Порнобанер

[barsuk]

Так там же абра-кадабра какая-то.

Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло, ибо чайник.
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра

Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.

[SIG48]

Недавно тоже поймал порнобаннер (pornhub.com). Мучился, искал, как избавиться. Кто-то присоветовал зажать комбинацию ctrl-alt-shift-J или I. Ничего не вышло. Зажал ctrl-alt-shift и начал тыкать подряд по всем клавишам. На "А" отключилось и больше не появляется.

[NuFunnya]

Тоже словил какой-то. Закрывает полностью рабочий стол, "три клавиши" не помогают - потому что список задач открывается под этой гадостью.
Начал шарить в реестре, потом в темповых папках со страху (в безопасном режиме). В итоге грохнул ASPI-драйвер. Заодно опытным путем выяснил, что на ASUS Eee 1000H при сломанном ASPI восстановить систему нельзя никак, кроме как с образа диска. Тот, что в комплекте (вроде как восстановительный) - не вариант. При этом информация с жесткого, естественно, убивается. Хорошо еще под безопасным удалось подцепить выносной жесткий и скопировать все, что было дорого, как память. )) Бяку пропустил AVIRA, к сожалению.

[harinalex]

лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере ) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .

А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.

[Harh]

К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.

[23AG_Oves]

Все коды разблокировки появились в обед сегодня на анлокере докторвебском. У нас 4 машины подхватили, где с админскими правами работают. Вирус просил 495хххххх на телефон 8353. Разблокируется и сам удаляется, надо только в реестре HKLM/software/microsoft/windowsNT/cuurentversion/ удалить раздел winlogon. Тот, который с маленькой. С большой - это правильный, его не надо. Сам находится в Program Files/common files/microsoft shared/mssoft.exe

http://www.drweb.com/unlocker/index анлокер
http://forum.drweb.com/index.php?showtopic=293738&st=0 - форум с описанием

[harinalex]

К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.

Да , там оставлена возможность запустить в текстовом режиме . Работает адекватно , все , что надо -вычищает (включая реестр итп) . По крайней мере , была пара случаев , когда уже ничто не помогало (с Confickerom) - а drweb live cd хоть и долго , но все сделал.

[Biotech]

Бяку пропустил AVIRA, к сожалению

у антивирусов вообще не очень получается обнаруживать эти блокеры по сигнатуре. с блокерами лучше работает эвристика, а ее обычно оставляют включенной по-умолчанию на низком или среднем уровне обнаружения. к тому же, возможно, что в бесплатной авире и механизмы обнаружения не самые-самые, да и контроля приложений нет. или речь о полной платной версии?
в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения. подозрительная активность программы детектируется неплохо как антивирусами, так и встроенной системой безопасности винды (UAC в висте, семерке).

[Любитель]

Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.

Та так в итоге и поступили.
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает

---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------

лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере ) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .

А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.

пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?

[NuFunnya]

или речь о полной платной версии?

Нет, бесплатная. Но эвристику я обычно включаю в "параноидальный" режим. )) Пусть лучше поорет, но спокойнее.

в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения.

В том и дело, что ничего не устанавливал и ни на что не соглашался. Пролез как-то через браузер. На chrome работал.

лучшее средство имхо - http://www.freedrweb.com/livecd/

Спасибо за совет, сделаю прозапас ))

Кстати, на второй машине с DrWeb (который Desk - через провайдера по подписке) ничего не пролезало. Правда и не детектилось тоже. Может, боятся и обходят? )))

[harinalex]

Хорошее вспомогательное средство для последующей вычистки вручную :

http://www.computerra.ru/terralab/softerra/544885/

ну и Касперский тоже
http://support.kaspersky.ru/viruses/deblocker

кстати , и бесплатная утилита http://support.kaspersky.ru/viruses/avptool2010 тоже эффективна.

[barsuk]

....К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?

Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно.

[Любитель]

Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно.

Всем спасибо. Особенно Филипку и Барсуку.
Пока работает

[NuFunnya]

И вот еще к вопросу о подборах кода:
http://esetnod32.ru/.support/winlock/

[killon]

на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают

самый простой и легкий способ это позвонить туда и поругаться

дадут код. и всё ))

[Wotan]

Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.

[Biotech]

Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.

Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.

[prohojii]

Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.

Наверняка, чтобы прикрыть подобную фирмочку, звонка достаточно, в тот же мтс, из того же отдела к.
Отстегивают.
Как раз с доказательно базой- все настолько прозрачно. Мечта прокурора.

[Wotan]

Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.

Я слышал, что как раз какой-то депутат поднимал этот вопрос, было только это давненько.
А так бы, да, отловить, вывести на площадь, с табличкой их же порнобанера на шее, и вбить им дюбеля в голову. Реально достали. У меня друзья кучу раз ловили, я всё думал, где поймать умудряются, потом сам ловил, причём на книжных сайтах, причём на известных. Ладно второй комп дома есть, у сына.

[Любитель]

на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают

самый простой и легкий способ это позвонить туда и поругаться

дадут код. и всё ))

действительно "SMS-лото (ЗАО Первый Альтернативный)

8353" у них на сайте "К сожалению, сервисные номера, принадлежащие нашей Компании, также используются мошенниками для совершения противоправных действий. Мы предпринимаем максимум усилий и времени для устранения подобных правонарушений. "
То есть они считают не несут ответственности.
они что не знают, кто у них номер арендует?

[killon]

там не в этом дело
там дело в том что они изначально номер дают, а потом то он ходит. И они этот поход то остановить не могут, зато могут давать номера активации ))

я сис админ. я уже раз 7 подобными разговорами со службой претензий клиентов занимался, 2 из которых были на повышенных тонах. Но номер активации всегда дают

[=RP=Kosmos]

вот тебе сервис по борьбе с ними тел 8-800-100-73-3семь позвонишь и скажешь ,схватил порнобанер тебе помогут, скажут ключ.

[FilippOk]

Меня другое удивляет.
Все эти баннеры написаны донельзя тупо.
Как будто студент писал, или дитя малое.
Так, накорябано левой ногой, лишь бы работало...

Вот выйду я на пенсию, мне делать будет нечего, я им напишу, блин.
Я им такое напишу, что им всем вздрогнется.

Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.
Кстати, и этот вариант тоже можно обработать...

А лучше - даже три атома! Чтобы третий запускался периодически (скажем, раз в десять дней) и просто посматривал на этих двоих деятелей, и в случае если сняты оба - в фоновом режиме шифровал через тупой XOR нахрен все доки, картинки и музыку юзера, а потом снова вывешивал в память этих обоих, через денёк.
Эхххххх какая бы получилась замечательная гадость! Неистребимая. =)
Злобная, но симпатишная. =)

Ладно, хрен с ним. Хорошо что у меня времени нет фигнёй страдать, а то бы посоревновались, чья гадость гадостнее.

Ну их нафиг, тупость, скушно девоньки.

[kSt]

Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.

Где-то я уже это читал

[ПРОФЕССОР]

Блин, накаркаешь. Начитается какой-нибудь "аццкий хацкер" твоих сообщений, да и решит осуществить.