Где-то подхватил блокиратор с девицами.
сайт ДРВЕБ определяет его как WINLOCK 2060 по картинке и по номеру смс, но подбирает не удачный код
Кто-нибудь знает как с этим бороться. Заблокировано все кроме питания.

попробуй зайти на сайт касперского, там у них есть все коды :D

попробуй зайти на сайт касперского, там у них есть все коды :D
Там их сотня если не больше перепробовал примерно половину не помогло.
Зараженный комп далеко от действующего. :cry:

http://otvet.mail.ru/question/42288819/?from=search_results

http://otvet.mail.ru/question/42288819/?from=search_results
предлагаемые коды не действуют :cry:

http://www.drweb.com/unlocker/index/?lng=ru

Универсальный способ.
0. Идём на рабочую машину. К другу, на работу, в игнтернет-кафе, всё равно.
1. Ищем в интернетах LiveCD. Какой - абсолютно деревянно.
2. Выкачиваем его и пишем на болвань.
3. Приходим к "пациенту", вставляем LiveCD в привод, и грузимся с него.
4. Загрузив винду с LiveCD, первым делом идём в Пуск-Выполнить, набираем там "msconfig".
5. В появившемся конфигураторе на вкладке "Общие", убираешь галку "загружать элементы автозагрузки" и тыкаем "Ок".
6. Ребутаемся, вынимаем LiveCD, грузимся как обычно.

Есть и продолжение, на случай, если гадость прописывается как shell.
Попробуй сначала так, скажи что получится.

Универсальный способ.
0. Идём на рабочую машину. К другу, на работу, в игнтернет-кафе, всё равно.
1. Ищем в интернетах LiveCD. Какой - абсолютно деревянно.
2. Выкачиваем его и пишем на болвань.
3. Приходим к "пациенту", вставляем LiveCD в привод, и грузимся с него.
4. Загрузив винду с LiveCD, первым делом идём в Пуск-Выполнить, набираем там "msconfig".
5. В появившемся конфигураторе на вкладке "Общие", убираешь галку "загружать элементы автозагрузки" и тыкаем "Ок".
6. Ребутаемся, вынимаем LiveCD, грузимся как обычно.

Есть и продолжение, на случай, если гадость прописывается как shell.
Попробуй сначала так, скажи что получится.

Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.:ups:

В безопасном режиме банер есть? Сколько еще административных УЗ есть на компутере? Надо лечить бяку из-под другой УЗ в безпасном режиме или, как уже указали, через LiveCD.

скачать LiveCD Доктора Веба или Касперского, загрузиться с него и пролечить - сталкивался трижды с бякой, все три раза помогло только это

В безопасном отключить автозагрузку всего, и восстановить до предыдущего состояния системы.

Я в таких ситуациях на сайте ДР Веба смотрел... Но, похоже, не подходят, если правильно понял первый пост.

Ещё универсальный способ: запускаете сборку работающую с СД-диска, типа XPE, спасаете документы, качаете Kaspersky Virus Removal Tool (http://www.comss.ru/page.php?id=93) , Dr.Web CureIt! (http://www.comss.ru/page.php?id=67) , пытаетесь лечить.

В безопасном отключить автозагрузку всего, и восстановить до предыдущего состояния системы.

Не поможет, в безопасном таже бяка. Только лайв спасет, или подбор кода на сайтах...

В своё время выкрутился подбором, второй комп был рядом. Но весь вечер промучался.
После этого поставил SpyBot и пока без проблем. Где эту мороку подцепил не понял - по злачным местам не шарился.

Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.:ups:

Дополню следующее, обязательно удалить файлы в папках - Document and Settings\%user%\local settings\Temp,
Также полезно проверить в паке Nethood\temp\ - там иногда прячутся гады всякие.

Неплохо заглянуть в раздел Programm Files\, если там есть какой - либо "ля-ляля.exe" - первый признак вируса. Его удалить нещадно.
-
Неплохо будет заглянуть в реестр типа \HKEY_LOCAL_MASHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
И проверить там параметр Shell? Там должен быть только Explorer.exe.
Там же проверить Userinit. Должно быть только написано - C:\Windows\system32\userinit.exe, - и не более того.

можно пощарить в разделе реестра - \HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Run\ или \RunOnce\ ..
там запуски для текущего пользователя, может там запускающий модуль вира.

Очень рекомендую найти и скачать из инета AVZ модуль. Там в разделе "Файл" есть опция "восстановление системы". Через неё можно много чего сделать. например восстановить ключ запуска Explorer-a.
Это модуль рекомендуется запускать вместе со скаченным CureIT (от DRWEB) с предварительно записанного CD-R или CDRW. Что бы не было противодействия.
Вот только сегодня таким способом "выгрыз" руткит.
Если не запускается в "безопасном режиме", то надо запустить в режиме "командной строки", и оттуда вести все действия, запуская прроги в ручную.

Если не запускается в "безопасном режиме", то надо запустить в режиме "командной строки", и оттуда вести все действия, запуская прроги в ручную.
Тоже хотел написать. Но меня опередили.

Плюсы "безопасного режима командной строки" - то что explorer.exe не запускается, и userinit тоже.

Если гадость стартует, подгружаясь из раздела winlogon - никакие безопасные режимы не помогают. ;)

Расскажите, хоть, где такое подцепить можно? Лазию по всяким местам, но ни разу ничего подобного :) Да, стоит KIS2010 и не пользуюсь ослом. Ну так тот же KIS ни разу не вякнул, дескать что-то лезет на комп. Или это нужно какую-то надстройку для осла скачать и запустить, не смотря на все что он пишет, нажимая "ОК, ОК, ДА, ОК, ДА"?

