-
Junior Member
- Вес репутации
- 55
Решается просто.
Скачайте Alkid live cd. Записываете его на диск. Загружаетесь с диска. В нём заходите в C:\Documents and Settings\All Users\Application Data и удаляете файл bloker.exe (может называться loader.exe).
Перезагружаетесь и всё OK.
Если повезет. Имена файлов и их расположения могут быть самые разные, читайте сообщения выше. И чаще у них расширение dll, а не exe. Так что, вы не изобрели панацею, и ваш совет скорее приведет лишь к потере времени.
Последний раз редактировалось AndreyKa; 08.04.2009 в 13:30.
Причина: Коментарий.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
Словил такую каку:
в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
интересно, спайбот победит его или нет?
-
Ну эт тяжело сказать. Если она будет ловить этого трояна... Вы можете попробовать просканировать Dr.Web LiveCD, возможно он Вам поможет. И можно попробовать потом восстановить систему (нужен диск системы, которая у Вас). Или еще проще, вы можете заменить зараженный системный фаил на нормальный.
Если я не прав, поправте
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Junior Member
- Вес репутации
- 62
Аналогично.
Винда не грузится, после приветствия вылетает окошко с требованием отправить смс, в безопасном режиме то же самое, загрузка последней удачной конфигурации не помогает. sp2, без обновлений, но стоит лицензия KIS 8, комп постоянно подключен к нету по адсл, обновления баз свежейшие - не помогло.
Загрузился с ЛивСД, прогнал тут же скачанным CureIt и AVZ - нет вирусов, чистенько.
Хозяину рабочий комп нужен был срочно, так что дальше копать не стал, забэкапил инфу и воткнул новую винду, обновил до сп3, поставил актуальную версию KIS, обновил и снова прогнал папку Windows из бэкапа - безрезультатно.
В общем, имею в бэкапе неактивную зараженную винду, если кто поможет детектировать источник, буду признателен, только скажите, какие файлы присылать и куда.
-
Junior Member
- Вес репутации
- 55
все тупо просто!
поймал эту же фигню, позвонил оператору, выяснил чей короткий номер, позвонил им и они сказали, что вирус создан недобросовестным партнером и дали код -5342521
координаты:
тел.: 363 14 27 доб.555
сайт в интернете: www.alt1.ru
-
Не думаю, что это будет со всеми. Я бы даже сказал, что Вам повезло
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Junior Member
- Вес репутации
- 58
Пару раз сталкивался с подобной проблемой. В инете наткнулся на утилиту Combofix, попробовал... мочит любую подобную дрянь!
-
кодек
Сообщение от
Dikiy_Prapor
Словил такую каку:
в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
интересно, спайбот победит его или нет?
Эта гадость идет под видом "xvidDecoder" с порносайтов. Где информер. Притом, что в EULA только про IE-информер, "не наносящий вреда ОС" Итак, для ее лечения надо: из Windows PE
1. запускаем regedit.exe
2. нажимаем на HKEY_LOCAL_MACHINE
3. выбираем Файл, Загрузить куст (File, Load hive), выбираем файл SOFTWARE.
4. Пишем имя "TEST".
5. Дальше ищем раздел HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon. Правим userinit.exe до
C:\WINDOWS\system32\userinit.exe,
После этого НИЧЕГО не должно быть!
Удаляем файл указанный там помимо Userinit.exe. Он может иметь расширение *.exe или *.tmp. Убиваем рядом такой же с расширением *.bin
6. Выбираем HKEY_LOCAL_MACHINE\TEST и жмем Файл, Выгрузить куст (File, Unload hive).
Последний раз редактировалось bolshoy kot; 14.04.2009 в 14:45.
-
Junior Member
- Вес репутации
- 55
Такая же проблема, при очередном запуске винды выскочило окошко сообщающее что виндоус заблокирован и предлагающее отправить смс загрузка в безопасном резиме ничего не дала, после получаса безуспешных попыток загрузиться, зашел в инет с мобильника и подал жалобу на сайте www.a1help.ru, через час пришел ответ на мыло содержащий необходимый код, на удивление оказавшийся верным. Зашел, первое что сделал пропесочил комп нодом32, ничего не нашел, потом вспомнил что не обновлял его недели две-три, обновил, нашел следующее: "модифицированный Win32/TrojanDownloader.Agent.ORH (C:\WINDOWS\system32\crypts.dll), Win32/TrojanDownloader.Agent.OWB (C:\WINDOWS\TEMP\C876.tmp), выпилил эту гадость, также обратил внимание на то что создалась новая учетная запись "ASP.NET Machine A..." время создания совпадало со временем заражения, тоже выпилил нафиг. Сейчас все работает нормально.
[RIGHT]С уважением, Philip Fry.
[/RIGHT]
-
Junior Member
- Вес репутации
- 55
теперь самое смешное:
пока качал PE, пока читал форум.. вообщем прошло времени порядка часа-полтора...
вообщем вернулся на зараженный комп - а сообщения нет!
быстренько прогнал его AVZ (он нашел какой-то там червячек, но поскольку адреналинчег зашкаливал, то ничего незапомнил, конечно)
вообщем рецидивов больше небыло...
чувство правда несколько странное - неуверен был, что этот червяк был всему виной.. а чтобы все прошло само - так небывает...
посмотрю, что там в реестре записано..
P.S. где эту хрень словил незнаю - поскольку на сайт-заразитель попал по всплывающему рекламному баннеру, который, подлец, стал грузить страницу (хотя я его закрыл)
что за сайтик был - фиг его знает, поскольку закрыл потом все лишнее и под всеми окошечками увидел сообщение про замену файлов...
теперь буду внимательно следить за подобными сообщениями
Последний раз редактировалось Dikiy_Prapor; 13.04.2009 в 05:40.
-
Надо внимательней читать форум, этот блокиратор "живёт" в системе 2 часа, потом самоуничтожается.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
Junior Member
- Вес репутации
- 55
У друга вылетает синее окошко,
Активация Windows
Отправьте смс с текстом *** на номер 3649
И введите код.
через безопасный режим заходит, но снова окно...
Все тоже самое
Диспетчер задач не запустить =( подскажите что поделать?
-
Если в окне написано "Windows заблокирован", а внизу "попытка переустановить систему...", то подскажу легко.
На этой странице есть калькулятор кода. Вводите текст SMS в поле и получаете код. Компьютер разблокируется. Еще есть вариант, правда, сомнительный: оставить компьютер включенным на 2 часа.
А если у Вас окно именно "Активация Windows" и фразы "Windows заблокирован" там нет, это что-то другое.
-
Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли
-
-
-
-
Сообщение от
pig
Информер <> блокиратор
Просто хотелось высказаться где нибудь
-
-
Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли
Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...
-
Сообщение от
bolshoy kot
Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...
Нашёл этот сайт с которого он скачал 91.205.111.62
http://www.virustotal.com/analisis/a...2abf0f62caa24c
Ну лана хоть касперский и авг определяет его. Запустил, в папке темп создались файлики don67.tmp ну хорошо что хоть дрвеб видит http://www.virustotal.com/analisis/1...a0e682d84cf2ec и don67.bin.
don67.tmp соединился с адресом 91.205.111.52:80 при открытии IE...и тишина, может какую команду ждёт?
-
-
valho, а Вы перезагрузитесь и все увидите.
Добавлено через 48 секунд
Похоже, это с этого сайта:
хттп://91.205.111.61/hotsex/?wid=59
Последний раз редактировалось bolshoy kot; 14.04.2009 в 14:38.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот!