-
Сообщение от
Mikael
Винду переустанавливать не хочу.... с чего мне начать? подскажите пожалуйста для двоечника!
Для обычного пользователя, если нет возможности воспользоваться услугами специалиста, наверно только это можно порекомендовать:
http://www.freedrweb.com/livecd
Но если этого зловреда в базе DrWeb'a еще нет, то не поможет.
I am not young enough to know everything...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Bratez
Для обычного пользователя, если нет возможности воспользоваться услугами специалиста, наверно только это можно порекомендовать:
http://www.freedrweb.com/livecd
Но если этого зловреда в базе DrWeb'a еще нет, то не поможет.
В любом случае поможет это! http://helpme.virusinfo.info/
-
-
Сообщение от
Jolly Rojer
Разумеется, но если я правильно понял, там вообще нет возможности что-либо запустить, ни в нормальном, ни в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Я так думаю, что эта табличка на черном фоне? У меня друган делал наподобие для соседа по комнате, чтобы тот не лазил в комп. Просто щелкни мышкой в правом верхнем углу, где закрываются окна программ!!!!!
-
Для справки:
Если окно стилизовано под bsod, то оно вызывается программой, которая прописывает себя в реестр как ekzabc и часто именуется svhgost.exe
Если окно просит отправить SMS 3649 и такое голубенькое, это предлагается установить на порносайте как информер. Прописывается в Userinit, blocker.exe либо *.tmp какой-то
-
Есть предложение, написать, как подобные "активаторы" стартуют, чтобы можно их было прибить при помощи Live-CD. Например, если эта дрянь прописывается через Shell (AutoRun), то можно сделать так:
1) Копируем полиморфный AVZ на жёсткий диск заражённого компа из-под Live-CD
2) редактируем реестр, вместо вируса в SHELL прописываем запуск переименованного AVZ в режиме AVZ GUARD.
Сам эту последовательность не пробовал, привожу в качестве идеи.
3) Может имеет смысл в AVZ сделать проверку автозапуска не у запущенной системы, а у неактивной. Это полезно при запуске с Live-CD, чтобы проверять не сидюк, а систему на жёстком диске заражённого компьютера. Ну или хотя бы дать список ключей в реестре, где можно прописать автозапуск (в т.ч. и в Safe Mode).
P.S. В AVZ нет возможности все ключи посмотреть, возникает ошибка Out of Range если ключ длинный.
Последний раз редактировалось nisome; 12.04.2009 в 18:23.
-
avz
Сообщение от
nisome
2) редактируем реестр, вместо вируса в SHELL прописываем запуск переименованного AVZ в режиме AVZ GUARD.
А почему бы сразу "explorer.exe" не прописать?
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
Разумеется, но если я правильно понял, там вообще нет возможности что-либо запустить, ни в нормальном, ни в безопасном режиме.
Вроде надо в safe mode с командной строкой.
Поищи на этом форуме
Еще инфа
------------------------
При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit"
"C:\\WINDOWS\\system32\\userinit.exe"
на
C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ ALLUSE~1\\APPLIC~1\\blocker.exe"
зы. а вообще полезно иметь на компе две установленных винды.
Последний раз редактировалось diakin; 14.04.2009 в 11:45.
WBR, Andrew
-
Сообщение от
diakin
При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit"
"C:\\WINDOWS\\system32\\userinit.exe"
на
C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ ALLUSE~1\\APPLIC~1\\blocker.exe"
зы. а вообще полезно иметь на компе две установленных винды.
Safe Mode не поможет, а файл может быть *.tmp и *.bin рядом. Прописывается туда.
-
Последний раз редактировалось nisome; 14.04.2009 в 16:10.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
От чуть не пострадавшей
Здравствуйте всем!
Поймала "Активацию WINDOWS" 10 апреля. Первое - паника. И желание скорее получить код разблокировки. Слава Богу, вспомнила, что есть у кого спросить - что бы это значило. Поэтому мой совет: два-три часа ничего не решают (как правило), а умные люди среди знакомых есть у каждого. Пролечили со здорового ноутбука. А успокоиться помог этот чудесный сайт
СПАСИБО!
И успела отговорить человека от SMS. Кстати, можно представить, скольких некому было отговорить!