Регулярно удаляю такие банеры. Не у себя, конечно.
Есть утилитки, например "Зоркий глаз", а в них лечилки (пример на скрине) от этой фигни. Как правило его так или иначе удается запустить. Ну а дальше - разблокируешь подключение к интернету, рабочий стол, диспетчер задач и т.д., находишь пароль к бяке и деактивируешь. Довольно быстро все и не надо никаких livecd. Ну и потом пару сотен с клиента за лечение не забыть взять :D

Как правило его так или иначе удается запустить.
Самая то большая проблема это как раз запустить что нибудь при таком баннере . А лечится он и обычным современным Антивирусом , тем же Касперским.

Да, стоит KIS2010 и не пользуюсь ослом.

У меня смутное подозрение, что Каспер втихаря сам что-то делает и не особо об этом докладывает. Возможно, блокирует вирь на уровне браузера. Недавно знакомые словили такого на уровне ссылки в аське "посмотри мои фотки". Они чайники, им простительно :)

Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.:ups:

попробовал не помогает.
все тмп пустые.
как можно проверить WINLOGON у меня только ввиде екзешника довольно длинного что там можно усмотреть?

попробовал не помогает.
все тмп пустые.
как можно проверить WINLOGON у меня только ввиде екзешника довольно длинного что там можно усмотреть?

Я правильно понял, что реестр просмотрен, утилиты AVZ & CUReIT использованы, но ничего не найдено?

Winlogon должен быть не более 500 кб для ХР , или 279 кб для 7-ки

Я правильно понял, что реестр просмотрен, утилиты AVZ & CUReIT использованы, но ничего не найдено?

Winlogon должен быть не более 500 кб для ХР , или 279 кб для 7-ки
Так там же абра-кадабра какая-то.

Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,:ups: ибо чайник.
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра:popcorn:

Так там же абра-кадабра какая-то.

Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,:ups: ибо чайник.
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра:popcorn:

Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.

Недавно тоже поймал порнобаннер (pornhub.com). Мучился, искал, как избавиться. Кто-то присоветовал зажать комбинацию ctrl-alt-shift-J или I. Ничего не вышло. Зажал ctrl-alt-shift и начал тыкать подряд по всем клавишам. На "А" отключилось и больше не появляется.

Тоже словил какой-то. Закрывает полностью рабочий стол, "три клавиши" не помогают - потому что список задач открывается под этой гадостью.
Начал шарить в реестре, потом в темповых папках со страху (в безопасном режиме). В итоге грохнул ASPI-драйвер. Заодно опытным путем выяснил, что на ASUS Eee 1000H при сломанном ASPI восстановить систему нельзя никак, кроме как с образа диска. Тот, что в комплекте (вроде как восстановительный) - не вариант. При этом информация с жесткого, естественно, убивается. Хорошо еще под безопасным удалось подцепить выносной жесткий и скопировать все, что было дорого, как память. )) Бяку пропустил AVIRA, к сожалению.

лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере :)) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня ;) , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .

А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.

К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.

Все коды разблокировки появились в обед сегодня на анлокере докторвебском. У нас 4 машины подхватили, где с админскими правами работают. Вирус просил 495хххххх на телефон 8353. Разблокируется и сам удаляется, надо только в реестре HKLM/software/microsoft/windowsNT/cuurentversion/ удалить раздел winlogon. Тот, который с маленькой. С большой - это правильный, его не надо. Сам находится в Program Files/common files/microsoft shared/mssoft.exe

http://www.drweb.com/unlocker/index анлокер
http://forum.drweb.com/index.php?showtopic=293738&st=0 - форум с описанием

К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.

Да , там оставлена возможность запустить в текстовом режиме . Работает адекватно , все , что надо -вычищает (включая реестр итп) . По крайней мере , была пара случаев , когда уже ничто не помогало (с Confickerom) - а drweb live cd хоть и долго , но все сделал.

Бяку пропустил AVIRA, к сожалению
у антивирусов вообще не очень получается обнаруживать эти блокеры по сигнатуре. с блокерами лучше работает эвристика, а ее обычно оставляют включенной по-умолчанию на низком или среднем уровне обнаружения. к тому же, возможно, что в бесплатной авире и механизмы обнаружения не самые-самые, да и контроля приложений нет. или речь о полной платной версии?
в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения. подозрительная активность программы детектируется неплохо как антивирусами, так и встроенной системой безопасности винды (UAC в висте, семерке).

Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.
Та так в итоге и поступили.
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает:yez:

---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------


лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере :)) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня ;) , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .

А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.

пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.:ups:
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?

или речь о полной платной версии?

Нет, бесплатная. Но эвристику я обычно включаю в "параноидальный" режим. )) Пусть лучше поорет, но спокойнее.


в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения.

В том и дело, что ничего не устанавливал и ни на что не соглашался. Пролез как-то через браузер. На chrome работал.


лучшее средство имхо - http://www.freedrweb.com/livecd/

Спасибо за совет, сделаю прозапас ))

Кстати, на второй машине с DrWeb (который Desk - через провайдера по подписке) ничего не пролезало. Правда и не детектилось тоже. Может, боятся и обходят? )))

Хорошее вспомогательное средство для последующей вычистки вручную :

http://www.computerra.ru/terralab/softerra/544885/

ну и Касперский тоже
http://support.kaspersky.ru/viruses/deblocker

кстати , и бесплатная утилита http://support.kaspersky.ru/viruses/avptool2010 тоже эффективна.

