в висте и семерке уже не работает. так что на пенсии будет над чем подумать(пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll
в висте и семерке уже не работает. так что на пенсии будет над чем подумать(пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll
На висте и семерке про порнобаннеры никто не парится.
Речь об ХР онли.
Вопрос в другом: почему не реализовано? Таких решений кучная куча на поверхности лежит, а они всё по-старинке - как с гранатами под танки...
Кстати, в висте и семёрке достаточно свои резиденты на старте в плагины оформления рабочего стола сунуть, и получишь то же самое, только обращаться придётся через внешние процедуры, всего делов.
Да я просто кое-где уже это говорил.Где-то я уже это читал
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
Подцепил.Попробовал все ваши советы,но не помогло(не очень я в таких делах).Диск игнорировался,безопасный режим побоку.Только диалог,а потом тот же черный экран с баннером,куда заплатить.Удалось всунуть Хр производства неизвестного гения.Поставил на другой лог диск,удалил гадость и спас нужное.Но систему восстановить не удалось-теперь синий экран.
неужели даже копирование реестра из точки восстановления не помогло?
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
А это как?Я папки из-под второй винды выцарапывал,а старую увы никак-дяденька нужен.
да и поломал я там все...Да и получил я этот комп вместо зарплаты,путем выдергивания из локалки со всеми групповыми политиками,отключенными фаерволами и левым 1С(сразу выкинул).Ну и коней разных.ИМХО,пришло время.
если загрузиться с загрузочноег диска с WinPE, то можно получить доступ к папке system volume information.
В ней ищешь папку с датой ранее чем заражение, копируешь из папки Snapshot файлы начинающиеся с _REGISTRY в %windir%\system32\config
Потом переименовываешь их в соответствии с последним словом после последнего знака _ в имени
_REGISTRY ..._SYSTEM в system
_REGISTRY ..._SAM в sam и т.д.
потом перезагружаешься и имеешь состояние до заражения.
Я так поднял пару трупов на той неделе без переустановки.
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
Странно. Регулярно в образовательных целях просматриваем самые отвратительные порносайты и ничего не "прилипает" )))
2DogEater-попробую и" Да пребудет со мной сила!"Но я не с загрузочного диска,вторую систему установил и снее в этот "чернобыль" лазаю.
2CARTOON-промазал мышью вместо "блокировать" в "разрешить".
Напрасно. Следует иметь такой загрузочный диск всегда в запасе.Сообщение от user053
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
Фишка в том,что зараза не пропускала эти диски от др веба и проч.А левак проскочил и установился.Да и сейчас не проходит,хотя екзешник удалил,чисто папку его.
ну не знаю, может меня бояться?
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
Попытаюсь эту операцию сделать путем замены папок.Надо значит подменить файлы?Хотя чисто спортивный интерес-мне выгоднее ось переустановить для очищения.
Учитывая наследство - да. Но раз есть возможность - надо потренироваться на будущее. Что бы спасать, если что, свежепереустановленную ось.
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
Именно так,раз такая возможность предоставилась.
В итоге-не вышло дышло:не пускает меня комп в систем вольюм,отказано в допуске.Но всю информацию вытащил.
А состояние системы:экран приветствия,потом чистый голубой с указателем мыши.Хр про Сп3 было.Видно лишнего наудалял.
Это после загрузке с Live cd с виндой?
"Прежде чем открыть огонь - оглянись!"
А.В. Ворожейкин "Сильнее смерти", стр 9.
"<...>не нужны маркеры противника парням в военном небе Великой Отечественной.
Послюнявили химический карандаш. Пунктиром отметили маршрут на карте. И вперёд!"
© DEDA
1680 x 1050 && i7 2600 (3.4Ghz) && 8 gb DDR3 (1600 Mhz) && gtx 580 && win 7 x64
Сд вообще не лезет(лошара я в этом).Из под второй установленной не открыть ни в старой системе(диск С) ни в новой(диск Ф).Так и пишет:"отказано в доступе Тебе л..."
Во второй системе открываем Мой компьютер - свойства папки, и убираем галочку "Использовать простой общий доступ к файлам". Затем правой кнопкой на диск Ф (который не пущает) - Безопасность. И там надо себя любимого обьявить к этому диску хозяином..
А папочка оказалась пуста...Как зараза и обещала
Но есть уже новый диск и впереди новая жизнь.
Спасибо!
Чтобы удалить баннер, предлагающий отправить смс с текстом на определенный номер для разблокировки компьютера, введите в соответствующие поля номер телефона (например, 5121 или 3381) и текст смс, который блокеры-вымогатели просят на него отправить.
GIGABYTE z68Xp-UD3P (Smart Response Technology Z68) HDD 1.5ТБ + SSD 90ГБ OSZ | Intel Core i7-2600K CPU @ 4.20 GHz |
GTX 590 | 16 GB (Kingston 1333) | Win 7x64 (SP1) | 1350 W |1920 х 1080 27" Multi-Touch
Новая фишка.
Вылез баннер с требованием оплатить через терминал на счет билайна 9636256877 260 с чем то рублей и на чеке будет код для ввода.
Кто-нить сталкивался?
Чем дольше общаюсь с людьми, тем больше люблю кошек...
У знакомого такая фишка вылезла - толи он чета недопонял, толи одно из двух - удивлялся что там просили 0 (ноль) рублей оплатить- лечились CureIt, AVZ и ручками.
Ок, распишем по-порядку.
Этот баннер - программа. Так?
Так.
Она у нас появляется на старте.
