 Автор |
Сообщение |
k0stE
Гуру
 |
 Добавлено: Вс 28-10-12 : 14-58 Заголовок сообщения: Очередной порно баннер - есть идеи? |
 |
|
Притащили комп. Винду переставлять влом.
Гуглил. На codebanner ходил. Касперский лайвUSB не помог, доктор-вебовский сначала не хотел грузиться с 8Gb флешки, с 2Gb загрузился, но сканер запускать не захотел. taskmanager вызвать и попасть в него курсором не получается - область ограничена самим банером.
 |
|
 |
|
 |
k0stE
Гуру
|
| Добавлено: Вс 28-10-12 : 15-10 Заголовок сообщения: |
|
|
| Genbor, это чтоли? Там тоже был - номера в базе нет. |
|
| |
|
|
Genbor
Крокодил Гена
 Предупреждений : 1
|
| Добавлено: Вс 28-10-12 : 15-14 Заголовок сообщения: |
|
|
| Да нет там, сам уже увидел |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
| Добавлено: Вс 28-10-12 : 15-16 Заголовок сообщения: |
|
|
12 3456789
79099966828
770425
25061984
900931
пробовал такие? |
|
| |
|
|
kovaikin
Гуру
Предупреждений : 3
|
| Добавлено: Вс 28-10-12 : 15-18 Заголовок сообщения: |
|
|
да пополните вы людям счёт и не парьтесь  |
|
| |
|
|
Vitall2005
Продвинутый форумчанин
|
| Добавлено: Вс 28-10-12 : 15-21 Заголовок сообщения: |
|
|
| Попробуй по f8 запустить безопасный режим с консолью, из консоли explorer, после чего запустить доктор веб кьюрит, мне помогало много раз.Последний раз редактировалось: Vitall2005 (Вс 28-10-12 : 15-24), всего редактировалось 1 раз |
|
| |
|
|
k0stE
Гуру
|
| Добавлено: Вс 28-10-12 : 15-24 Заголовок сообщения: |
|
|
| Genbor писал(а): |
12 3456789
79099966828
770425
25061984
900931
пробовал такие? |
Не помогло.
// грузиться с флэшки, подключать реестр и тереть злачные места типа app_init debugers userinit shell run.. |
|
| |
|
|
serg504
Гуру
 Предупреждений : 1
|
| Добавлено: Вс 28-10-12 : 15-26 Заголовок сообщения: |
|
|
| Я загружаюсь с ERD и убираю его из автозагрузки, потом возможны варианты, несколько раз вирус подменял файлы в папке systems32. |
|
| |
|
|
dimm
Гуру
Предупреждений : 1
|
|
| |
|
|
TatarikNSK
Гуру
 Предупреждений : 2
|
| Добавлено: Вс 28-10-12 : 15-45 Заголовок сообщения: |
|
|
ну а я просто народу выставляю в биосе дату на несколько лет в перёд и всё. Первая загрузка идёт с кривой датой, потом следующая с нормальной текущей и никакого баннера нет. Пока работает, ну работало с пол года назад.. как сейчас не знаю так как обращений ещё не было.
Мечтаю сам подцепить нечто подобное , но собака до сих пор никак не словил  |
|
| |
|
|
Knyaz89
Форумчанин
|
| Добавлено: Вс 28-10-12 : 15-49 Заголовок сообщения: |
|
|
| Сносил такую штуку через восстановление. А так же можно засбоить(тыкать кнопку вкл, када полоски) загрузку винды - она начнёт проверку и убьёт вирус.Последний раз редактировалось: Knyaz89 (Вс 28-10-12 : 15-52), всего редактировалось 1 раз |
|
| |
|
|
Slavik iks
Гуру
Предупреждений : 1
|
| Добавлено: Вс 28-10-12 : 15-49 Заголовок сообщения: |
|
|
| Я делал так. Загружался через безопасной режим и запускал касперского через диспетчер задач. Он находил вирус, после перезагрузки удалял его. |
|
| |
|
|
k0stE
Гуру
|
| Добавлено: Вс 28-10-12 : 16-08 Заголовок сообщения: |
|
|
Vital2005 за подсказку спасибо. Вылечил так:
Загрузился с поддержкой консоли. Ctrl+Alt+Delet - запускаем taskmgr, выполнить -> msconfig, в автозагрузке сразу находим паразитный файл, удаляем автозагрузки, удаляем файл через тот же "Выполнить".