....К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?

Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно. :aga:

Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно. :aga:

Всем спасибо. Особенно Филипку и Барсуку. :bravo::bravo::bravo:
Пока работает:yez::yez::yez::yez:

И вот еще к вопросу о подборах кода:
http://esetnod32.ru/.support/winlock/

на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают

самый простой и легкий способ это позвонить туда и поругаться

дадут код. и всё ))

Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.

Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.
Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.

Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.
Наверняка, чтобы прикрыть подобную фирмочку, звонка достаточно, в тот же мтс, из того же отдела к.
Отстегивают.
Как раз с доказательно базой- все настолько прозрачно. Мечта прокурора.

Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.

Я слышал, что как раз какой-то депутат поднимал этот вопрос, было только это давненько.
А так бы, да, отловить, вывести на площадь, с табличкой их же порнобанера на шее, и вбить им дюбеля в голову. Реально достали. У меня друзья кучу раз ловили, я всё думал, где поймать умудряются, потом сам ловил, причём на книжных сайтах, причём на известных. Ладно второй комп дома есть, у сына.

на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают

самый простой и легкий способ это позвонить туда и поругаться

дадут код. и всё ))
действительно "SMS-лото (ЗАО Первый Альтернативный)

8353" у них на сайте "К сожалению, сервисные номера, принадлежащие нашей Компании, также используются мошенниками для совершения противоправных действий. Мы предпринимаем максимум усилий и времени для устранения подобных правонарушений. "
То есть они считают не несут ответственности.
они что не знают, кто у них номер арендует?:aggresive::aggresive::aggresive:

там не в этом дело
там дело в том что они изначально номер дают, а потом то он ходит. И они этот поход то остановить не могут, зато могут давать номера активации ))

я сис админ. я уже раз 7 подобными разговорами со службой претензий клиентов занимался, 2 из которых были на повышенных тонах. Но номер активации всегда дают

вот тебе сервис по борьбе с ними тел 8-800-100-73-3семь позвонишь и скажешь ,схватил порнобанер тебе помогут, скажут ключ.

Меня другое удивляет.
Все эти баннеры написаны донельзя тупо.
Как будто студент писал, или дитя малое.
Так, накорябано левой ногой, лишь бы работало...

Вот выйду я на пенсию, мне делать будет нечего, я им напишу, блин.
Я им такое напишу, что им всем вздрогнется.

Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.
Кстати, и этот вариант тоже можно обработать...

А лучше - даже три атома! Чтобы третий запускался периодически (скажем, раз в десять дней) и просто посматривал на этих двоих деятелей, и в случае если сняты оба - в фоновом режиме шифровал через тупой XOR нахрен все доки, картинки и музыку юзера, а потом снова вывешивал в память этих обоих, через денёк.
Эхххххх какая бы получилась замечательная гадость! Неистребимая. =)
Злобная, но симпатишная. =)

Ладно, хрен с ним. Хорошо что у меня времени нет фигнёй страдать, а то бы посоревновались, чья гадость гадостнее.

Ну их нафиг, тупость, скушно девоньки.

Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.

Где-то я уже это читал :mdaa:

Блин, накаркаешь. Начитается какой-нибудь "аццкий хацкер" твоих сообщений, да и решит осуществить.

(пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll
в висте и семерке уже не работает. так что на пенсии будет над чем подумать ;)

На висте и семерке про порнобаннеры никто не парится.
Речь об ХР онли.
Вопрос в другом: почему не реализовано? Таких решений кучная куча на поверхности лежит, а они всё по-старинке - как с гранатами под танки...

Кстати, в висте и семёрке достаточно свои резиденты на старте в плагины оформления рабочего стола сунуть, и получишь то же самое, только обращаться придётся через внешние процедуры, всего делов. ;)


Где-то я уже это читал
Да я просто кое-где уже это говорил. ;)

Подцепил.Попробовал все ваши советы,но не помогло(не очень я в таких делах).Диск игнорировался,безопасный режим побоку.Только диалог,а потом тот же черный экран с баннером,куда заплатить.Удалось всунуть Хр производства неизвестного гения.Поставил на другой лог диск,удалил гадость и спас нужное.Но систему восстановить не удалось-теперь синий экран.

неужели даже копирование реестра из точки восстановления не помогло?

А это как?Я папки из-под второй винды выцарапывал,а старую увы никак-дяденька нужен.:ups:
да и поломал я там все...Да и получил я этот комп вместо зарплаты,путем выдергивания из локалки со всеми групповыми политиками,отключенными фаерволами и левым 1С(сразу выкинул).Ну и коней разных.ИМХО,пришло время.

если загрузиться с загрузочноег диска с WinPE, то можно получить доступ к папке system volume information.
В ней ищешь папку с датой ранее чем заражение, копируешь из папки Snapshot файлы начинающиеся с _REGISTRY в %windir%\system32\config
Потом переименовываешь их в соответствии с последним словом после последнего знака _ в имени
_REGISTRY ..._SYSTEM в system
_REGISTRY ..._SAM в sam и т.д.
потом перезагружаешься и имеешь состояние до заражения.
Я так поднял пару трупов на той неделе без переустановки.

Странно. Регулярно в образовательных целях просматриваем самые отвратительные порносайты и ничего не "прилипает" )))

2DogEater-попробую и" Да пребудет со мной сила!"Но я не с загрузочного диска,вторую систему установил и снее в этот "чернобыль" лазаю.
2CARTOON-промазал мышью вместо "блокировать" в "разрешить".

2DogEater-попробую и" Да пребудет со мной сила!"Но я не с загрузочного диска,вторую систему установил и снее в этот "чернобыль" лазаю.
2CARTOON-промазал мышью вместо "блокировать" в "разрешить".
Напрасно. Следует иметь такой загрузочный диск всегда в запасе.

Фишка в том,что зараза не пропускала эти диски от др веба и проч.А левак проскочил и установился.Да и сейчас не проходит,хотя екзешник удалил,чисто папку его.

ну не знаю, может меня бояться? :)

Попытаюсь эту операцию сделать путем замены папок.Надо значит подменить файлы?Хотя чисто спортивный интерес-мне выгоднее ось переустановить для очищения.

Попытаюсь эту операцию сделать путем замены папок.Надо значит подменить файлы?Хотя чисто спортивный интерес-мне выгоднее ось переустановить для очищения.Учитывая наследство - да. Но раз есть возможность - надо потренироваться на будущее. Что бы спасать, если что, свежепереустановленную ось.

Именно так,раз такая возможность предоставилась.

В итоге-не вышло дышло:не пускает меня комп в систем вольюм,отказано в допуске.Но всю информацию вытащил.
А состояние системы:экран приветствия,потом чистый голубой с указателем мыши.Хр про Сп3 было.Видно лишнего наудалял.

В итоге-не вышло дышло:не пускает меня комп в систем вольюм,отказано в допуске.Но всю информацию вытащил.
А состояние системы:экран приветствия,потом чистый голубой с указателем мыши.Хр про Сп3 было.Видно лишнего наудалял.
Это после загрузке с Live cd с виндой?

Сд вообще не лезет(лошара я в этом).Из под второй установленной не открыть ни в старой системе(диск С) ни в новой(диск Ф).Так и пишет:"отказано в доступе Тебе л..."

Сд вообще не лезет(лошара я в этом).Из под второй установленной не открыть ни в старой системе(диск С) ни в новой(диск Ф).Так и пишет:"отказано в доступе Тебе л..."

Во второй системе открываем Мой компьютер - свойства папки, и убираем галочку "Использовать простой общий доступ к файлам". Затем правой кнопкой на диск Ф (который не пущает) - Безопасность. И там надо себя любимого обьявить к этому диску хозяином..

А папочка оказалась пуста...Как зараза и обещала:cry:
Но есть уже новый диск и впереди новая жизнь.
Спасибо!

Чтобы удалить баннер, предлагающий отправить смс с текстом на определенный номер для разблокировки компьютера, введите в соответствующие поля (http://support.kaspersky.ru/viruses/deblocker) номер телефона (например, 5121 или 3381) и текст смс, который блокеры-вымогатели просят на него отправить.

Новая фишка.
Вылез баннер с требованием оплатить через терминал на счет билайна 9636256877 260 с чем то рублей и на чеке будет код для ввода.
Кто-нить сталкивался?

Новая фишка.
Вылез баннер с требованием оплатить через терминал на счет билайна 9636256877 260 с чем то рублей и на чеке будет код для ввода.
Кто-нить сталкивался?

У знакомого такая фишка вылезла - толи он чета недопонял, толи одно из двух - удивлялся что там просили 0 (ноль) рублей оплатить :) Мож и не прочитал нормально.. я в эту надпись не вникал.. Касперский заразу пропустил :( - лечились CureIt, AVZ и ручками.

Ок, распишем по-порядку.
Этот баннер - программа. Так?
Так.
Она у нас появляется на старте.
Значит, грузится вместе с системой.
Значит, надо её найти - где она прописана на загрузку, и отчикать эту команду на загрузку, а сам файл программы мы найдём как только найдём запрос на его загрузку - в нём будет указано его имя? хотя можно и не искать - он же уже не будет грузиться, верно?

Итак.
Всё дальнейшее относится к Windows XP всех модификаций и Windows 2000.
Windows7 и Windows Vista имеют немножко другую организацию автозагрузки, их мы коснёмся позднее, если кому понадобится.

Ну, оставим в покое тот сложный и долгий способ, который я описывал ранее:

Универсальный способ 1.
0. Идём на рабочую машину. К другу, на работу, в игнтернет-кафе, всё равно.
1. Ищем в интернетах LiveCD. Какой - абсолютно деревянно.
2. Выкачиваем его и пишем на болвань.
3. Приходим к "пациенту", вставляем LiveCD в привод, и грузимся с него.
4. Загрузив винду с LiveCD, первым делом идём в Пуск-Выполнить, набираем там "msconfig".
5. В появившемся конфигураторе на вкладке "Общие", убираешь галку "загружать элементы автозагрузки" и тыкаем "Ок".
6. Ребутаемся, вынимаем LiveCD, грузимся как обычно.

Есть и продолжение, на случай, если гадость прописывается как shell.
Попробуй сначала так, скажи что получится.
... это для гурманов.
Это когда совсем аллес, и ничего сделать не получается совсем.
Но есть и более простые пути.
Мест, откуда эта гадость грузится, не так и много. Я их щас перечислю.

