновлением базы данных сигнатур, он, бедняжка, стал не в состоянии это сделать самостоятельно, все запрашивал участие пользователя - я все теперь вручную нажимаю "обновить базу данных сигнатур" - а он не моожет... выдает ошибку обновления баз сигнатур... почему, непонятно.

последнее успешное обновление у него было 08.07.2011

может ли это быть как-то связано с тем, что у меня на системном диске C: осталось 12 Мб свободного места - он пишет, что это критическое значение?....

12 мб? Как винда вообще загружается? Надо чистить однозначно. А по поводу антивирусника думаю следующее. Во первых проверить CureIt в безопасном режиме. если не поможет, переустановить антивир. Чем Нод, аваст лучше и бесплатный к тому же (это мое мнение)

Timsson 30.07.2011 08:05:
Помогиииите!

Записывать ERD Commander на флешку и с нее удалять. Инструкция здесь: http://blog.fc-service.ru/...htm...

nfs--carbon 01.08.2011 21:10:
Здраствуйте! У меня Windows XP service pac 3. Вылез баннер синяя табличка с белым шрифтом написано что я смотрель порнофайлы с несовершеннолетними или пидофилией. просит положить 500р. на номер Билайн. Перезагрузка или выключение приведёт к стиранию bios меню, без возможности дальнеёшего востановления. я переустановил винду но теперь он у меня тупит. Можно узнать почему и можно ли это исправить?

ЗАРАНЕЕ СПАСИБО

Кривая сборка, криво поставил, не стоят какие-то драйвера... Да много чего может быть

fedaаа 14.08.2011 14:54:
ага,только если у человека нету второго компа и пойти то некуда что тогда?

А тут он тогда откуда пишет?

fedaаа 14.08.2011 19:27:
с мобилы

Ну значит не судьба. Без второго компа не обойтись(( У последних баннеров нет кодов и в безопасный режим тоже не пускают, так что только загрузка с диска или флешки, которые надо сделать на другом компе

Здесь инструкция по удалению баннеров: http://blog.fc-service.ru/...htm... Подходит и к ХР и к семерке