Файл лежал в C:\Users\%username%\0.8562354690670493.exe (78,3 КБ).
Всем спасибо |
|
| |
|
|
nethello
Гуру
 |
| Добавлено: Вс 28-10-12 : 16-46 Заголовок сообщения: |
|
|
| kovaikin писал(а): |
| да пополните вы людям счёт и не парьтесь |
Это самый глупый вариант/ причём на100% не поможет, только деньгам пшик. Самый частый вариант-забить/ а через трое суток (примерно) само проходит. а вот Vitall2005 дело говорит. Причём чаще всего подобный метод и стреляет, остальное всё фигня. |
|
| |
|
|
SIWA
Форумчанин
|
| Добавлено: Вс 28-10-12 : 17-06 Заголовок сообщения: |
|
|
| nethello писал(а): |
| kovaikin писал(а): |
| да пополните вы людям счёт и не парьтесь |
Это самый глупый вариант/ причём на100% не поможет, только деньгам пшик. Самый частый вариант-забить/ а через трое суток (примерно) само проходит. а вот Vitall2005 дело говорит. Причём чаще всего подобный метод и стреляет, остальное всё фигня. |
Тело вируса 900-лохматого года, с исправлением суммы выкупа, если допустил загрузку в безопасном режиме да ещё с поддержкой командной строки ))) А упомянутый тут Kaspersky LiveUSB или LiveCD прекрасно справляется с этими low-вирусами )) Запускается терминал и вводится команда windowsunlocker, всё пакостное будет вычищено из всех веток реестра. Эти вирусы уже года 1.5 не проблема, убивается как муха тапком.  |
|
| |
|
|
kovaikin
Гуру
Предупреждений : 3
|
| Добавлено: Вс 28-10-12 : 17-20 Заголовок сообщения: |
|
|
| nethello писал(а): |
| kovaikin писал(а): |
| да пополните вы людям счёт и не парьтесь |
Это самый глупый вариант/ причём на100% не поможет, только деньгам пшик. Самый частый вариант-забить/ а через трое суток (примерно) само проходит. а вот Vitall2005 дело говорит. Причём чаще всего подобный метод и стреляет, остальное всё фигня. |
ты чаго, я так ржу просто конечно не в коем случае низя пополнять  |
|
| |
|
|
Shub-Niggurath
Geek
 Предупреждений : 4
|
| Добавлено: Вс 28-10-12 : 17-40 Заголовок сообщения: |
|
|
| Батя у меня пару раз на ноутбуке ловил подобные. Лечится очень просто, тупо зажимаешь 3 заветных кнопки, на заднем плане начинает мигать диспетчер задач, высматриваешь левый процесс, записываешь название. Дальше грузишься в безопасном режиме с поддержкой командной строки (в обычном не стоит, баннер так же будет висеть) и удаляешь Можно даже explorer.exe запустить, лол. |
|
| |
|
|
JASJAS
Гуру
 |
| Добавлено: Вс 28-10-12 : 20-47 Заголовок сообщения: |
|
|
| Только не всегда он даёт запуститься в безопасном. |
|
| |
|
|
Plaguer
Эксперт
 |
| Добавлено: Вс 28-10-12 : 20-56 Заголовок сообщения: |
|
|
Лечил именно этот баннер.
1. Загружаемся в безопасный режим с поддержкой командной строки.
2. Смотрим что в автозапуске (msconfig).
3. Всё подозрительное отключаем.
4. Находим это самое подозрительное в ветке реестра (regedit) ответственной за автозапуск (вроде эта: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) - удаляем.
5. Там должен быть прописан файл ms.exe и видно его местонахождение, переходим к нему в командной строке (команда cd) и удаляем (команда del).
6. Всё. |
|
| |
|
|
Evan20
Продвинутый форумчанин
 Предупреждений : 3
|
| Добавлено: Вс 28-10-12 : 22-02 Заголовок сообщения: |
|
|
| Цитата: |
Лечил именно этот баннер. |
Dr.Web Live CD, Dr.Web CureIt не помогли, вообще ничего не нашли, проверка на другом компе тоже. Внезапно помог Nod32 Live CD.
Так, на вский случай. |
|
| |
|
|
|