Вся проблема не в том, чтобы найти, откуда оно грузится, а в том, чтобы добраться до этого места, откуда оно грузится, потому что у нас в лучшем случае, пол-экрана закрыто членами и попами.
1. Гадость может грузиться тупо ярлыком из меню Пуск->Все программы->Автозагрузка. Проверяется просто, удаляется легко. Понятно, что если там есть что-то, чего мы никогда не видели - не грех оттуда и убрать. И перезагрузиться не забыть.
Не забываем, что есть такое понятие - "подмена ярлыка", когда, допустим, в Автозагрузке висит себе мирно "Быстрый запуск Microsoft Office" (этот ярлык устанавливается туда по умолчанию при установке Офиса), только вот вовсе не обязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" - вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.
Имеем ввиду.

2. Гадость может грузиться из RUN-разделов реестра.
Эти разделы в реестре находятся по адресам:
Общий автозапуск:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе в систему каждый раз и в любом случае.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра.

Автозапуск конкретного юзера:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе текущего пользователя в систему.
Ну, и по аналогии,
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Есть ещё местечки:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices - программы, которые загружаются при старте системы ДО входа пользователей в Windows.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система, но ДО оболочки winlogon. Зато - для всех юзеров.

То есть, чтобы автоматом запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (Пуск->выполнить, regedit), переходим в раздел
HKCU/Software/Microsoft/Windows/CurrentVersion/Run и добавляем следующий ключ: NOTEPAD.EXE со значением "C:\WINDOWS\System32\notepad.exe" - и будем наблюдать его каждую загрузку.

Отсюда и проистекает наш Универсальный способ 2.
0. Если баннер не закрывает кнопку "Пуск", идём в "Пуск"->"Выполнить".
1. В появившейся строке вбиваем: msconfig, жмём Enter.
2. Появится окошко "настройка системы". Если оно перекрыто баннером, его надо вытащить из-под баннера так, чтобы было видно хотя бы его часть.
3. Переключаемся на вкладку "Автозагрузка".
4. Там много чего будет, но нас интересует длинная кнопка "отключить всё" под списочком. если удалось её нажать - пол-дела сделано. Нажимаем её, потом нажимаем "Ок", и перезагружаемся.
5. Если гадость стартует из RUN-разделов реестра, она не запустится.
6. После перезагрузки системы высветится окошко-запрос о том, что параметры загрузки системы были изменены, и что, мол, ай-яй-яй.
там есть галка "больше не показывать это сообщение".
7. Остаётся запустить msconfig ещё раз и выяснить во вкладке "Автозагрузка", что из того, что там перечислено, нам известно и нужно, а что можно и не включать обратно, расставляя там галки.

==========================================================
Универсальный способ 3.
Если гадость стартует вместе с шеллом, то msconfig не поможет.
Для этого нужно:
0. Открыть "Пуск"->"Выполнить", запустить оттуда regedit
1. Пойти в
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon
Там есть два параметра:
Shell, он должен быть равен "Explorer.exe", и никак иначе, и
Userinit, который должен быть равен "C:\WINDOWS\system32\userinit.exe," - именно так, с запятой!
Наша задача - проследить чтобы эти две переменные имели именно такие значения.
2. Заодно навестим
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
В правой части окна НЕ ДОЛЖНО БЫТЬ строчек типа
"load"
"run"
Вернее, load там будет всегда, но значение его ДОЛЖНО БЫТЬ пустым.
если есть - удаляем.
Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Например, чтобы запустить Internet Explorer ДО входа пользователя в систему и Блокнот ПОСЛЕ входа пользователя в систему, достаточно прописать в
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
параметр load со значением "iexplore.exe"
и
параметр run со значением "notepad.exe"

3. Навестим вышеперечисленные разделы, убедимся, что там чисто.
4. Кроме того, гадость может запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные - Назначенные задания".
...либо просто открыть папку C:\ WINDOWS\Tasks, в которой можно бессовестно всё грохнуть.

Нда. Забираюсь-таки в дебри потихоньку.
Хватит на сегодня.

Так что про то, как склеиваются исполняемые файлы, я сегодня рассказывать не буду.
Потому что запросто можно запустить свой модуль одновременно со, скажем, Adobe Speed launcher, который ставится автоматически вместе с Adobe Acrobat...

На висте и семерке про порнобаннеры никто не парится.
Парюсь.

Уф, осуществлял поиск о новом документальном фильме ВВс СССР, по ссылке попал на сайт, предупреждение поисковика о неблагонадежности сайта проигнорировал по глупости и сразу черный экран с попрашайничеством. Сразу перезагрузился, проблем нет, проверил антивирусом, все нормально тьфу-тьфу.

У меня такой "черный экран" вылез, когда я "Шушпанцер_ру" листал:)

Привет очередной голубой экран смерти. Только что поймал из поиска. Перезагрузился и все. Шантаж не прошел. :)

Где посмотреть, чтобы зараза не прописалась.

Эээ.... Ты как-то так описал, что не очень понятно. Если комп после перезагрузки соглашается на работу, то просто антивирусником прогони. Если не грузится, то образ диска антивиря с сайта у них качаешь и с него прямо грузишься. Я так понял :)

Давеча коллега делился, что с режима командной строки нашёл левый exe в системной папке и чикнул. После этого уже штатно запускался.

Live CD с тотал коммандером, поиск всех файлов изменённых со времени появления баннера, наказание виновных руками. всё.