-
Junior Member
- Вес репутации
- 55
У одногруппника была такая проблема с блокировкой. Говорит на музыкальном сайте схватил :-) . У человека антивируса нет никакого. ПК и без этого работал у него крайне не стабильно.
Ctrl - Alt - Del - не помогали даже в безопасном режиме.
SMS - конечно, отправлять он не стал.
Проблема решилась неожиданно и самостоятельно.
На утро, при очередной перезагрузке сообщение пропало.... И больше не появлялось...
-
Клуб любителей Symantec - http://symantecclub.ru/
-
-
название хорошее )))
Kaspersky 4.0.2.24 2007.09.15 Trojan.Win32.Sovest.q
-
-
Junior Member
- Вес репутации
- 55
люди, с такой ситуацией столкнулась моя знакомая, ну я покопавшись в сети понял несколько вещей:
1) есть несколько разновидностей этой гадости
2)действуют они так же немного по разному, но схоже!
во первых это обязательная блокировка винды и сообщение об оплате каким-либо способом!
во вторых у некоторых в безопасном режиме вирус даёт запустить диспетчер задачь, а у какого-то вируса такой шалости нет!
лично я девушке посоветовал провериться такой прогой как ad-aware(простая и понятная прога для полных чайников, когда нет времени досканально им обьяснять что лучше google и рук к нужному месту пришитых нет), после чего у моей знакомой появилась возможность увидеть диспетчер задачь...
ну адальше осталось решить эту проблему уже приложив усилия самостоятельно чем и займусь сегодня...
3) некоторые версии этой гадости испаряються как то сами спустя определённое время(зависит от таймера встроенногов этот вирус), что самое непонятное разные антивири не всегда этот вирус определяют, как во время его действия(блока системы), так и после, и что он(вирус) за собой оставляет, пока я не увидел ни одного отзыва по этому поводу! все обычно радуються тому что сообщение пропало само по себе и не задумываються над простыми вопросами "от куда взялось?", "где залегло?", и "что оставило после себя?"!!!
кто найдёт какую либо инфу отпишитесь, а то очень интересно что же это такое с ним происходит после того как он востанавливает доступ сам по себе!
не верю я в вирусы которые уходят сами по себе! :[
Добавлено через 11 минут
кстати вот наглядный пример ещё одного окошка с просьбой активации через смс!
что в обычном что в безопасном режиме выскакивает это самое окно и мешает работать, в безопаном режиме хоть более менее получаеться а в обычном житья нет совсем!(всё со слов знакомой)
Последний раз редактировалось MSD; 26.05.2009 в 04:29.
Причина: Добавлено
-
Если таймер в вирусе стоит, то часы крутим на несколько лет вперёд или назад.
-
Junior Member
- Вес репутации
- 55
какя понял таймер не везде и он просто смотрит на время, тоесть прошло нужное кол-во часов и тогда вирус отрубается!
тоесть принцип совершенно иной нежели к примеру в "чернобыле"!
-
Junior Member
- Вес репутации
- 55
А бывает, что антивирь не срабатывает, потому что вируса-то давно нет, а есть только его последствия. В реестре уже нагажено, и сам виновник уже и не нужен.
P.S. В Чернобыле замечательный принцип, надо сказать. Наглядное пособие для демонстрации нужности антивируса как явления
-
Junior Member
- Вес репутации
- 55
У меня вчера тоже вылезло такое окошко: Windows заблокирована, отправьте СМС, введите код,как то так.
Я справился так: Перезапустил Винду в безопасном режиме. С командной строки ввел msconfig - Глянул в автозагрузки - Там хоть и много че для меня незнакомо и непонятно, но 1 приложение сразу вызвало подозрение, т.к. запускалось оно не из папок Windows или Program files, а отсюда: C:\Documents and Settings\Username\Application Data\yofie.exe
Я отключил его с автозапуска и смог нормально зайти в систему. Далее провел полную проверку системы сначала NOD32, потом бесплатной утилитой Dr.Web и наконец утилитой AVZ, все они показали, что комп у меня абсолютно чист. Поэтому я удалил вручную этот файл
C:\Documents and Settings\Username\Application Data\yofie.exe
Вроде все нормально работает. Но хотеловь бы узнать почему Антивирусы никак не реагируют?
-
А вот что бы антивирусы реагировали, надо было не удалять этот файл, а прислать его на анализ.
-