gnom12 12.08.2011 17:52:
Доброго времени суток ВСЕМ!Народ!Помогите с одной "шляпой"! Уже месяц маюсь!Поймал баннер с просьбой выслать через терминал 400 рублей, а на чеке будет стоять код разблокировки. номер-9643399370.Если кто знает,буду КРАЙНЕ признателен за помощь......откат времени в биосе не помогает, клавиша F8 при загрузке не отвечает.....
fedaаа 13.08.2011 01:31:
помогите,плиз,банер требукт положить на номер билайн,номера меняются при перзагрузке,шапка темна синия,сердина синия и низы синие,текст белый,штраф за просмотор порно с мололетками и педофилию,стать даже написал,я ее проверил есть такая,пробовал все,и все что выше сказано,кучи кодов и ссайтов а толку нету,что делать?винду переустанавливать не умею,помочь мне не кому,друзей нету,на програмистов денег нету,вообще полный смурфец!есть различные номер которые выдает банер,89067977956,89654101739,ну некоторые другие!если есть возможность переустанавливать ось следует ли это делать?
Ксю13 20.08.2011 01:09:
У меня был мтс, я набрала мой номер на сайте http://support.kaspersky.ru/... он мне код не выдал, затем я несколько раз перезагружала комп. нажимала CTRL+ALT+ShiftW CTRL+ALT+ShiftG CTRL+ALT+ShiftJ (это я от балды набирала) он сам поменял номер телефона код на который в касперском оказался и он сразу сработал,но теперь пустой экран и ничего не реагирует. Это бред сумасшедшего!!!!!!!!!!!!!!!!!!!!!!
Ксю13 20.08.2011 11:49:
я набираюWin+U он не реагирует.надо набирать когда комп уже загрузился и появилась картинка рабочего стола,правильно же? что же делать если не реагирует?
njvf 21.08.2011 00:13:
Помогите! Проблема, не могу справиться! Банер. Заблокирован винд. В безопасном режиме таже история. Требуют денег на МТС +79111527757. Благодарна всем кто откликнется.
Antibaner 21.08.2011 19:09:
Проходим по ссылке и все читаем внимательно.
Удалить банер не так уж и сложно главное иметь в пользование диск с программой InfraCD.
Все у вас получится!!!
http://depositfiles.com/...
Antibaner 21.08.2011 19:09:
Проходим по ссылке и все читаем внимательно.
Удалить банер не так уж и сложно главное иметь в пользование диск с программой InfraCD.
Все у вас получится!!!
http://depositfiles.com/...
Antibaner 21.08.2011 19:09:
Проходим по ссылке и все читаем внимательно.
Удалить банер не так уж и сложно главное иметь в пользование диск с программой InfraCD.
Все у вас получится!!!
http://depositfiles.com/...
Вирусов там нет. Непросто текст а програмка. Неверишь не качай а людям я у себя в городе помогаю удалять банеры. И тут давно уже только ща под другим ником раньше ник был XDisikX просто с него почемуто писать не могу.
Я не приношу вред а наоборот делаю добро
>>
>>А какая разница Где ссылка. Если надо можно скачать и бесплатно.
>>Не кто не просит тратить деньги, и файл весит не так уж и много.
Virlab 23.08.2011 04:40:
Чистите реестр, и баннер такого вида не сможет себя запустить.
В реестре нужно воспользоваться поиском и найти раздел: userinit.exe
Раздел в виде папки нужно удалить. Но запомните содержание!
rghost.ru/9324771 - "Если кого пугает расширение этого файла(exe), то файл можно проверить на virustotal с помощью 42 антивирусов."
Проверка на вирустотал не гарантирует отсутствие вируса. Если вируса там не нашли, то это не говорит о том, заражен ли файл или нет. Это означает, что там нет вируса, который есть в антивирусных базах.
Можно отсюда скачать http://rghost.ru/9326171
Берем OllyDbg и вперед. Не умеем? Отправляем вирусным аналитикам.
dendy1235 27.08.2011 17:54:
Здравствуйте! Помогите, пожалуйста! Высветился на компьютер баннер пополнить счет телефона 500 рублей на номер 7981 129 9923. Если вы пополните счет, то на чеке появится код.Что делать? Какой код нужен?
nason 28.08.2011 10:56:
Последняя фотка ( Trojan.Siggen3.699 )
не могу победить. В реестр с другого компа залез - чисто!
С лайф CD грузится, но на ноуте HP Pavilion винт стоит без возможности изменения в AHCPI и загрузка с внешнего виндовоза его (винт) не видит.
Что подскажете!?
код:8901432
код:10381120
пробывали?
Если не подошли то киньте мне файлик с:\WINDOWS\system32\config\software
nason 28.08.2011 11:56:
Коды пробовал, не подошли.
Я все-таки победил его!!!
Сделал следующее:
Винт подключил к своему компу (Symantec и Dr.Web CureIt не помогли)
1. Очистил все папки "Temp".
2. Очистил "Temporary Internet Files".
3. Очистил "C:\Windows\Prefetch\"
4. Жёстко удалил Opera из всех папок (Program Files, Local, Roaming), сохранив только bookmarks.adr и speeddial.ini.
Mosilla не установлен, я бы тоже удалил всю...
Всё! В безопасном режиме запустил Винду!!! Думаю и норм теперь запустится, пока так проверюсь в системе.
Спасибо за сотрудничество!
ЗЫ. Реестр чистый, гарантирую, потому файл Software высылать не вижу смысла. В нормальном режиме всё работает, баннера нет!
gar21 06.09.2011 13:00:
помогите пожалуйста по пунктам как избавиться?