Live CD + Uvs (http://defendium.info/showthread.php/1455-%D0%9A%D0%B0%D0%BA-%D0%BD%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D1%8C-uVS) + замена юзеринит, эксплорер и таскменеджер с аналогичной системы

Меня другое удивляет.
Все эти баннеры написаны донельзя тупо.
Как будто студент писал, или дитя малое.
Так, накорябано левой ногой, лишь бы работало...
это чтоб не вызвать непреодолимое желание найти автора и закопать, что весьма вероятно в случае "неистребимой гадости" :)

А вопрос теоретический: если два баннера...выполнятся будет первый загрузившийся или оба и подвесят систему?

Баннеры бывают разные:)

1) экран в синих тонах, белым написано что-то про гей порно и оплату через терминал
Тупо и не смешно. Прописывается вместо шелла. Запустить диспетчер задач или командную строку не дает. Убивается через безопасный режим с поддержкой командной строки. После загрузки в командной строке вводим regedit и используем 3-й универсальный способ (http://www.sukhoi.ru/forum/showthread.php?t=63249&p=1472568&viewfull=1#post1472568). Усе.

2) экран в синих тонах, белым написано про детскую порнографию и оплату через терминал, либо картинка с двумя девушками и "пришлите смс"
Немного умнее, прописывается в реестре HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon (параметр userinit) рядом с userinit.exe, модифицирует winlogon.exe, раз в две секунды проверяет параметр userinit, если его исправили, опять дописывает себя. Лечится через liveCd правкой реестра и заменой winlogon.exe (самый быстрый способ). По хорошему, потом надо прогнать полную антивирусную проверку (тем же cureit`ом например)

3) картинка с одним или двумя парнями, надпись про гей порно и пришлите смс.
Встречались две вариации: попроще (аналогично п.2) и поумнее. Вторая вариация, кроме изменения winlogon.exe, меняет ключ реестра HKCR/exefile/shell/open/command/ (там должен быть один параметр (Default), значение - "%1" %*, именно так, с кавычками. Лечится так же, через livecd, правкой реестра и заменой winlogon.exe.
з.ы. HKCR/exefile/shell/open/command/ Этот параметр отвечает за то, как запускать exe файлы. Если его удалить, то система будет спрашивать, какой программой открывать файлы типа .exe. Забавная будет шутка:). Вылечить можно так: пуск->выполнить->command.com В появившемся окне вводим %system32%\regedit.exe. Запускается редактор реестра. Далее - дело техники=)

4) картинка с одной девушкой и надпись пришлите смс.
Подобное было на до упора загаженном ноуте, прописалось в реестре в трех местах (автозапуск, userinit и exefile), создало 4 службы с рандомными парами "название-описание", залезло в beep.sys и добавило тело вируса во все экзешники в %systemroot% (Филиппок, Вы подобное хотели сотворить:)? "все уже украдено до нас":)). Лечилось долго и упорно, но в итоге мы победили серость:). Подобная тварь встречалась мне всего один раз, допускаю, что это не один баннер, а целый букет различных вирусов.

Большинство порнобаннеров сводится к вышеописанным: меняются надписи, картинка и оформление, но суть остается.
З.Ы. все вышеперечисленные способы справедливы для 32-х разрядной хр

Я просто перезагрузился, все работало. Антивирус нашел одну одну бяку какую-то. Проблема была в том, что не мог зайти на сайт Др. Веба, точнее на некоторые его страницы, на др. антивирусные сайты заходил без проблем. CureIt'ом прогнал, ничего не нашел, запустил свой зверинец - киллеры и пр. Кидо ничего не нашел, на что-то ругался Збот, с каждым запуском. Когда загрузился снова проблема исчезла. :dontknow:

Как-то будучи нубом лазил по интернету и подхватил такой баннер в эксплорер. Тогда мне было 16 лет, а в интернете через мой комп шарились предки. Тут то я и струхнул чуток, увидят - вопросы будут. Проблему решил банальной установкой оперы. А через некоторое и на эксплорере испарился.

Если гадость стартует, подгружаясь из раздела winlogon - никакие безопасные режимы не помогают. ;)
дык под пользователем сидеть надо, но эту истину, думаю, никогда народу донести не удастся :-(

Проблему решил банальной установкой оперы. А через некоторое и на эксплорере испарился.

Опера не панацея, поверь.

Опера не панацея, поверь.

Возможно, но после этого случая я больше не рисковал проверять. Качаю софт только с официальных или проверенных сайтов.

Дело не в софте. Ты можешь искать название фильма (ну забыл, а сейчас вдруг понадобилось) и при переходе по любой ссылке получить "экран" - просто работать с поисковиком, пример недавнее вирусное состояние сайта Уголок неба, т.е. не обязательно что-то качать или смотреть порносайты и подобное. Отчасти проблема решается нормальным антивирусом и файерволлом, и все это надо регулярно обновлять. И да, ходить нужно из под пользователя, а не с правами администратора.

Дело не в софте. Ты можешь искать название фильма (ну забыл, а сейчас вдруг понадобилось) и при переходе по любой ссылке получить "экран" - просто работать с поисковиком, пример недавнее вирусное состояние сайта Уголок неба, т.е. не обязательно что-то качать или смотреть порносайты и подобное. Отчасти проблема решается нормальным антивирусом и файерволлом. И да, ходить нужно из под пользователя, а не с правами администратора.

