Недавно тоже поймал порнобаннер (pornhub.com). Мучился, искал, как избавиться. Кто-то присоветовал зажать комбинацию ctrl-alt-shift-J или I. Ничего не вышло. Зажал ctrl-alt-shift и начал тыкать подряд по всем клавишам. На "А" отключилось и больше не появляется.
Тоже словил какой-то. Закрывает полностью рабочий стол, "три клавиши" не помогают - потому что список задач открывается под этой гадостью.
Начал шарить в реестре, потом в темповых папках со страху (в безопасном режиме). В итоге грохнул ASPI-драйвер. Заодно опытным путем выяснил, что на ASUS Eee 1000H при сломанном ASPI восстановить систему нельзя никак, кроме как с образа диска. Тот, что в комплекте (вроде как восстановительный) - не вариант. При этом информация с жесткого, естественно, убивается. Хорошо еще под безопасным удалось подцепить выносной жесткий и скопировать все, что было дорого, как память. )) Бяку пропустил AVIRA, к сожалению.
Не выдавай нежелаемое за недействительное (с)
лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере ) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .
А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.
К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.
Трехмерка по одному проекту: www.youtube.com/watch?v=Xub-3TA7MIE&feature=plcp
Все коды разблокировки появились в обед сегодня на анлокере докторвебском. У нас 4 машины подхватили, где с админскими правами работают. Вирус просил 495хххххх на телефон 8353. Разблокируется и сам удаляется, надо только в реестре HKLM/software/microsoft/windowsNT/cuurentversion/ удалить раздел winlogon. Тот, который с маленькой. С большой - это правильный, его не надо. Сам находится в Program Files/common files/microsoft shared/mssoft.exe
http://www.drweb.com/unlocker/index анлокер
http://forum.drweb.com/index.php?showtopic=293738&st=0 - форум с описанием
Крайний раз редактировалось harinalex; 07.07.2010 в 00:34.
у антивирусов вообще не очень получается обнаруживать эти блокеры по сигнатуре. с блокерами лучше работает эвристика, а ее обычно оставляют включенной по-умолчанию на низком или среднем уровне обнаружения. к тому же, возможно, что в бесплатной авире и механизмы обнаружения не самые-самые, да и контроля приложений нет. или речь о полной платной версии?Сообщение от NuFunnya
в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения. подозрительная активность программы детектируется неплохо как антивирусами, так и встроенной системой безопасности винды (UAC в висте, семерке).
Та так в итоге и поступили.
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает
---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------
пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?
Любитель
Нет, бесплатная. Но эвристику я обычно включаю в "параноидальный" режим. )) Пусть лучше поорет, но спокойнее.или речь о полной платной версии?
В том и дело, что ничего не устанавливал и ни на что не соглашался. Пролез как-то через браузер. На chrome работал.в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения.
Спасибо за совет, сделаю прозапас ))лучшее средство имхо - http://www.freedrweb.com/livecd/
Кстати, на второй машине с DrWeb (который Desk - через провайдера по подписке) ничего не пролезало. Правда и не детектилось тоже. Может, боятся и обходят? )))
Не выдавай нежелаемое за недействительное (с)
Хорошее вспомогательное средство для последующей вычистки вручную :
http://www.computerra.ru/terralab/softerra/544885/
ну и Касперский тоже
http://support.kaspersky.ru/viruses/deblocker
кстати , и бесплатная утилита http://support.kaspersky.ru/viruses/avptool2010 тоже эффективна.
Крайний раз редактировалось harinalex; 07.07.2010 в 16:58.
И вот еще к вопросу о подборах кода:
http://esetnod32.ru/.support/winlock/
Не выдавай нежелаемое за недействительное (с)
на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают
самый простой и легкий способ это позвонить туда и поругаться
дадут код. и всё ))
Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.
I know that it's evil. I know that it's got to be
Know I ain't doing much. Doing nothing means a lot to me
.Так отчего плохо жить на Руси..?
.. По моему глубокому убеждению, виноваты три вещи: глупость, бедность и лень. (с)
Я слышал, что как раз какой-то депутат поднимал этот вопрос, было только это давненько.
А так бы, да, отловить, вывести на площадь, с табличкой их же порнобанера на шее, и вбить им дюбеля в голову. Реально достали. У меня друзья кучу раз ловили, я всё думал, где поймать умудряются, потом сам ловил, причём на книжных сайтах, причём на известных. Ладно второй комп дома есть, у сына.
I know that it's evil. I know that it's got to be
Know I ain't doing much. Doing nothing means a lot to me
действительно "SMS-лото (ЗАО Первый Альтернативный)
8353" у них на сайте "К сожалению, сервисные номера, принадлежащие нашей Компании, также используются мошенниками для совершения противоправных действий. Мы предпринимаем максимум усилий и времени для устранения подобных правонарушений. "
То есть они считают не несут ответственности.
они что не знают, кто у них номер арендует?
Любитель
там не в этом дело
там дело в том что они изначально номер дают, а потом то он ходит. И они этот поход то остановить не могут, зато могут давать номера активации ))
я сис админ. я уже раз 7 подобными разговорами со службой претензий клиентов занимался, 2 из которых были на повышенных тонах. Но номер активации всегда дают
вот тебе сервис по борьбе с ними тел 8-800-100-73-3семь позвонишь и скажешь ,схватил порнобанер тебе помогут, скажут ключ.
http://www.rp-team.ru/
Меня другое удивляет.
Все эти баннеры написаны донельзя тупо.
Как будто студент писал, или дитя малое.
Так, накорябано левой ногой, лишь бы работало...
Вот выйду я на пенсию, мне делать будет нечего, я им напишу, блин.
Я им такое напишу, что им всем вздрогнется.
Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.
Кстати, и этот вариант тоже можно обработать...
А лучше - даже три атома! Чтобы третий запускался периодически (скажем, раз в десять дней) и просто посматривал на этих двоих деятелей, и в случае если сняты оба - в фоновом режиме шифровал через тупой XOR нахрен все доки, картинки и музыку юзера, а потом снова вывешивал в память этих обоих, через денёк.
Эхххххх какая бы получилась замечательная гадость! Неистребимая. =)
Злобная, но симпатишная. =)
Ладно, хрен с ним. Хорошо что у меня времени нет фигнёй страдать, а то бы посоревновались, чья гадость гадостнее.
Ну их нафиг, тупость, скушно девоньки.
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
Блин, накаркаешь. Начитается какой-нибудь "аццкий хацкер" твоих сообщений, да и решит осуществить.