Значит, грузится вместе с системой.
Значит, надо её найти - где она прописана на загрузку, и отчикать эту команду на загрузку, а сам файл программы мы найдём как только найдём запрос на его загрузку - в нём будет указано его имя? хотя можно и не искать - он же уже не будет грузиться, верно?
Итак.
Всё дальнейшее относится к Windows XP всех модификаций и Windows 2000.
Windows7 и Windows Vista имеют немножко другую организацию автозагрузки, их мы коснёмся позднее, если кому понадобится.
Ну, оставим в покое тот сложный и долгий способ, который я описывал ранее:
... это для гурманов.
Это когда совсем аллес, и ничего сделать не получается совсем.
Но есть и более простые пути.
Мест, откуда эта гадость грузится, не так и много. Я их щас перечислю.
Вся проблема не в том, чтобы найти, откуда оно грузится, а в том, чтобы добраться до этого места, откуда оно грузится, потому что у нас в лучшем случае, пол-экрана закрыто членами и попами.
1. Гадость может грузиться тупо ярлыком из меню Пуск->Все программы->Автозагрузка. Проверяется просто, удаляется легко. Понятно, что если там есть что-то, чего мы никогда не видели - не грех оттуда и убрать. И перезагрузиться не забыть.
Не забываем, что есть такое понятие - "подмена ярлыка", когда, допустим, в Автозагрузке висит себе мирно "Быстрый запуск Microsoft Office" (этот ярлык устанавливается туда по умолчанию при установке Офиса), только вот вовсе не обязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" - вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.
Имеем ввиду.
2. Гадость может грузиться из RUN-разделов реестра.
Эти разделы в реестре находятся по адресам:
Общий автозапуск:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе в систему каждый раз и в любом случае.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра.
Автозапуск конкретного юзера:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе текущего пользователя в систему.
Ну, и по аналогии,
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Есть ещё местечки:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices - программы, которые загружаются при старте системы ДО входа пользователей в Windows.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система, но ДО оболочки winlogon. Зато - для всех юзеров.
То есть, чтобы автоматом запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (Пуск->выполнить, regedit), переходим в раздел
HKCU/Software/Microsoft/Windows/CurrentVersion/Run и добавляем следующий ключ: NOTEPAD.EXE со значением "C:\WINDOWS\System32\notepad.exe" - и будем наблюдать его каждую загрузку.
Отсюда и проистекает наш Универсальный способ 2.
0. Если баннер не закрывает кнопку "Пуск", идём в "Пуск"->"Выполнить".
1. В появившейся строке вбиваем: msconfig, жмём Enter.
2. Появится окошко "настройка системы". Если оно перекрыто баннером, его надо вытащить из-под баннера так, чтобы было видно хотя бы его часть.
3. Переключаемся на вкладку "Автозагрузка".
4. Там много чего будет, но нас интересует длинная кнопка "отключить всё" под списочком. если удалось её нажать - пол-дела сделано. Нажимаем её, потом нажимаем "Ок", и перезагружаемся.
5. Если гадость стартует из RUN-разделов реестра, она не запустится.
6. После перезагрузки системы высветится окошко-запрос о том, что параметры загрузки системы были изменены, и что, мол, ай-яй-яй.
там есть галка "больше не показывать это сообщение".
7. Остаётся запустить msconfig ещё раз и выяснить во вкладке "Автозагрузка", что из того, что там перечислено, нам известно и нужно, а что можно и не включать обратно, расставляя там галки.
==========================================================
Универсальный способ 3.
Если гадость стартует вместе с шеллом, то msconfig не поможет.
Для этого нужно:
0. Открыть "Пуск"->"Выполнить", запустить оттуда regedit
1. Пойти в
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon
Там есть два параметра:
Shell, он должен быть равен "Explorer.exe", и никак иначе, и
Userinit, который должен быть равен "C:\WINDOWS\system32\userinit.exe," - именно так, с запятой!
Наша задача - проследить чтобы эти две переменные имели именно такие значения.
2. Заодно навестим
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
В правой части окна НЕ ДОЛЖНО БЫТЬ строчек типа
"load"
"run"
Вернее, load там будет всегда, но значение его ДОЛЖНО БЫТЬ пустым.
если есть - удаляем.
Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.
Например, чтобы запустить Internet Explorer ДО входа пользователя в систему и Блокнот ПОСЛЕ входа пользователя в систему, достаточно прописать в
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
параметр load со значением "iexplore.exe"
и
параметр run со значением "notepad.exe"
3. Навестим вышеперечисленные разделы, убедимся, что там чисто.
4. Кроме того, гадость может запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные - Назначенные задания".
...либо просто открыть папку C:\ WINDOWS\Tasks, в которой можно бессовестно всё грохнуть.
Нда. Забираюсь-таки в дебри потихоньку.
Хватит на сегодня.
Так что про то, как склеиваются исполняемые файлы, я сегодня рассказывать не буду.
Потому что запросто можно запустить свой модуль одновременно со, скажем, Adobe Speed launcher, который ставится автоматически вместе с Adobe Acrobat...
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
Парюсь.
Чем дольше общаюсь с людьми, тем больше люблю кошек...
Уф, осуществлял поиск о новом документальном фильме ВВс СССР, по ссылке попал на сайт, предупреждение поисковика о неблагонадежности сайта проигнорировал по глупости и сразу черный экран с попрашайничеством. Сразу перезагрузился, проблем нет, проверил антивирусом, все нормально тьфу-тьфу.
Ваши права
Ответить с цитированием