А какой по вашему антивирус нормальный? У меня например стоит касперский, в принципе устраивает. Кто то называет лучшим DrWeb, кто то НОД любит. Лично я уверен, что не стоит ни при каких условиях ставить Avast. Сколько людей, столько и мнений будет. Кстати касперский блокирует подобные опасные сайты и ссылки. А фаервол Outpost у меня стоял - снес к чертовой матери, лажа. Может другой посоветуете, или KIS подойдет?

Вот перечисленные антивирусы - Др. Веб и Касперский - я покупал и относительно регулярно получал что-то, что заставляло меня сносить все и переустанавливать систему. :) Это мой опыт. Может сейчас лучше стали делать.

Смотреть надо.

ПС Комодо + Авира. Сейчас полностью устраивает. + разные программы. У нас ниже есть отдельная тема. Гадость ловил, но до переустановки и отключения всего и вся не доходило. Вылазил в интернет и находил решение.

ППС Но я не утверждаю, что это панацея. :) Если у тебя Касперский все отлавливает, то используй его.

я использую встроенный файрвол виндовс и антивирус опять же от майкрософт. на рассказы, какой виндовс дырявый давно уже отвечаю тоько улыбкой. так как человек, который не может настроить достачно простой интерфейс виндового, не спасется более сложными сторонними продуктами.

Суть в чём , комрады , ни антивирус , ни файрвол вас не спасут от клика мышой по всплывшей менюшке с предложением типа чё-нить обновить , зачастую чисто машинально жмакаешь особо не вникая в сущьность надеясь на те же сторожа и в результате банер с предложением кинуть бабла и разлочить комп , первый раз дочка прибежала с повисшем банером чуть не в слезах , я прикололся , типа нехрен лазать куда не надо , но она слезно уверяла что с "контакта" вылезло , не долго думая форматнул и перставил все про все , но вот когда меня "поимели" на своей машине пришлось задуматься , особенно когда все зависло , благо была ещё система в машине резервная на другом диске, с неё и рыл инет в поисках решениЯ. Спасло тока загрузка с диска win 7 pe_VS и чистка реестра , потом уже антивирусником "добитие", "гугленые " коды раскодировки - пустой номер , не тратьте время , ...да ХР лечил , что б было невопросно.

зачастую чисто машинально жмакаешь особо не вникая

А особенно бесит, когда открываешь сайт, и всплывает куча левых ссылок в отдельном окне. И пытаясь их убрать, машинально закрываешь нужную страницу...

А сейчас даже кликать не нужно, оно автоматом пытается загрузиться со страницы, в том числе под видом разл. обновлений адоба, яв, асек и прочего. Спасает только фаерволл и пр. заморочки.

Стандартная связка W7 x64 встроенный файрвол + Microsoft Security Essentials + Mozilla Firefox.
Небольшое лирическое отступление. Обязательно в Mozilla Firefox установите дополнения Инструменты -> Настройки ->Основные Настроить Дополнения .... Необходимо устанавливить дополнения Adblock Plus и WOT. И всё.

P.S. Microsoft Security Essentials обновляется регулярно.

Необходимо устанавливить дополнения Adblock Plus и WOT.
AdBlock Plus стоит. А что есть WOT?

AdBlock Plus стоит. А что есть WOT?
WOT защищает вас, когда вы пользуетесь Интернетом и совершаете покупки в Интернет-магазинах.
Принцип достаточно прост, собирается информация о сайтах с пользователей со всего мира и по их оценке можно судить о том ресурсе, что Вы посещаете. Так скажем светофор. Вы понимаете, где Вы находитесь. При получении предупреждения о вирусной атаки или попытке получения Ваших паролей, Вы уходите с данного сайта.
Более подробно: http://www.mywot.com/

Стандартная связка W7 x64 встроенный файрвол + Microsoft Security Essentials + Mozilla Firefox.
Небольшое лирическое отступление. Обязательно в Mozilla Firefox установите дополнения Инструменты -> Настройки ->Основные Настроить Дополнения .... Необходимо устанавливить дополнения Adblock Plus и WOT. И всё.

P.S. Microsoft Security Essentials обновляется регулярно.

Спасибо, поставил, неплохие утилиты.

Спасибо, поставил, неплохие утилиты.
На здоровье. :) Я увидел в предыдущих сообщениях, что Вас замучила назойливая реклама и банеры. Решил, что нужно посоветовать то, чем я пользуюсь. Дополнение AdBlock Plus хорошо останавливает рекламу, банеры и многое ненужное. Потом когда к нему привыкните, можете поэкспериментировать, зайдите на те сайты, что до установки AdBlock Plus забивали рекламой и отключите его. Тут же посыпется всё, что хотите, Вас завалят рекламой. Кстати ещё рекомендую установить (но не обязательно) Flagfox. Вы увидите, что многие из сайтов на Русском языке, размещены на других хостингах, возможно Вас обманывают. И дополнение Flagfox сообщит, что это берег слоновой кости. Ничего страшного в этом нет, но предупреждён, значит спасён. Вы будете знать, что этот ресурс позиционирует себя, достаточно странно.

P.S. Примерно так.

Кстати ещё рекомендую установить (но не обязательно) Flagfox.

Тоже не плохо, спасибо.

я еще пользуюсь плагином ноускрипт

Поиски бюджетного планшета под скайп увенчались вот этим:

156558

Стоит лицензионный Dr.Web на компе и прокси, плюс Watchguard на сегменте c подпиской. :umora:

Уже штука за код, пару лет назад было скромнее-300-400 рублей.