я скачал Live cd на диск,но дальше не знаю что делать!и как вообще им пользоваться!
Для того чтобы выбрать загрузку с диска нужно во время загрузки компьютера нажать любую клавишу при появлении сообщения Press any key to boot from CD . . . (на это у Вас 5 секунд или 5 точек)
Чего ждать то баннера? Жми на кнопки, чтобы комп понял откуда нужно загрузиться.
Можете рассказать пожалуйста поподробней?безопасный режим не работает,в биосе тоже ничего не могу сделать,не понимаю где и как потому что в Boots всё по другому!можете расписать как вылечить Trojan.Siggen3.1694
denisska22 08.09.2011 10:58:
Помогу удалить баннер за плату! Только для жителей Санкт-Петербурга! Все подробности вы можете узнать, написав на den112_90@mail.ru
Ромашка1008 08.09.2011 11:38:
Trojan.Winlock.3278 фото такое, только тел отличается. Скачала инструкцию, буду вечером пытаться. у меня лицензионный доктор веб стоит, думала он защищает на 100% :(
у этого баннера нет кода разблокировки!!!
нет!!! даже и не просите!!!
автор его просто не делал.этот баннер заменяет системные файлы-его нужно удалять вручную.
ТСН 09.09.2011 12:09:
кто готовий розказати про це! я кореспондент ТСН , 1+1, шукаю героїв для сюжету, які напрапили на цей вірус. Мій номер 0504407592. Чекаю!!!
maxim163 13.09.2011 18:57:
Trojan.MBRlock.6
Только пишет
Внимание! Ваш ПК заблокирован за просмотр и распространение порнографии с участием несовершеннолетних.....
красными буквами на черном фоне
Внизу Enter code
maxim163 13.09.2011 19:11:
У кого такая фигня - ПРОСТО переведите дату на 10 д. вперед
Если у Вас Нэтбук - зажать F2 при включении компа .
Если у Вас Ноутбук - зажать F2 при включении компа .
Если у Вас Стационарный Комп. - зажать Del при включении компа
операция произведет переходу в биос - там перевод на 10 д. вперед дату
и все в Ажуре!
Та ну не нужно утверждать...это что то старое попалось.
После запуска блокера операционная система уйдет в перезагрузку, а при последующей загрузке компьютера отобразится следующий текст.
Ниже представлены скриншоты начальных секторов жесткого диска до и после их заражения блокером.
Начальные секторы жесткого диска до заражения
Фрагмент той же самой области жесткого диска после заражения
Отчетливо видно, что начало жесткого диска значительно преобразилось – добавился дополнительный код.
Первым делом вредоносный код считывает девятый сектор и сохраняет его по адресу 0186A:0000. Затем, на него выполняется переход с помощью CALLF 0186A:0000.
Далее, происходит проверка текущей даты и времени с эталонным значением.
Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.
Время и дата получаются напрямую из BIOS’а при помощи следующей последовательности команд:
- mov al, x
- out 70h, al
- in al, 71h
- aam 10h
- aad
Где ‘x’ принимает разные значения в зависимости от того, что требуется получить.
Стоит отметить, что BIOS возвращает числа в формате BCD.
Инструкции AAM и AAD преобразовывают эти числа в hex.
Если проверка на время и дату прошла успешно, то зловред зачитывает секторы с третьего по пятый включительно.
В третьем и четвертом содержатся так называемые «user font table», а в пятом – текст, отображаемый при загрузке.
Для применения собственного «стиля» написания текста вызывается INT 10h.
Далее, зачитываются секторы 5-8 включительно, и выводится текст, содержащийся в пятом и нулевом секторах (“Enter Code:»).
Фрагмент кода, выводящий на экран текст
После этого начинает работать цикл проверки введенного текста.
Цикл реализован следующим образом:
Вначале вызывается инструкция INT 16h.
Это прерывание возвращает в AX значение нажатой кнопки (AH = скан-код, AL – символ) клавиатуры:
- mov ah, 0
- push di
- int 16h
- pop di
- jmp short loc_7CC7
Потом идет проверка на введенный символ.
Если он находится между 20h и 7Fh, то его значение записывается по ES:DI при помощи инструкции STOSB.
Если же была нажата клавиша Enter (0Dh), то выполняется проверка введенной и эталонной строки при помощи REPE CMPSB.
Сравнение введенной строка и кода разблокировки
Из скриншота видно, что по адресу ES:7DA5 находится строка, необходимая для разблокировки загрузки компьютера.
Вот что находится по этому адресу: '002158RD',0.
А так как в CL заносится число «6», то это означает, что достаточно ввести лишь «002158».
Если введен корректный код, то зловред берет из второго сектора оригинальный MBR и записывает его в начало жесткого диска.
Сектора, используемые блокером:
1 – основной код;
2 – оригинальный первый сектор;
3 – 4 – user font tables;
5 – 6 – текст, выводимый пользователю;
7 – 8 – сектора заполнены нулями;
9 – код, выполняющий сверку текущей даты и времени;
Это старый....Вот интрукция как достать код для старья
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
Azaryj 15.09.2011 20:42:
Все сделал, спасибо. Баннер исчез, но...
Комп грузится до Приветствия, после выбора пользователя снова предлагает выбрать пользователя или выключить.
беглец 16.09.2011 22:41:
Ваш компьютер заблокирован нужно положить на номер +7 981 129 11 36 денежку в размере 300р......................помогите убрать это...