Ага, растут расценки.

Да, расценки растут, а качество блокираторов падает. За последние три месяца много раз боролся с ms.exe в профиле пользователя. Бут с флешки и удалить + немного реестра - все дела. А вот ра-а-аньше даже системные файлы подменяли - долго ковыряться приходилось.
Похоже никакие антивири блокираторы не ловят, поскольку не воспринимают их как "вирусы".

Поиски бюджетного планшета под скайп увенчались вот этим:

156558

Стоит лицензионный Dr.Web на компе и прокси, плюс Watchguard на сегменте c подпиской. :umora:
Ну фаерволл тут вряд-ли сильно поможет. Как я понимаю, этот баннер является ява-скриптом или элементом active-x, который вы уже пустили на свой комп и разрешили его исполнение (даже без явного подтверждения, а например просто используя более мягкие настройки безопасности в IE). Лучше вообще ослом не пользоваться, но это уже риторика.
Почему докторвеб ничего не увидел и не успел - вопрос к докторвебу. У меня KIS ни разу так не лажался, но я и ослом не пользуюсь, не могу точно сказать, насколько KIS мог бы лучше справиться.

Ну фаерволл тут вряд-ли сильно поможет. Как я понимаю, этот баннер является ява-скриптом или элементом active-x, который вы уже пустили на свой комп и разрешили его исполнение (даже без явного подтверждения, а например просто используя более мягкие настройки безопасности в IE). Лучше вообще ослом не пользоваться, но это уже риторика.
Почему докторвеб ничего не увидел и не успел - вопрос к докторвебу. У меня KIS ни разу так не лажался, но я и ослом не пользуюсь, не могу точно сказать, насколько KIS мог бы лучше справиться.
Пробивает и каспера и веба. Всякое случается. Абсолютная гарантия только при выключенном компе.

Ещё Kerio control работал. Завтра будем разбираться, может чего интересного обнаружим.

И да, это был ослик со стандартными параметрами безопасности. Гуглил, история поиска ничего подозрительного не показала. Возможно отложенный запуск.

А вообще реально найти такого абонента через номер телефона, например, для "разговора по душам"?

А вообще реально найти такого абонента через номер телефона, например, для "разговора по душам"?
Не реально, все симки левые, а те, что на "официальных услугах" тоже левые.
Есть только один шанс, когда будут переводить деньги на реальные номера и счета, но это могут только спецслужбы. Если им надо - найдут.

Нортон 360 ,ни единой блокировки года 3 точно,тьфу тьфу

Докладываю. Запустил. Из спящего не проснулся, завис. Reset. Выскочил порнобаннер. Ввёл на шару код пару раз, куда то он слетел. Открыл диспетчер задач через Ctrl-Shitf-Esc, запустил explorer. Сейчас смотрю созданные за последние 17 часов файлы.

Dr.Web ничего вчера не видел.

Знакомые знакомого :)) поймали на днях. Вчера подогнал товарищу загрузочную флешку. AVZ (-3) + Dr.Web (-2) c флешки и затем контрольный в голову от Каспера (еще минус десяток тараканов) - и снова дети имеют счастье в виде компьютера :) - папаша "под градусом" лицезрев картинку с описанием по каким сайтам типа ходят с компьютера сильно огорчился и перекрыл кислород домашним :)

Хех, мистика, только сегодня опять лечил "железо". Из баннера просили 500 руб, мелочевщики. И опять пресловутый ms.exe в профиле. Теперь даже winlogon в реестре незагажен. Только ветка пользователя. Мельчают.
На компе стоял непроапгрейженный Norton 360. Поставил бесплатный Comodo.
Подождем.

Ну просто фантастика!
Сегодня в 17-45 звонок "юзверя" - "- у меня тут это... баннер какой-то, просто зашла на сайт и...", ну да-да понятно. В кармане "волшебная флешка". Бегу, ведь осталось 15 минут до конца "рабдня" ;)
Баннер нагло требовал уже 1000 руб. за свободу.
И что-же? тот-же самый ms.exe в профиле! Реестр "загажен" только в профиле юзера.
На компе стоит DrWeb 7.0 с последними апдейтами.
Ну не ловят антивири вин-блокираторы...
Мне кажется, что понимаю почему.

Успешно использовал AntiWinLockerLiveCD с http://www.antiwinlocker.ru/

Ну не ловят антивири вин-блокираторы...
Мне кажется, что понимаю почему.
пщему?

пщему?

У меня есть сильные подозрения, что вся проблема в наследовании прав в "винде".
Это значит, что если мозилла или ИЕ или другие программы прописаны как "доверенные приложения", то входящий блокиратор также маскируется как "доверенный".
Вот пример с антивирусом "Касперского" - http://forum.kaspersky.com/lofiversion/index.php/t61285.html

Кроме того, сам блокиратор не создает никакого деструктивного действия по отношению к системе.
Что делается:
- выводиться картинка с текстом? - Да пожалуйста!
- блокируется компьютер? - А что здесь такого? Любой пользователь может заблокировать свой комп.
- Изменен реестр? - Да ничего противозаконного, тем более, что ключевые антивирусы не защищают реестр. Но тут есть разнообразие.

Добавьте к этому непрерывную модификацию с телом вируса, и мы получаем высокую вероятность заражения.

Кстати, деградация указанного блокиратора, что называется "на лицо". Это говорит в первую очередь о том, что модификация происходит быстрее, чем соблюдение качества вируса.